Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Créer sa propre stratégie de groupe (GPO) Quentin Personeni SupporTech INSA .NE

Créer sa propre stratégie de groupe (GPO) Quentin Personeni SupporTech INSA .NET INSA de Lyon Publication : Juillet 2004 Résumé Cet article décrit la méthode pour créer ses propres stratégies en écrivant ses propres modèles d’administration (.adm). Il s’adresse aux administrateurs de domaine Active Directory sous Windows 2000 Server ou Windows Server 2003 qui souhaitent appliquer, par stratégies (GPO), d’autres paramètres que ceux proposés par les modèles d’administration standards. « Créer sa propre stratégie de groupe (GPO) » – Libre Blanc « Créer sa propre stratégie de groupe (GPO) » – Livre Blanc Sommaire Sommaire ....................................................................................................................................... 3 Introduction ................................................................................................................................... 4 Présentation des stratégie basées sur des valeurs de registre ................................................ 5 Stratégies et préférences ............................................................................................................ 5 Utilisation des Modèles d’administration ...................................................................................... 6 Modèles d’administration personnalisés ...................................................................................... 7 Utilisation de fichier .adm pour appliquer des clés de registres quelconques .............................. 7 Gestion des versions et déploiement ......................................................................................... 8 Développer ses fichiers .adm .................................................................................................... 10 Exemple ................................................................................................................................. 10 Structure d’un fichier .adm ......................................................................................................... 13 Commentaires ........................................................................................................................... 13 Chaînes de caractères ............................................................................................................. 14 CLASS ....................................................................................................................................... 14 CATEGORY .............................................................................................................................. 14 POLICY ..................................................................................................................................... 16 Conclusion .................................................................................................................................. 20 Page 3 / 20 « Créer sa propre stratégie de groupe (GPO) » – Livre Blanc Introduction Dans un domaine Active Directory, les stratégies de groupe (GPO) constituent le moyen le plus sûr et le plus efficace d’appliquer des paramètres aux objets d’un Site, d’un Domaine ou d’une Unité Organisationnelle (OU). Une stratégie de groupe comprend les composants suivants : • Modèle d’administration : Application de valeurs de registre. • Installation de logiciel • Scripts : script d’ouverture/fermeture de session utilisateur, ou de démarrage/arrêt d’ordinateurs. • Paramètres de Sécurité • Maintenance d’Internet Explorer : Administration d’Internet Explorer. • Redirection de dossier : redirection des dossiers vers des emplacements réseaux. Les stratégies basées sur des valeurs de registre permettent à un administrateur de forcer des paramètres Utilisateurs ou Machines. Les utilisateurs ne peuvent ensuite pas changer ces paramètres. Ce document concerne uniquement ce type de stratégie et détaille les points suivants : • Présentation des stratégies basées sur des valeurs de registre. • Utilisation des modèles d’administration • Développement de fichiers .adm. Etre capable de développer ses propres paramètres de stratégie peut être utile dans les cas suivants : • Appliquer des stratégies qui ne sont pas disponibles dans les modèles d’administration disponibles par défaut • Appliquer des valeurs de registre quelconques (valeurs autres que des valeurs de stratégie) • Ajouter le support des stratégies de groupe aux applications développées en interne • Mieux comprendre le fonctionnement des stratégies basées sur des valeurs de registre Page 4 / 20 « Créer sa propre stratégie de groupe (GPO) » – Livre Blanc Présentation des stratégie basées sur des valeurs de registre Les stratégies basées sur des valeurs de registre sont les plus courantes et les plus simples à mettre en œuvre. Pour les configurer, il est possible d’utiliser : • Du côté serveur : le composant logiciel enfichable d’édition de stratégies : gpedit.msc, dans la section modèles d’administration • Sur un poste client avec l’éditeur de base de registre regedit.exe Il existe deux classes de stratégies : les stratégies utilisateurs et les stratégies ordinateurs. Ces paramètres sont stockés dans la base de registre aux emplacements suivants : Stratégies ordinateurs : • HKLM\Software\Policies (Emplacement conseillé) • HKLM\Software\Microsoft\Windows\CurrentVersion\Policies (obsolète, à éviter) Stratégies utilisateurs : • HKCU\Software\Policies (Emplacement conseillé) • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies Les droits positionnés sur ces emplacements sont tels qu’un utilisateur standard ne pourra pas éditer les valeur appliquées par la stratégie. Les clés sont créées à l’application de la stratégie. Si une GPO est désactivée, la clé associée est supprimée. Stratégies et préférences Les préférences et les stratégies peuvent toutes les deux être implémentées en utilisant des clés de registre. Les préférences et les stratégies servent toutes deux à appliquer un paramétrage. Elles peuvent être utilisées séparément ou en même temps. Différences entre stratégie et préférence Les préférences sont des paramètres appliqués par l’utilisateur ou par Windows lors de l’installation d’un logiciel. Les clés de registre associé à ces préférences ne sont pas situées aux emplacements cités précédemment. Ces paramètres peuvent également être changés par l’utilisateur en utilisant l’interface homme machine du logiciel concerné, ou de Windows s’il s’agit de préférences de Windows. Par exemple, l’utilisateur pourra changer le papier peint de son bureau, ou changer désactiver la vérification automatique d’orthographe dans Word. Les paramètres appliqués par stratégies sont généralement mis en place par l’administrateur et sont prioritaires sur les préférences. Il peut s’agir de paramètres identiques à ceux applicables par préférences. Par exemple l’administrateur pourra imposer par GPO l’utilisation d’un certain papier peint sur le bureau de tous les utilisateurs d’une Unité Organisationnelle, dans ce cas les préférences concernant le papier peint ayant été appliquées par les utilisateurs seront ignorées. Les paramétrages appliqués par stratégies sont donc prioritaires sur les préférences mais ne les écrasent pas : les paramètres de préférences persistent dans la base de registre car elles utilisent des clés de registre différentes. Si on reprend l’exemple précédent : dès que Page 5 / 20 « Créer sa propre stratégie de groupe (GPO) » – Livre Blanc l’administrateur retirera la stratégie qui force le papier peint du bureau, les préférences des utilisateurs seront restaurées et ils retrouverons leur bureau tel qu’ils l’avaient paramétrés avant l’application de la stratégie. La plupart des applications compatibles avec les GPO offrent la possibilité d’appliquer des paramètres par préférence ou par stratégie. Voici ci-dessous un tableau qui résume tous les scénarios possibles lorsqu’un paramètre est applicable des deux façons. Scénario Préférence présente Stratégie présente Est appliquée 1 Non Non Valeur par défaut 2 Oui Non Préférence 3 Non Oui Stratégie 4 Oui Oui Stratégie Utilisation des Modèles d’administration Pour charger un fichier modèle d’administration (.adm) : 1) Charger le composant logiciel enfichable d’édition de GPO • En ligne de commande, taper : GPEDIT.msc • Dans “Paramètre Ordinateur” ou Paramètre Utilisateurs”, faire un clic droit sur Modèles d’administration. 2) Dans le menu contextuel qui apparaît, choisir Ajout/Suppression de modèle. 3) Un fenêtre permettant d’ajouter ou de supprimer des fichiers .adm apparaît. Cliquer sur Ajouter. 4) Choisir le fichier à ajouter. 5) Cliquer sur Ouvrir. 6) Si le fichier .adm est correctement chargé, la fenêtre retourne à l’étape 4. C’est terminé. 7) Si le fichier .adm contient des erreurs, une fenêtre décrivant ces erreurs sera affichée. Dans ce cas : • Noter les erreurs, cliquer ensuite sur OK. • La fenêtre retourne à l’étape 4, mais le fichier contenant des erreurs figure quand même dans la liste. • Sélectionner le composant et le supprimer. • Fermer la fenêtre. Lorsqu’un clic sur un paramètre est fait, une boite dialogue standard permettant de configurer le paramètre s’affiche. Cette boîte de dialogue comporte deux onglets, le deuxième contient une explication détaillant l’effet de ce paramètre et éventuellement les interaction avec d’autre paramètres de stratégie. Le Page 6 / 20 « Créer sa propre stratégie de groupe (GPO) » – Livre Blanc premier est composé d’une partie invariante quelque soit le paramètre à configuré : cette partie permet de choisir trois options : • Activé : le paramètre est activé et sera appliqué lorsque la stratégie s’applique • Désactivé : le paramètre ne sera pas appliqué • Non configuré : le paramètre peut être appliqué si une GPO provenant d’un niveau supérieure est appliquée. Exemple : Dans une unité organisationnelle, la stratégie masquant l’icône du « Poste de Travail » sur le bureau est non configuré. Au niveau de tout le domaine une stratégie masquant l’icône du « Poste de Travail » sur le bureau est Activé. Pour ce paramètre et dans l’unité organisationnelle, c’est la stratégie du domaine qui s’appliquera. Pour plus d’information sur l’application des stratégies consultez le livre blanc : Windows 2000 Group Policy White Paper La partie pouvant varier d’un paramètre à l’autre est une interface permettant de configurer le paramètre. Cette interface est décrite dans le fichier .adm correspondant, ce qui sera vu dans la partie suivante. Modèles d’administration personnalisés Il est possible d’écrire ses propres modèles d’administration en écrivant des fichiers au format .adm. Le langage .adm sera détaillé dans la partie suivante. Si un développeur vient de créer une application qui supporte les stratégies, il est alors conseillé de fournir avec l’application un fichier .adm qui permettra aux administrateurs de configurer l’application après son déploiement. Un administrateur peut aussi rédiger ses propres fichiers .adm afin d’appliquer aux utilisateurs certaines valeurs de registre. Utilisation de fichier .adm pour appliquer des clés de registres quelconques Les stratégies servent principalement à appliquer des valeurs de registre aux emplacements réservés aux stratégies : • HKLM\Software\Policies • HKCU\Software\Policies Cependant l’administrateur pourra trouver utile d’appliquer des valeurs de registres par stratégies à d’autres emplacements que ceux cités précédemment. La méthode couramment utilisée auparavant était de rédiger des fichiers de base de registre .reg et de les appliquer avec un script de connexion. L’administrateur, en utilisant des modèles d’administration pourra en tirer les avantages suivants : • Gestion des paramètres centralisée dans la console gpedit • Rapidité pour changer une uploads/Management/ creer-gpo 1 .pdf