Les GPO sont essentiellement traités dans les examens 70-217
et 70-218 des cursus MCSA et MCSE.
Emplacement physique des Stratégies de groupe (GPO)
Active Directory - Conteneur système\policies
Dans le dossier SYSVOL de chaque contrôleur de domaine.
Les deux types de configuration
Une stratégie de groupe est divisée en deux parties:
Configuration Ordinateur
Appliquée au démarrage du système.
Configuration Utilisateur
Appliquée à l'ouverture de session utilisateur.
Des paramètres Ordinateur peuvent entrer en conflit avec des
paramètres Utilisateur, dans ce cas, les paramètres Ordinateur
sont appliqués.
Boucle de rappel
Si un utilisateur se connecte à un ordinateur appartenant à une OU
différente de la sienne:
Les paramètres Utilisateur appliqués sont ceux de la stratégie liée à l'OU à laquelle l'Utilisateur appartient.
Les paramètres Ordinateur appliqués sont ceux de la stratégie liée à l'OU à laquelle l'Ordinateur appartient.
Ceci peut être modifié dans la configuration Ordinateur d'une stratégie.
\Modèles d'administration\Système\Stratégie de groupe\Mode de traitement par boucle de rappel...
deux options sont possibles:
fusionner: Par défaut, les paramètres Utilisateur appliqués sont ceux de la stratégie liée à l'OU à laquelle l'Utilisateur appartient.
Remplacer: Les paramètres Utilisateur appliqués sont ceux de la stratégie liée à l'OU à laquelle l'Ordinateur appartient.
Ordre d'application des stratégies de groupe:
Local
Site
Domaine
Unité d'Organisation
Ordre de priorité des stratégies de groupe:
Les paramètres de stratégie sont cumulatifs.
Les paramètres de sécurité IP et l'attribution des droits Utilisateur ne
se cumulent pas. Les paramètres de la dernière stratégie remplace, pour ces deux
cas, toutes les stratégies existantes.
Si des paramètres entrent en conflit, les paramètres effectifs
sont ceux de la dernière stratégie appliquée
selont l'ordre d'application ci-dessus.
L'ordre de priorité est donc:
Unité d'organisation
Domaine
Site
Local
Deux options sont utilisables pour modifier l'ordre de priorité
des stratégies.
Bloquer l'héritage
Rend la stratégie prioritaire sur toutes les stratégies
des conteneurs parents.
Cette option s'applique à TOUTES les stratégies
liées à l'OU sur laquelle elle est activée.
Ne pas passer outre (Aucun remplacement)
Rend les paramètres de stratégie prioritaires sur toutes les stratégies
des conteneurs enfant.(pour les paramètres en conflit uniquement)
Cette option s'applique uniquement à la stratégie pour laquelle elle est activée.
Plusieurs stratégies appliquées à la même OU
Là encore, les stratégies se cumulent.
Si des paramètres entrent en conflit, la stratégie située en premier dans la liste
est prioritaire. L'ordre des stratégies est modifiable.
Dépannage
La fréquence d'actualisation des stratégies est de 5 minutes sur les contrôleurs de domaine.
La fréquence d'actualisation des stratégies est de 90 minutes sur les clients et les serveurs membres.
Cette fréquence d'actualisation des stratégies est modifiable:
ORDINATEUR\Modèles d'administration\Système\Stratégie de groupe\
Il est possible de forcer l'actualisation d'une stratégie afin que les modifications prennent
effet immédiatement. Cette manipulation se fait à l'aide du programme SECEDIT.EXE
Secedit /refreshpolicy machine_policy pour les paramètres ordinateur.
Secedit /refreshpolicy user_policy pour les paramètres utilisateur.
Il est possible d'afficher les événements liés aux stratégies en ajoutant une valeur dans
le registre.