accueil MCSA astuces photos





Les stratégies de groupe Windows 2000 (GPO)

Les GPO sont essentiellement traités dans les examens 70-217
et 70-218 des cursus MCSA et MCSE.

Emplacement physique des Stratégies de groupe (GPO)


Active Directory - Conteneur système\policies

Dans le dossier SYSVOL de chaque contrôleur de domaine.

Les deux types de configuration

Une stratégie de groupe est divisée en deux parties:

Configuration Ordinateur
Appliquée au démarrage du système.

Configuration Utilisateur
Appliquée à l'ouverture de session utilisateur.

Des paramètres Ordinateur peuvent entrer en conflit avec des
paramètres Utilisateur, dans ce cas, les paramètres Ordinateur
sont appliqués.

Boucle de rappel

Si un utilisateur se connecte à un ordinateur appartenant à une OU
différente de la sienne:

Les paramètres Utilisateur appliqués sont ceux de la stratégie liée à l'OU à laquelle l'Utilisateur appartient.

Les paramètres Ordinateur appliqués sont ceux de la stratégie liée à l'OU à laquelle l'Ordinateur appartient.

Ceci peut être modifié dans la configuration Ordinateur d'une stratégie.
\Modèles d'administration\Système\Stratégie de groupe\Mode de traitement par boucle de rappel...

deux options sont possibles:

fusionner: Par défaut, les paramètres Utilisateur appliqués sont ceux de la stratégie liée à l'OU à laquelle l'Utilisateur appartient.

Remplacer: Les paramètres Utilisateur appliqués sont ceux de la stratégie liée à l'OU à laquelle l'Ordinateur appartient.

Ordre d'application des stratégies de groupe:

Local
Site
Domaine
Unité d'Organisation

Ordre de priorité des stratégies de groupe:

Les paramètres de stratégie sont cumulatifs.

Les paramètres de sécurité IP et l'attribution des droits Utilisateur ne
se cumulent pas. Les paramètres de la dernière stratégie remplace, pour ces deux
cas, toutes les stratégies existantes.


Si des paramètres entrent en conflit, les paramètres effectifs
sont ceux de la dernière stratégie appliquée
selont l'ordre d'application ci-dessus.

L'ordre de priorité est donc:

Unité d'organisation
Domaine
Site
Local

Deux options sont utilisables pour modifier l'ordre de priorité
des stratégies.

Bloquer l'héritage

Rend la stratégie prioritaire sur toutes les stratégies
des conteneurs parents.

Cette option s'applique à TOUTES les stratégies
liées à l'OU sur laquelle elle est activée.


Ne pas passer outre (Aucun remplacement)

Rend les paramètres de stratégie prioritaires sur toutes les stratégies
des conteneurs enfant.(pour les paramètres en conflit uniquement)

Cette option s'applique uniquement à la stratégie pour laquelle elle est activée.

Plusieurs stratégies appliquées à la même OU

Là encore, les stratégies se cumulent.
Si des paramètres entrent en conflit, la stratégie située en premier dans la liste
est prioritaire. L'ordre des stratégies est modifiable.

Dépannage

La fréquence d'actualisation des stratégies est de 5 minutes sur les contrôleurs de domaine.

La fréquence d'actualisation des stratégies est de 90 minutes sur les clients et les serveurs membres.

Cette fréquence d'actualisation des stratégies est modifiable:

ORDINATEUR\Modèles d'administration\Système\Stratégie de groupe\

Il est possible de forcer l'actualisation d'une stratégie afin que les modifications prennent
effet immédiatement. Cette manipulation se fait à l'aide du programme SECEDIT.EXE

Secedit /refreshpolicy machine_policy pour les paramètres ordinateur.

Secedit /refreshpolicy user_policy pour les paramètres utilisateur.

Il est possible d'afficher les événements liés aux stratégies en ajoutant une valeur dans
le registre.

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

ajouter une valeur DWORD: RunDiagnosticLogginGlobal et mettre cette valeur à 1.

Les stratégies sont appliqués aux objets Utilisateur et Ordinateur contenus
dans l'OU. PAS AUX GROUPES.



Une question ? Donnez votre avis, ou trouver encore plus d'infos : Le Forum