Module 11 : Gestion des environnements d'ordinateurs …csmaniac.free.fr/STRI/cours/L3/Administration%20Syst%E8me/... · structure du service d'annuaire Active Directory ... Il s'agit

Table des matières

Vue d'ensemble 1

Présentation de la console Stratégie de groupe 2

Application d'une stratégie de groupe 7

Examen de l'interface de la console Stratégie de groupe 19

Atelier A : Implémentation d'une stratégie de groupe 21

Configuration du registre à l'aide de la console Stratégie de groupe 31

Affectation de scripts à l'aide de la console Stratégie de groupe 33

Atelier B : Implémentation d'une stratégie de scripts et de modèles d'administration 35

Redirection de dossier à l'aide d'une stratégie de groupe 52

Atelier C : Implémentation d'une stratégie de redirection de dossier 57

Instructions pour l'implémentation d'une stratégie de groupe 62

Contrôle des acquis 64

Module 11 : Gestion des environnements d'ordinateurs à l'aide de la console Stratégie de groupe

Module : Gestion des environnements d'ordinateurs à l'aide de la console Stratégie de groupe 1

Vue d'ensemble

� Présentation de la console Stratégie de groupe� Application d'une stratégie de groupe� Examen de l'interface de la console Stratégie

de groupe� Configuration du registre à l'aide de la console

Stratégie de groupe� Affectation de scripts à l'aide de la console

Stratégie de groupe� Redirection de dossier à l'aide d'une stratégie

de groupe� Instructions pour l'implémentation d'une stratégie

de groupe

Vous pouvez réduire le coût total de possession (TCO, Total Cost of Ownership) de votre réseau à l'aide de la console Stratégie de groupe de Microsoft® Windows® 2000 qui permet de créer un environnement d'ordinateurs géré, adapté aux responsabilités et au niveau d'expérience de l'utilisateur. Le coût TCO est le coût engagé dans l'administration de réseaux d'ordinateurs personnels distribués. Des études récentes sur le coût TCO montrent que la baisse de productivité des utilisateurs est l'un des principaux coûts pour les entreprises. Cette baisse de productivité est souvent liée à une erreur de l'utilisateur, par exemple la modification des fichiers de configuration système, ce qui rend l'ordinateur inutilisable. La console Stratégie de groupe permet à l'administrateur réseau de contrôler davantage les configurations des ordinateurs, ce qui réduit la baisse de productivité potentielle des utilisateurs.

À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

� décrire les fonctionnalités et la structure de la console Stratégie de groupe, notamment les objets stratégie de groupe (GPO, Group Policy Object), les conteneurs de stratégie de groupe (GPC, Group Policy Container) et les modèles de stratégie de groupe (GPT, Group Policy Template) ;

� gérer appliquer une stratégie de groupe en créant des objets stratégie de groupe et en gérant leurs autorisations et leur héritage par le biais de la structure du service d'annuaire Active Directory™ ;

� appliquer une stratégie de groupe en créant un objet GPO ; � configurer dans la console Stratégie de groupe les paramètres des modèles

d'administration afin de configurer les paramètres du registre ; � configurer dans la console Stratégie de groupe les paramètres des scripts

d'ouverture de session et de démarrage ; � configurer dans la console Stratégie de groupe les paramètres de redirection

des dossiers des utilisateurs ; � décrire les instructions pour l'implémentation d'une stratégie de groupe.

Objectif de la diapositive Donner une vue d'ensemble des sujets et des objectifs de ce module.

Introduction Dans ce module, vous allez apprendre à utiliser la console Stratégie de groupe pour gérer des environnements d'ordinateurs sur un réseau Windows 2000.

2 Module : Gestion des environnements d'ordinateurs à l'aide de la console Stratégie de groupe

�� Présentation de la console Stratégie de groupe

� Paramètres de stratégie de groupe

� Objets stratégie de groupe

La stratégie de groupe est la technologie qui permet à un administrateur de gérer des environnements d'ordinateurs sur un réseau Windows 2000 en appliquant des paramètres de configuration à des comptes d'ordinateur et d'utilisateur. Les paramètres de la console Stratégie de groupe sont contenus dans les objets GPO.

Objectif de la diapositive Présenter les composants de la console Stratégie de groupe.

Introduction La stratégie de groupe est la technologie qui permet à un administrateur de gérer des environnements d'ordinateurs.


Paramètres de stratégie de groupe

� Technologie IntelliMirror� Établissement de configurations applicables� Spécification de paramètres pour :

Modèlesd'administration

ModèlesModèlesd'administrationd'administration

SécuritéSécuritéSécurité

Installationdes logiciels

InstallationInstallationdesdes logicielslogiciels

ScriptsScriptsScripts

Redirectionde dossier

RedirectionRedirectionde dossierde dossier

Paramètres de la console Stratégie de groupe basés sur le registreParamètres de la console Stratégie de groupe basés sur le registre

Options de sécurité pour les niveaux local, domaine et réseauOptions de sécurité pour les niveaux local, domaine et réseau

Gestion centralisée de l'installation des logicielsGestion centralisée de l'installation des logiciels

Scripts de démarrage/d'arrêt, d'ouverture/fermeture de sessionScripts de démarrage/d'arrêt, d'ouverture/fermeture de session

Stockage des dossiers des utilisateurs sur le réseauStockage des dossiers des utilisateurs sur le réseau

La console Stratégie de groupe est l'un des composants de Microsoft IntelliMirror™, avec Active Directory, le Gestionnaire de synchronisation, les fichiers déconnectés et les services d'installation à distance. Les technologies de gestion IntelliMirror forment un ensemble de fonctionnalités puissantes intégrées dans Windows 2000, conçues pour la gestion de la configuration de bureau, et de ses modifications. IntelliMirror utilise des fonctionnalités dans Windows 2000 Server et Windows 2000 Professionnel qui permettent aux données, aux logiciels et aux paramètres propres à un utilisateur de le suivre.

La stratégie de groupe dans Windows 2000 permet à un administrateur de définir une seule fois une condition pour un utilisateur ou un ordinateur, condition qui sera respectée de façon permanente. Par exemple, l'administrateur peut implémenter les paramètres de la console Stratégie de groupe qui engendreront les événements suivants :

� exécution d'un script de démarrage sur tous les ordinateurs d'une unité d'organisation ;

� audit de toutes les tentatives d'ouverture de session infructueuses dans un domaine.

Objectif de la diapositive Expliquer les différents types de paramètres pouvant être configurés dans les stratégies de groupe.

Introduction La stratégie de groupe peut vous aider à réduire le coût TCO d'administration d'un réseau.


Pour définir les paramètres de la console Stratégie de groupe pour les configurations du bureau pour les ordinateurs et les utilisateurs, vous utilisez la console Stratégie de groupe et ses extensions dans la console MMC (Microsoft Management Console). Vous pouvez spécifier ces paramètres avec les extensions décrites ci-dessous.

� Modèles d'administration. Paramètres de la console Stratégie de groupe basés sur le registre qui configurent les paramètres d'application, la présentation du bureau et le comportement des services système.

� Sécurité. Options pour les paramètres de sécurité du réseau, des domaine et des ordinateurs locaux.

� Installation des logiciels. Gestion centralisée de l'installation des logiciels, de leurs mises à jour et de leur désinstallation.

� Scripts. Scripts pour le démarrage et l'arrêt d'un ordinateur, et pour l'ouverture et la fermeture d'une session par un utilisateur.

� Redirection de dossier. Fonction de stockage des dossiers des utilisateurs sur le réseau.


Objets stratégie de groupe

Objet GPO

Emplacement de stockage virtuel pour lesparamètres de stratégie

� Situé dans Active Directory � Stocke des informations de

version et d'état

� Situé dans le dossier Sysvoldes contrôleurs de domaine

� Stocke des informations destratégie

Conteneur de stratégiede groupe

Modèle de stratégie de groupe

Sous Windows 2000, vous pouvez créer un objet de stratégie de groupe, puis configurer ses paramètres. Cet objet constitue un emplacement de stockage virtuel pour les paramètres de la console Stratégie de groupe. En regroupant des paramètres dans des objets GPO distincts, vous pouvez spécifier différentes configurations pour chacun de ces objets et faire en sorte qu'ils ne portent que sur les ordinateurs et utilisateurs que vous spécifiez.

Le contenu de l'objet GPO est stocké à deux endroits différents : le conteneur de stratégie de groupe et le modèle de stratégie de groupe.

Conteneur de stratégie de groupe Il s'agit d'un objet Active Directory qui contient les attributs des objets GPO et inclut des sous-conteneurs pour les informations de stratégie de groupe relatives aux ordinateurs et aux utilisateurs. Il comporte les informations ci-dessous.

� Informations de version. Garantit la synchronisation des informations du conteneur de stratégie de groupe et du modèle de stratégie de groupe.

� Informations d'état. Indique si l'objet GPO est activé ou désactivé. � Liste d'extensions. Énumère les extensions de la console Stratégie de groupe

utilisées dans l'objet GPO.

Objectif de la diapositive Identifier le contenu des objets stratégie de groupe.

Introduction Les paramètres de la console Stratégie de groupe sont contenus dans un objet GPO.

Points clés Un objet GPO contient les paramètres de la console Stratégie de groupe.


Modèle de stratégie de groupe Il s'agit d'une hiérarchie de dossiers située dans le dossier Sysvol des contrôleurs de domaine. Il contient toutes les informations de stratégie de groupe relatives aux modèles d'administration, à la sécurité, à l'installation des logiciels, aux scripts et à la redirection de dossier.

Lorsque vous créez un objet GPO, Windows 2000 crée la hiérarchie de dossiers du modèle GPT correspondante. Le nom du dossier de ce modèle est l'identificateur universel unique (GUID, Globally Unique Identifier) de l'objet GPO que vous avez créé.

Par exemple, si vous associez un objet GPO à un domaine appelé namerica.contoso.msft, et que cet objet se voit affecter l'identificateur {A3A2C853-F033-11D1-9BE4-00C0DFE00C63}, le nom du dossier du modèle GPT qui en résulte est le suivant :

racine_système\Sysvol\Sysvol\Namerica.contoso.msft\Policies\ {A3A2C853-F033-11D1-9BE4-00C0DFE00C63}


�� Application d'une stratégie de groupe

� Héritage de la stratégie de groupe dans Active Directory

� Résolution des conflits et modification de l'héritage

� Traitement des objets stratégie de groupe

� Création d'un objet stratégie de groupe

� Gestion des autorisations sur les objets stratégiede groupe

� Gestion du traitement de la stratégie de groupe

Active Directory permet de simplifier les tâches d'administration en appliquant, par exemple, un objet GPO à un conteneur donné dans votre structure de réseau et d'en faire hériter toute la hiérarchie. Vous devez comprendre cette procédure d'héritage et l'ordre de traitement des objets GPO pour planifier efficacement une stratégie de groupe.

Objectif de la diapositive Identifier les sujets relatifs à l'application d'une stratégie de groupe.

Introduction Des objets GPO sont associés ou liés à des conteneurs Active Directory.


Héritage de la stratégie de groupe dans Active Directory

� Tous les domaines du site reçoivent les mêmes paramètres desécurité

� La comptabilité reçoit son propre menu Démarrer et le papier peint du domaine approprié

� Les unités d'organisation 1 et 2 reçoivent chacune un script d'ouverture de session unique

SiteSite

UO1UO1

� Configurer le menu Démarrer� Définir le papier peint

� Appliquer des ouvertures de sessionsécurisées

� Ajouter des clés de registre

� Configurer le menu Démarrer� Spécifier le script d'ouverture de

session

� Spécifier le script d'ouverture de session

DomaineDomaine

UO2UO2

222

333

111

Lorsque vous créez un objet GPO, vous l'associez à un conteneur Active Directory sélectionné (site, domaine ou unité d'organisation). Les paramètres de cet objet affectent les comptes d'ordinateur et d'utilisateur dans ce conteneur et tous les conteneurs enfants. Vous pouvez associer plusieurs conteneurs Active Directory au même objet GPO et plusieurs objets GPO à un seul conteneur Active Directory.

Ordre d'héritage Windows 2000 évalue les objets GPO en commençant par le conteneur Active Directory le plus éloigné de l'ordinateur ou de l'utilisateur. Windows 2000 traite d'abord les objets GPO du site auquel le compte d'ordinateur ou d'utilisateur appartient. Il traite ensuite ceux du domaine du compte, puis ceux du chemin de l'unité d'organisation dans lequel le compte se trouve. Il peut arriver que les comptes d'ordinateur et d'utilisateur existent dans différents sites, domaines et/ou unités d'organisation. Dans ce cas, Windows 2000 traite tous les objets GPO applicables à l'un ou l'autre compte.

Application de la stratégie de groupe aux sites Tous les comptes se trouvant dans chaque domaine d'un site héritent des objets GPO liés à ce site. Toutefois, l'objet GPO n'est stocké que dans un domaine. Par conséquent, chaque compte du site doit contacter un contrôleur de domaine dans le domaine contenant l'objet GPO, ce qui augmente le trafic sur le réseau. Tenez bien compte des implications liées au trafic réseau lors de la création de l'objet GPO d'un site.

Objectif de la diapositive Expliquer l'ordre d'héritage des objets GPO dans la structure d'Active Directory.

Introduction Les paramètres de la console Stratégie de groupe sont hérités et se cumulent.

Points clés L'ordre d'héritage des objets GPO est un concept important. Insistez sur le fait que les comptes d'ordinateur et d'utilisateur peuvent ou non être associés à des héritages distincts. Insistez également sur le fait que chaque compte hérite de tous les objets GPO du chemin complet de l'unité d'organisation dans lequel il se trouve.


Résolution des conflits et modification de l'héritage

� Résolution des conflits

� Enfant non configuré = Application des paramètresdu parent

� Enfant configuré, compatible = Application des deux jeux de paramètres

� Enfant configuré, non compatible = Application desparamètres de l'enfant

� Modification de l'héritage

� Ne pas passer outre

� Bloquer l'héritage de stratégies

Si vous implémentez des stratégies de groupe complexes, des conflits risquent d'apparaître et vous serez probablement amené à apporter des modifications à l'ordre d'héritage défini par défaut.

Résolution des conflits Lorsqu'un paramètre de la console Stratégie de groupe est configuré pour une unité d'organisation parent et qu'il n'est pas configuré pour une unité d'organisation enfant, les objets de cette dernière héritent du paramètre de la console Stratégie de groupe de l'unité d'organisation parent.

Si un paramètre de la console Stratégie de groupe est configuré à la fois pour les unités d'organisation parent et enfant et que les paramètres sont compatibles, les paramètres des deux unités d'organisation s'appliquent. Si les paramètres sont incompatibles, l'unité d'organisation enfant conserve son propre paramètre de stratégie de groupe. En d'autres termes, un paramètre de la console Stratégie de groupe du conteneur Active Directory le plus proche de l'ordinateur ou de l'utilisateur peut remplacer un paramètre en conflit dans un conteneur situé plus haut dans la hiérarchie d'Active Directory.

Objectif de la diapositive Identifier les sujets pertinents pour résoudre les conflits liés à l'héritage d'une stratégie de groupe et modifier l'héritage.

Introduction Si vous implémentez des stratégies de groupe complexes, des conflits risquent d'apparaître et vous serez probablement amené à apporter des modifications à l'ordre d'héritage défini par défaut.


Modification de l'héritage Si l'ordre d'héritage par défaut ne répond pas aux besoins de votre entreprise, vous pouvez modifier les règles d'héritage pour des objets GPO spécifiques. Windows 2000 propose deux options de modification du traitement par défaut.

� Ne pas passer outre. Utilisez cette option pour empêcher les conteneurs enfants de remplacer un objet GPO défini dans un objet GPO de niveau supérieur. Cette option permet d'appliquer une stratégie de groupe qui reflète les règles de gestion à respecter dans toute l'entreprise. Cette option est définie objet par objet. Elle peut être appliquée à un ou plusieurs objets GPO, en fonction de vos besoins. Lorsqu'elle s'applique à plusieurs objets GPO, c'est l'objet GPO situé le plus haut dans la hiérarchie d'Active Directory qui est prioritaire.

� Bloquer l'héritage de stratégies. Utilisez cette option pour permettre à un conteneur enfant de bloquer l'héritage d'une stratégie provenant de tous les conteneurs parents. Cette option est utile lorsqu'une unité d'organisation nécessite des paramètres de console Stratégie de groupe uniques. Elle est définie par conteneur. En cas de conflit, l'option Ne pas passer outre est toujours prioritaire sur l'option Bloquer l'héritage de stratégies.


Traitement des objets stratégie de groupe

� La stratégie de groupe est actualisée sur les ordinateurs clients toutes les 90 minutes et sur les contrôleurs de domaine toutes les 5 minutes

Windows 2000 :� Application des paramètres

d'utilisateur de la stratégie de groupe� Exécution des scripts d'ouverture de session

Windows 2000 :� Application des paramètres

d'ordinateur de la stratégie de groupe� Exécution des scripts de démarrage

L'ordinateurdémarre

L'ordinateurdémarre

L'utilisateur se connecteL'utilisateur se connecte

Les paramètres de la console Stratégie de groupe d'un objet GPO sont traités dans un ordre précis. Les paramètres destinés aux utilisateurs sont configurés dans la zone de la console Stratégie de groupe nommée Configuration utilisateur. Les paramètres destinés aux ordinateurs sont configurés dans Configuration ordinateur. Cependant, certains paramètres destinés aux utilisateurs peuvent également avoir une incidence sur les ordinateurs. Par exemple, les autorisations permettant d'utiliser la commande Exécuter du menu Démarrer peuvent être définies à la fois dans Configuration ordinateur et dans Configuration utilisateur. En comprenant l'ordre dans lequel Windows 2000 traite les paramètres de la console Stratégie de groupe, vous pouvez réduire les risques de remplacement des paramètres.

Examen de l'ordre de traitement des objets stratégie de groupe Les paramètres de la console Stratégie de groupe sont traités dans l'ordre décrit ci-dessous. Tous les aspects de cet ordre peuvent être modifiés à l'aide des paramètres de la console Stratégie de groupe.

1. L'ordinateur démarre. a. Les paramètres définis dans la section Configuration ordinateur de la

console Stratégie de groupe de tous les objets GPO associés au compte de l'ordinateur sont traités simultanément.

b. Les scripts de démarrage s'exécutent de façon séquentielle. Autrement dit, chaque script doit être terminé ou annulé avant le démarrage du suivant.

c. Tous les objets GPO ayant une incidence sur le compte d'ordinateur sont traités avant l'affichage de l'écran d'ouverture de session pour l'utilisateur.

Objectif de la diapositive Expliquer l'ordre de traitement des objets stratégie de groupe.

Introduction Gardez bien à l'esprit l'ordre de traitement des paramètres de la console Stratégie de groupe pour éviter de remplacer un paramètre par inadvertance.


2. L'utilisateur ouvre une session. a. Les paramètres définis dans la section Configuration utilisateur de la

console Stratégie de groupe de tous les objets GPO associés au compte d'utilisateur sont traités simultanément.

b. Les scripts d'ouverture de session appliqués via la stratégie de groupe s'exécutent, et l'interface utilisateur Windows 2000 est lancée simultanément.

c. Si certains scripts sont associés à un compte d'utilisateur, ils s'exécutent en dernier.

Actualisation des paramètres de la console Stratégie de groupe Windows 2000 actualise régulièrement les paramètres de la console Stratégie de groupe sur le réseau. Cette opération s'effectue par défaut sur les ordinateurs clients en moyenne toutes les 90 minutes, avec un décalage de plus ou moins 30 minutes. Pour les contrôleurs de domaine, l'actualisation par défaut est réalisée toutes les cinq minutes. Vous pouvez modifier les valeurs par défaut en changeant les paramètres des modèles d'administration. Vous ne pouvez pas planifier pour une heure précise l'application d'un objet GPO à un ordinateur client.

Les paramètres d'installation des logiciels et de redirection de dossier dans un objet GPO ne sont pas traités régulièrement, mais uniquement lors du démarrage d'un ordinateur ou d'une ouverture de session par un utilisateur.

Remarque


Création d'un objet de stratégie de groupe

PropriétésPropriétés

NouveauNouveau

Pour appliquer une stratégie de groupe, vous devez d'abord créer un objet GPO ou lier un objet GPO existant à un conteneur Active Directory.

Association d'un objet GPO à un domaine ou à une unité d'organisation Pour créer un objet GPO ou lier un objet GPO existant, exécutez la procédure ci-dessous.

1. À partir du menu Outils d'administration, ouvrez la console Utilisateurs et ordinateurs Active Directory.

2. Cliquez avec le bouton droit sur le conteneur Active Directory (domaine ou unité d'organisation) pour lequel vous souhaitez créer un objet GPO, puis cliquez sur Propriétés.

3. Dans l'onglet Stratégie de groupe, choisissez l'une des options ci-dessous. a. Pour créer un objet GPO, cliquez sur Nouveau, tapez le nom du nouvel

objet GPO et appuyez sur ENTRÉE. b. Pour lier un objet GPO existant, cliquez sur Ajouter, puis sélectionnez

l'objet GPO dans la liste. L'objet GPO créé ou lié s'affiche dans la liste des objets GPO liés au conteneur Active Directory.

Objectif de la diapositive Expliquer comment créer un objet GPO.

Introduction Pour appliquer une stratégie de groupe, vous devez d'abord créer un objet GPO ou lier un objet GPO existant.


Association d'un objet GPO à un site Pour créer un objet GPO lié à un site, à partir du menu Outils d'administration, ouvrez Sites et services Active Directory, puis exécutez la procédure précédente. Vous devez être membre du groupe Administrateurs de l'entreprise pour pouvoir créer un objet GPO de site.

Par défaut, l'objet GPO du site est stocké sur les contrôleurs du domaine racine de la forêt. Vous pouvez définir un autre domaine en tant qu'emplacement de stockage lorsque vous créez l'objet GPO du site. Pour changer l'emplacement de stockage, cliquez sur le bouton Ajouter dans l'onglet Stratégie de groupe de la boîte de dialogue Propriétés du site. Changez ensuite le domaine dans la zone Regarder dans, puis liez à nouveau l'objet GPO.

Stratégie de groupe et maître d'opérations du contrôleur principal de domaine La console Stratégie de groupe se rapporte toujours au contrôleur de domaine qui est le maître des opérations du contrôleur principal de domaine (CPD). La stratégie de groupe se rapporte toujours au même contrôleur de domaine, de sorte que les modifications ne s'effectuent qu'à un seul endroit.

Si le contrôleur de domaine qui est le maître des opérations du contrôleur CPD n'est pas disponible, un message d'erreur s'affiche et vous êtes invité à sélectionner un autre contrôleur de domaine. Cette opération peut engendrer une perte de données lorsque plusieurs administrateurs modifient le même objet GPO sur des contrôleurs de domaine différents. Dans ce cas, les modifications finales remplacent toutes les modifications antérieures.

N'utilisez l'option de remplacement mentionnée dans le message d'erreur que si les conditions ci-dessous sont remplies.

� Vous êtes certain que personne d'autre n'est en train de modifier l'objet GPO.

� Vous êtes certain que la duplication de tous les objets GPO et fichiers associés est terminée depuis la dernière modification.


Gestion des autorisations sur les objets stratégie de groupe

� Modification des autorisations

� Filtrage de l'étendue d'un objet GPO

� Délégation de contrôle à l'aide d'autorisations

Après avoir créé ou lié un objet GPO, vérifiez que les autorisations appropriées sont définies. Les paramètres de la console Stratégie de groupe d'un objet GPO ne concernent que les ordinateurs et les utilisateurs disposant des autorisations Appliquer la stratégie de groupe et Lire pour cet objet.

Lorsque vous créez un objet GPO, les autorisations par défaut sont définies comme indiqué ci-dessous.

� Le groupe Utilisateurs authentifiés dispose des autorisations Appliquer la stratégie de groupe et Lire.

� Le compte système ainsi que les groupes Administrateurs du domaine et Administrateurs de l'entreprise disposent des autorisations Lire, Écrire, Créer tous les objets enfants et Supprimer tous les objets enfants.

Modification des autorisations Pour modifier les autorisations d'un objet GPO :

1. Ouvrez la boîte de dialogue Propriétés pour le conteneur Active Directory associé à l'objet GPO.

2. Dans l'onglet Stratégie de groupe, cliquez sur Propriétés. 3. Dans l'onglet Sécurité, activez ou désactivez la case à cocher Appliquer la

stratégie de groupe des objets appropriés.

Les autorisations sur les objets GPO fonctionnent selon le même principe que les autorisations sur les fichiers et les dossiers : les autorisations les plus restrictives s'appliquent. Par conséquent, les interdictions d'accès doivent être affectées avec précaution.

Objectif de la diapositive Expliquer comment gérer l'application des objets GPO à l'aide d'autorisations.

Introduction Les autorisations Appliquer la stratégie de groupe et Lire sur un objet GPO contrôlent les personnes concernées par la stratégie de groupe.

Important


Filtrage de l'étendue d'un objet GPO Vous pouvez filtrer l'étendue d'un objet GPO en créant des groupes de sécurité, puis en affectant les autorisations Appliquer la stratégie de groupe et Lire à des groupes sélectionnés, ou en supprimant les autorisations de groupes sélectionnés.

Par exemple, une unité d'organisation de votre domaine contient des comptes d'utilisateur pour les employés permanents et temporaires, et vous souhaitez appliquer un objet GPO distinct à chaque type d'employé. Vous pouvez appliquer les deux objets GPO à l'unité d'organisation, créer un groupe de sécurité pour les employés permanents et un autre pour les employés temporaires, puis affecter les autorisations Appliquer la stratégie de groupe et Lire à chaque groupe, uniquement pour l'objet GPO souhaité.

Délégation de contrôle à l'aide d'autorisations Tout utilisateur disposant des autorisations Lire et Écrire peut utiliser ces autorisations pour déléguer le contrôle sur les objets GPO. À cette fin, l'administrateur réseau crée des groupes d'administrateurs (par exemple, le groupe Administrateurs Marketing), puis affecte les autorisations Lire et Écrire aux objets GPO sélectionnés pour ces groupes.


Gestion du traitement de la stratégie de groupe

� Changement de l'ordre de traitement

� Désactivation des objets stratégie de groupe

� Paramètres d'utilisateur

� Paramètres d'ordinateur

� Objet GPO intégral

� Suppression des objets stratégie de groupe

Pour gérer la stratégie de groupe, outre le contrôle des autorisations sur les objets GPO, vous pouvez changer l'ordre de traitement des objets GPO, désactiver tout ou partie d'un objet GPO, ou encore supprimer des objets GPO.

Changement de l'ordre de traitement Un même conteneur peut réunir plusieurs objets GPO dont les paramètres entrent en conflit. La liste des objets GPO d'un conteneur est traitée en ordre inverse. Par conséquent, un paramètre du premier objet GPO de la liste remplace un paramètre conflictuel d'un objet GPO situé plus loin dans la liste. Vous pouvez changer l'ordre de la liste à l'aide des boutons Haut et Bas de l'onglet Stratégie de groupe.

Désactivation des objets stratégie de groupe Vous pouvez désactiver les paramètres d'utilisateur ou d'ordinateur d'un objet GPO ou bien l'intégralité d'un objet GPO.

Pour accélérer le traitement d'un objet GPO, désactivez les paramètres d'ordinateur lorsque vous créez un objet GPO contenant uniquement des paramètres de stratégie de groupe destinés aux utilisateurs. De même, lorsque vous créez un objet GPO ne contenant que des paramètres d'ordinateur, vous devez désactiver les paramètres d'utilisateur pour cet objet GPO. Pour désactiver les paramètres d'utilisateur ou d'ordinateur d'un objet GPO, sélectionnez-le dans l'onglet Stratégie de groupe, cliquez sur Propriétés, sur l'onglet Général, puis sur Désactiver les paramètres de configuration de l'utilisateur ou Désactiver les paramètres de configuration de l'ordinateur.

Objectif de la diapositive Identifier les sujets relatifs au traitement d'un objet GPO.

Introduction Certaines options vous permettent de modifier le traitement d'un objet GPO par les utilisateurs et les ordinateurs.

Conseils pédagogiques Montrez comment changer l'ordre de traitement des objets GPO.


Vous pouvez également désactiver l'intégralité d'un objet GPO pour l'empêcher d'être appliqué au conteneur sélectionné. La désactivation d'un objet GPO a une incidence uniquement sur son application au conteneur sélectionné et à tout conteneur héritant des paramètres de ce conteneur. L'objet GPO peut toujours être lié à d'autres conteneurs, et s'applique encore aux conteneurs auxquels il est lié, à moins qu'il n'y soit également désactivé. Pour désactiver l'objet GPO, cliquez dans l'onglet Stratégie de groupe sur Options, puis sur Désactiver.

Suppression des objets stratégie de groupe Lorsque vous cliquez sur Supprimer dans l'onglet Stratégie de groupe, deux options vous sont proposées : l'une pour supprimer l'objet GPO de son conteneur, l'autre pour supprimer la liaison entre l'objet et son conteneur. Contrairement à la désactivation, la suppression d'un objet GPO le supprime définitivement d'Active Directory, et supprime également la possibilité de le lier à d'autres conteneurs.

Avant de supprimer un objet GPO, vérifiez à quels conteneurs il est lié dans l'onglet Liaisons de sa boîte de dialogue Propriétés.

Remarque


Examen de l'interface de la console Stratégie de groupe

La création, l'ordre de traitement, les autorisations et l'héritage des objets GPO peuvent être gérés à partir de la boîte de dialogue Propriétés des conteneurs Active Directory. Pour modifier les paramètres de stratégie de groupe, vous utilisez la console Stratégie de groupe. Ces paramètres sont séparés dans la console entre Configuration ordinateur et Configuration utilisateur.

Ouverture de la console Stratégie de groupe Vous pouvez ouvrir la console Stratégie de groupe des deux façons ci-dessous.

� Dans l'onglet Stratégie de groupe de la boîte de dialogue Propriétés pour un site, un domaine ou une unité d'organisation, sélectionnez l'objet GPO à afficher dans la console Stratégie de groupe, puis cliquez sur Modifier.

� Ajoutez le composant logiciel enfichable Stratégie de groupe, puis sélectionnez l'objet GPO que vous voulez configurer.

La console Stratégie de groupe inclut plusieurs extensions. Une extension de stratégie de groupe peut développer le dossier Paramètres Windows ou Paramètres du logiciel sous Configuration ordinateur et/ou Configuration utilisateur. La plupart des extensions ajoutent des paramètres de stratégie de groupe à ces deux dossiers, mais souvent avec des options différentes.

Lorsque vous ouvrez la console Stratégie de groupe en cliquant sur le bouton Modifier, la console s'ouvre avec toutes les extensions de stratégie de groupe. Lorsque vous ajoutez manuellement le composant logiciel enfichable Stratégie de groupe à la console MMC, vous pouvez sélectionner les extensions à ajouter à la console que vous créez.

Objectif de la diapositive Présenter l'interface de la console Stratégie de groupe.

Introduction La console Stratégie de groupe distingue les paramètres de configuration de l'ordinateur et de l'utilisateur.

Conseil pédagogique Ouvrez la console Stratégie de groupe. Affichez les extensions répertoriées sous Configuration utilisateur et sous Configuration ordinateur.


Configuration de l'ordinateur Les paramètres de la console Stratégie de groupe permettant de personnaliser l'environnement du bureau pour tous les utilisateurs d'un ordinateur, ou d'appliquer des stratégies de sécurité sur les ordinateurs d'un réseau, figurent sous Configuration ordinateur. Les stratégies de configuration de l'ordinateur s'appliquent lors de l'initialisation du système d'exploitation.

Les paramètres de configuration de l'ordinateur comprennent toutes les stratégies relatives aux ordinateurs, qui spécifient le comportement du système d'exploitation, les paramètres du bureau, les paramètres d'applications, les paramètres de sécurité, les options des applications affectées et les scripts de démarrage et d'arrêt de l'ordinateur.

Configuration de l'utilisateur Les paramètres de la console Stratégie de groupe qui permettent de personnaliser l'environnement du bureau de l'utilisateur, ou d'appliquer des stratégies de verrouillage sur les utilisateurs, se trouvent sous Configuration utilisateur. Les stratégies relatives aux utilisateurs s'appliquent lorsque ceux-ci ouvrent une session sur l'ordinateur.

Les paramètres de configuration de l'utilisateur comprennent toutes les stratégies relatives à l'utilisateur qui spécifient le comportement du système d'exploitation, les paramètres du bureau, les paramètres d'applications, les paramètres de sécurité, les options des applications affectées et publiées, les scripts d'ouverture et de fermeture de session ainsi que les options de redirection de dossier.

Dossiers de paramètres Les paramètres de la console Stratégie de groupe figurant sous Configuration ordinateur et Configuration utilisateur sont regroupés dans les dossiers suivants :

� Paramètres logiciel � Paramètres Windows � Modèles d'administration

Les sous-dossiers et les paramètres de stratégie de groupe individuels contenus dans chaque dossier diffèrent en fonction de l'élément que vous sélectionnez. Par exemple, les paramètres de redirection de dossier figurent dans le dossier Paramètres Windows de Configuration utilisateur, mais pas de Configuration de l'ordinateur, car la redirection de dossier ne s'applique qu'aux utilisateurs.


Atelier A : Implémentation d'une stratégie de groupe

Objectifs À la fin de cet atelier, vous serez à même d'effectuer les tâches suivantes :

� planifier l'implémentation d'une stratégie de groupe ; � créer des objets GPO ; � définir des autorisations pour déléguer la gestion d'un objet GPO ; � créer une console MMC personnalisée.

Conditions préalables Avant de poursuivre, vous devez savoir utiliser la console Utilisateurs et ordinateurs Active Directory.

Mise en place de l'atelier Pour réaliser cet atelier, vous devez disposer des éléments suivants :

� un ordinateur exécutant Windows 2000 Server, configuré en tant que contrôleur de domaine dans un domaine enfant de nwtraders.msft ;

� un partenaire utilisant un ordinateur exécutant Windows 2000 Advanced Server, configuré en tant que contrôleur de domaine dans un domaine enfant de nwtraders.msft.

Durée approximative de cet atelier : 30 minutes

Objectif de la diapositive Présenter l'atelier.

Introduction Dans cet atelier, vous allez créer des objets stratégie de groupe, modifier des autorisations sur des objets GPO et déléguer l'autorisation d'administration d'un objet GPO.


Exercice 1 Planification de l'implémentation d'une stratégie de groupe

Scénario Vous êtes administrateur d'un domaine enfant de l'entreprise Northwind Traders, et vous êtes chargé de sécuriser les ordinateurs de l'unité Information Services. Les utilisateurs ne doivent pas être en mesure d'exécuter des commandes à partir du menu Démarrer, de modifier des paramètres dans le Panneau de configuration, de mapper des lecteurs réseau ou d'accéder au réseau via Favoris réseau. De plus, les utilisateurs de l'équipe Customer Service ne doivent pas être autorisés à modifier leurs mots de passe.

Objectif Dans cet exercice, vous allez planifier l'implémentation d'une stratégie de groupe, en respectant certaines règles. Le schéma suivant montre la structure de l'unité d'organisation Information Services :


Tâche Détails

Tous les utilisateurs de l'unité d'organisation Information Services, notamment les utilisateurs des unités d'organisation enfants, doivent faire l'objet des limitations ci-dessous. • Pas de commande Exécuter dans le menu Démarrer

• Aucun accès au Panneau de configuration

• Aucun accès au dossier Favoris réseau

• Aucune possibilité de mapper ou de déconnecter des lecteurs réseau

Par ailleurs, les utilisateurs de l'unité d'organisation Customer Support ne doivent pas être autorisés à modifier leurs mots de passe. Où allez-vous créer des objets GPO et quels paramètres chaque objet GPO va-t-il contenir ?

Tous les utilisateurs de l'unité d'organisation Information Services et des unités d'organisation enfants nécessitent désormais un script d'ouverture de session commun. Quelles modifications allez-vous apporter à l'implémentation des objets GPO ?

L'utilisateur ISAdmin doit être chargé de l'implémentation des paramètres de l'unité d'organisation Information Services, ainsi que de ceux des unités d'organisation enfants. Quelles modifications allez-vous apporter à l'implémentation des objets GPO ?


Tâche Détails

De combien d'objets GPO avez-vous besoin au total ?


Exercice 2 Création d'objets stratégie de groupe

Scénario Vous avez élaboré un plan d'implémentation de stratégie de groupe et devez maintenant créer les objets GPO. Vous allez créer un objet GPO pour implémenter les paramètres du modèle d'administration de l'unité d'organisation Information Services, un objet GPO pour les scripts et un autre objet GPO pour les paramètres du modèle d'administration de l'unité d'organisation Customer Service.

Objectif Dans cet exercice, vous allez créer les objets GPO identifiés à l'exercice précédent. La configuration des paramètres fera l'objet d'un autre exercice.

Tâche Détails

Important : Exécutez la procédure ci-dessous une seule fois sur l'ordinateur du partenaire dont le numéro de stagiaire est le plus petit.

1. Exécutez le script Group Policy.vbs. • Chemin d'accès :

C:\MOC\Win1642b\ Labfiles

a. Ouvrez une session sur le domaine en tant qu'Administrateur avec le mot de passe password

b. Cliquez sur Démarrer, puis sur Exécuter et dans la zone Ouvrir, tapez cmd puis cliquez sur OK.

c. À l'invite, tapez "c:\MOC\Win1642b\labfiles\Group Policy.vbs et appuyez sur ENTRÉE.

Les unités d'organisation et les utilisateurs sont créés.

d. Fermez l'invite.

2. Créez l'objet GPO Modèle d'administration pour l'unité d'organisation Information Servicesx. • Nom de la stratégie de

groupe : Modèle d'administration IS

• Créez l'objet GPO Script pour l'unité d'organisation Information Services.

• Nom de la stratégie de groupe : Script IS

a. Ouvrez une session en tant qu'Administrateur avec le mot de passe password

b. À partir du menu Outils d'administration, ouvrez la console Utilisateurs et ordinateurs Active Directory.

c. Développez domaine.nwtraders.msft (où domaine représente le nom de domaine qui vous est affecté).

d. Ouvrez la boîte de dialogue Propriétés de l'unité d'organisation Information Servicesx (où x est égal à 1 si votre numéro de stagiaire est impair ou à 2 s'il est pair).

e. Dans l'onglet Stratégie de groupe, cliquez sur Nouveau.

f. Tapez Modèle d'administration IS et appuyez sur ENTRÉE. Modèle d'administration IS s'affiche dans la liste Liaisons de l'objet Stratégie de groupe.

g. Dans l'onglet Stratégie de groupe, cliquez sur Nouveau.

h. Tapez Script IS et appuyez sur ENTRÉE. Script IS s'affiche dans la liste Liaisons de l'objet Stratégie de groupe.


Tâche Détails

2. (suite)

i. Cliquez sur Fermer.

j. Laissez la console Utilisateurs et ordinateurs Active Directory ouverte.

3. Créez l'objet GPO Modèle d'administration pour l'unité d'organisation Customer Supportx. • Nom de la stratégie de

groupe : Modèle d'administration CS

a. Développez l'unité d'organisation Information Servicesx.

b. Ouvrez la boîte de dialogue Propriétés correspondant à Customer Supportx.

c. Dans l'onglet Stratégie de groupe, cliquez sur Nouveau.

d. Tapez Modèle d'administration CS et appuyez sur ENTRÉE. Modèle d'administration CS s'affiche dans la liste Liaisons de l'objet Stratégie de groupe.

e. Cliquez sur Fermer.

f. Laissez la console Utilisateurs et ordinateurs Active Directory ouverte.


Exercice 3 Préparation de la délégation de l'administration de stratégies de groupe

Scénario Maintenant que vous avez créé les objets GPO, vous voulez déléguer l'autorité à un autre administrateur de sorte qu'il soit autorisé à gérer la stratégie de groupe de l'unité d'organisation Information Services.

Objectif Dans cet exercice, vous allez autoriser un utilisateur à gérer une stratégie de groupe appliquée à un ensemble spécifique d'unités d'organisation.

Tâche Détails

1. Accordez à l'utilisateur ISAdminx les autorisations Lire et Écrire sur l'unité d'organisation Information Services.

a. Dans le menu Affichage de la console Utilisateurs et ordinateurs Active Directory, vérifiez que l'option Fonctionnalités avancées est sélectionnée.

b. Ouvrez la boîte de dialogue Propriétés pour l'unité d'organisation Information Servicesx.

c. Dans l'onglet Sécurité, cliquez sur Ajouter.

d. Cliquez sur ISAdminx, sur Ajouter, puis sur OK.

e. Accordez à l'utilisateur ISAdminx les autorisations Lire et Écrire.

f. Cliquez sur Avancé, sur ISAdminx, puis sur Afficher/Modifier.

g. Dans la zone Appliquer à, cliquez sur Cet objet et tous les objets enfant, sur OK, puis encore sur OK pour revenir à la boîte de dialogue Propriétés de Information Servicesx.

h. Laissez la boîte de dialogue Propriétés de Information Servicesx ouverte.

2. Modifiez les autorisations sur les objets GPO de l'unité Information Services. • Stratégie de groupe :

Script IS

• Utilisateur : ISAdminx

• Autorisations : Lire et Écrire

• Stratégie de groupe : Modèle d'administration IS



a. Dans l'onglet Stratégie de groupe, cliquez sur Script IS, le cas échéant, puis cliquez sur Propriétés.

b. Dans l'onglet Sécurité, cliquez sur Ajouter.

c. Cliquez sur ISAdminx, sur Ajouter, puis sur OK. ISAdminx s'affiche dans la liste des utilisateurs et des groupes disposant d'autorisations sur la stratégie Script IS.


Tâche Détails

Au vu des autorisations actuelles, ISAdminx est-il en mesure de modifier cet objet GPO ? Pourquoi ?

Les paramètres de cet objet GPO s'appliquent-ils à ISAdminx ? Pourquoi ?

2. (suite) d. Accordez à l'utilisateur ISAdminx les autorisations Lire et Écrire, puis cliquez sur OK.

e. Répétez les étapes a à d pour configurer les mêmes autorisations pour l'utilisateur ISAdminx sur l'objet GPO Modèle d'administration IS, puis cliquez sur OK pour fermer la boîte de dialogue Propriétés de Information Servicesx.

f. Laissez la console Utilisateurs et ordinateurs Active Directory ouverte.

3. Modifiez les autorisations sur l'objet GPO de l'unité Customer Support. • Stratégie de groupe :

Modèle d'administration CS



a. Développez Information Servicesx si nécessaire, puis ouvrez la boîte de dialogue Propriétés de Customer Supportx.

b. Dans l'onglet Stratégie de groupe, cliquez sur l'objet GPO Modèle d'administration CS, le cas échéant, puis sur Propriétés.

c. Dans l'onglet Sécurité, cliquez sur Ajouter.

d. Cliquez sur ISAdminx, sur Ajouter, puis sur OK. ISAdminx s'affiche dans la liste des utilisateurs et des groupes disposant d'autorisations sur la stratégie Script IS.

Au vu des autorisations actuelles, ISAdminx est-il en mesure de modifier cet objet GPO ? Pourquoi ?


Tâche Détails

Les paramètres de cet objet GPO s'appliquent-ils à ISAdminx ? Pourquoi ?

3. (suite) e. Accordez à l'utilisateur ISAdminx les autorisations Lire et Écrire, puis cliquez sur OK.

f. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Customer Supportx.

g. Fermez la fenêtre Utilisateurs et ordinateurs Active Directory.

4. Créez un outil d'administration personnalisé pour l'utilisateur ISAdminx. • Composant logiciel

enfichable : Utilisateurs et ordinateurs Active Directory.

• Racine de la console : Information Servicesx

a. Cliquez sur Démarrer, puis sur Exécuter et tapez mmc.exe dans la boîte de dialogue Exécuter. Cliquez sur OK.

b. Dans le menu Console, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

c. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Ajouter, puis sur Utilisateurs et ordinateurs Active Directory. Cliquez sur Ajouter, puis sur Fermer.

d. Cliquez sur OK pour fermer la boîte Ajouter/Supprimer un composant logiciel enfichable.

Utilisateurs et ordinateurs Active Directory s'affiche dans le volet de la console, sous la racine de celle-ci.

e. Développez Utilisateurs et ordinateurs Active Directory, puis domaine.nwtraders.msft.

f. Cliquez avec le bouton droit sur Information Servicesx, puis cliquez sur Nouvelle fenêtre à partir d'ici.

Une nouvelle fenêtre s'affiche avec l'unité d'organisation Information Servicesx comme nœud racine.

g. Dans le menu Fenêtre, cliquez sur Racine de la console et n'enregistrez pas les modifications.

h. Fermez la fenêtre première fenêtre Racine de la console.

i. Dans le menu Console, cliquez sur Options.

j. Dans l'onglet Console, remplacez le nom de la fenêtre par ISAdmin, puis dans la liste Mode de console, sélectionnez Mode utilisateur - accès limité, fenêtre unique.

k. Cliquez sur Ne pas enregistrer les modifications apportées à cette console, puis sur OK.


Tâche Détails

4. (suite) l. Dans le menu Console, cliquez sur Enregistrer sous, puis dans la liste Enregistrer dans, parcourez l'arborescence pour atteindre C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ Outils d'administration.

m. Dans la zone Nom de fichier, tapez ISAdmin puis, cliquez sur Enregistrer.

n. Fermez la console ISAdmin, puis confirmez qu'ISAdmin figure dans le menu Outils d'administration.

Important : Avant de commencer la procédure ci-dessous, attendez que votre partenaire ait terminé celle qui précède.

5. Démarrez la duplication entre les contrôleurs de domaine.

a. À partir du menu Outils d'administration, ouvrez Sites et services Active Directory .

b. Développez Sites, Premier_Site_par_defaut, Serveurs, puis Ordinateur (où Ordinateur représente le nom de l'ordinateur qui vous est affecté).

c. Cliquez sur NTDS Settings.

d. Cliquez avec le bouton droit sur l'objet connexion qui représente le lien avec l'ordinateur de votre partenaire, puis cliquez sur Répliquer maintenant.

Une boîte de dialogue s'affiche et vous indique que la connexion a bien été dupliquée.

e. Cliquez sur OK.

f. Fermez Sites et services Active Directory, puis fermez la session.


Configuration du registre à l'aide de la console Stratégie de groupe

IgnorerIgnorerNe pas implémenter,

supprimerNe pas implémenter,

supprimerImplémenterImplémenter

Le dossier Modèles d'administration comprend toutes les informations de la console Stratégie de groupe basées sur le registre. Les paramètres de la console Stratégie de groupe propres à un utilisateur sont écrits dans la clé de registre HKEY_CURRENT_USER\Software\Policies et ceux qui sont propres à l'ordinateur dans HKEY_LOCAL_MACHINE\Software\Policies.

Dans les versions précédentes de Windows, les paramètres de la console Stratégie de groupe restaient dans le registre jusqu'à leur suppression, par ajout d'un paramètre ou par modification directe du registre. Toutefois, Windows 2000 supprime automatiquement du registre les paramètres de la console Stratégie de groupe lorsque l'objet GPO ayant implémenté la stratégie de groupe ne s'applique plus.

Objectif de la diapositive Expliquer comment modifier les paramètres de la console Stratégie de groupe dans Modèles d'administration.

Introduction Les paramètres de la console Stratégie de groupe du dossier Modèles d'administration figurent dans le registre.


Pour modifier les paramètres de la console Stratégie de groupe dans le dossier Modèles d'administration, exécutez la procédure ci-dessous.

1. Ouvrez l'objet GPO dans la console Stratégie de groupe. 2. Développez Configuration ordinateur ou Configuration utilisateur, puis

Modèles d'administration. 3. Développez l'élément qui représente la stratégie que vous voulez modifier

(par exemple, Configuration utilisateur, le dossier Modèles d'administration, puis Bureau).

4. Dans le volet des informations, cliquez avec le bouton droit sur la stratégie à modifier, puis cliquez sur Propriétés. Configurez les paramètres des modèles d'administration suivant les critères décrits ci-dessous.

• Si l'option Non configurée est sélectionnée, Windows 2000 ignore les paramètres de stratégie de groupe et n'apporte aucune modification à l'ordinateur.

• Si l'option Activée est sélectionnée, les paramètres sont implémentés. Mais si cette option a été sélectionnée lors de la dernière ouverture de session par l'utilisateur, aucune modification n'est apportée.

• Si l'option Désactivée est sélectionnée, le paramètre n'est pas implémenté. Si le paramètre Stratégie de groupe a précédemment été implémenté, il est supprimé du registre lors de la prochaine application de la stratégie.

Vous pouvez déplacer la boîte de dialogue Propriétés sur le côté pour que les paramètres de la console Stratégie de groupe restent visibles, puis utiliser les boutons Stratégie suivante et Stratégie précédente pour faire défiler les divers paramètres disponibles. En outre, la boîte de dialogue Propriétés comporte un onglet Expliquer qui donne des informations détaillées sur la fonction et l'utilisation de chaque paramètre.


Affectation de scripts à l'aide de la console Stratégie de groupe

Démarrage/arrêtDémarrageDémarrage//arrêtarrêt

UtilisateurUtilisateur

OrdinateurOrdinateur

Ouverture/fermeture de session

OuvertureOuverture//fermeture fermeture de sessionde session

Configuration ordinateurConfiguration ordinateur

Démarrage/arrêtDémarrageDémarrage//arrêtarrêt

ScriptsScripts

Configuration utilisateurConfiguration utilisateur

Ouverture/fermeture de sessionOuvertureOuverture//fermeture fermeture de sessionde session

Microsoft Windows NT® ne contenait que des scripts d'ouverture de session. Sous Windows 2000, la console Stratégie de groupe permet d'affecter des scripts aux utilisateurs et aux ordinateurs. Pour les utilisateurs, vous pouvez affecter des scripts qui s'exécutent lors de la procédure d'ouverture ou de fermeture de session. Pour les ordinateurs, vous pouvez affecter des scripts qui s'exécutent lors de la procédure de démarrage et d'arrêt.

Windows 2000 exécute les scripts dans l'ordre ci-dessous.

� Lorsque vous affectez plusieurs scripts d'ouverture/de fermeture de session ou de démarrage/d'arrêt à un utilisateur ou un ordinateur, les scripts sont exécutés de haut en bas dans les listes telles qu'elles figurent dans la boîte de dialogue Propriétés des paramètres de stratégie de groupe.

� Lorsqu'un ordinateur est arrêté, Windows 2000 traite d'abord les scripts de fermeture de session, puis les scripts d'arrêt.

� Par défaut, le délai de traitement des scripts est de dix minutes. Si le traitement d'un script nécessite plus de dix minutes, vous devez ajuster la valeur de ce de délai d'expiration, en modifiant le délai d'attente. Pour accéder au paramètre Délai d'attente maximal pour les scripts de stratégie de groupe, développez Configuration ordinateur, Modèles d'administration, Système, puis cliquez sur Ouverture de session.

Objectif de la diapositive Illustrer le concept de stratégie de script.

Introduction Vous pouvez utiliser la console Stratégie de groupe pour exécuter des scripts lors d'événements spécifiques.


Pour définir les paramètres de la console Stratégie de groupe pour les scripts, exécutez la procédure ci-dessous.

1. Ouvrez l'objet GPO approprié dans Stratégie de groupe, puis sous Configuration ordinateur (pour les scripts de démarrage et d'arrêt) ou sous Configuration utilisateur (pour les scripts d'ouverture et de fermeture de session), développez Paramètres Windows, puis Scripts.

2. Cliquez avec le bouton droit sur le type de script approprié (démarrage, arrêt, ouverture de session ou fermeture de session), puis cliquez sur Propriétés.

3. Dans la boîte de dialogue Propriétés, cliquez sur Afficher les fichiers. 4. Copiez le fichier de script dans la fenêtre qui s'affiche, puis fermez cette

dernière. 5. Dans la boîte de dialogue Propriétés, cliquez sur Ajouter, sur Parcourir,

sélectionnez le script que vous venez de copier, puis cliquez sur Ouvrir. 6. Ajoutez tous les paramètres de script nécessaires, puis cliquez sur OK.

Bien que Windows 2000 vous permette toujours d'affecter des scripts à des utilisateurs dans la boîte de dialogue Propriétés pour les comptes d'utilisateur, la stratégie de groupe constitue la méthode d'affectation de scripts la plus appropriée.

Remarque


Atelier B : Implémentation d'une stratégie de scripts et de modèles d'administration

Objectifs À la fin de cet atelier, vous serez à même d'effectuer les tâches suivantes :

� configurer, appliquer et tester les paramètres des modèles d'administration et des scripts ;

� modifier les paramètres d'héritage d'un objet GPO.

Conditions préalables Avant de poursuivre, vous devez savoir utiliser la console Utilisateurs et ordinateurs Active Directory.


• un ordinateur exécutant Windows 2000 Server, configuré en tant que contrôleur de domaine dans un domaine enfant de nwtraders.msft ;



Introduction Dans cet atelier, vous allez créer un objet GPO, puis configurer les modèles d'administration et les paramètres des scripts.


Exercice 1 Implémentation d'une stratégie de groupe

Scénario Chez Northwind Traders, vous êtes l'administrateur chargé de gérer les paramètres de stratégie de groupe. Vous voulez modifier certains paramètres de stratégie de groupe définis par l'administrateur précédent.

Objectif Dans cet exercice, vous allez ouvrir une session en tant qu'ISAdminx, et modifier les objets GPO créés par l'administrateur afin d'implémenter les paramètres ci-dessous. � Tous les utilisateurs de l'unité d'organisation Information Services et des

unités d'organisation enfants doivent disposer d'un script d'ouverture de session commun. � Tous les utilisateurs de l'unité d'organisation Information Services et des

unités d'organisation enfants doivent faire l'objet des limitations ci-dessous.

• Pas de commande Exécuter dans le menu Démarrer


• Aucun accès au dossier Favoris réseau.

• Aucune possibilité de mapper ou de déconnecter des lecteurs réseau � Les utilisateurs de l'unité d'organisation Customer Support ne doivent pas

être autorisés à modifier leurs mots de passe.

Tâche Détails

Important : Si vous avez suivi l'atelier C du module 5 « Administration d'Active Directory », passez à la tâche 2.

1. Accordez le droit Ouvrir une session localement au groupe local Utilisateurs en utilisant le fichier de commandes Lrights.bat.

• Chemin d'accès : C:\MOC\Win1642b\ Labfiles

a. Ouvrez une session sur le domaine en tant qu'Administrateur avec le mot de passe password

b. Cliquez sur Démarrer, sur Exécuter, puis, dans la zone Ouvrir, tapez cmd et cliquez sur OK.

c. À l'invite, tapez c:\MOC\Win1642b\labfiles\lrights.bat et appuyez sur ENTRÉE.

Ainsi, le droit Ouvrir une session localement sera accordé au groupe local Utilisateurs pour les ordinateurs qui appartiennent

à l'unité d'organisation Domain Controllers.

d. Fermez l'invite.


Tâche Détails

2. Copiez le script d'ouverture de session Information Services.vbs dans le dossier approprié. Ce fichier se trouve dans le dossier \\London\Labfiles\Scripts

a. Ouvrez une session en tant qu'ISAdminx (où x est égal à 1 si votre numéro de stagiaire est impair ou à 2 s'il est pair) avec le mot de passe password

b. À partir du menu Outils d'administration, ouvrez ISAdmin.

c. Ouvrez la boîte de dialogue Propriétés pour l'unité d'organisation Information Servicesx.

d. Dans l'onglet Stratégie de groupe, cliquez sur Script IS, puis cliquez sur Modifier.

e. Sous Configuration utilisateur, développez Paramètres Windows, puis cliquez sur Scripts (ouverture/fermeture de session).

f. Dans le volet des informations, double-cliquez sur Ouverture de session.

g. Dans la boîte de dialogue Propriétés de Ouverture de session, cliquez sur Afficher les fichiers.

Une fenêtre s'affiche et présente le contenu du dossier Ouverture de, actuellement vide.

h. Cliquez sur Démarrer, sur Exécuter, tapez \\london\labfiles\scripts et cliquez sur OK.

Une fenêtre s'affiche et présente le contenu du dossier Scripts.

i. Copiez le script Information Services de la fenêtre Scripts dans la fenêtre Ouverture de, puis fermez les deux fenêtres.

Le script d'ouverture de session de l'unité d'organisation Information Services figure désormais dans le dossier approprié.

j. Dans la boîte de dialogue Propriétés de Ouverture de session, cliquez sur Ajouter.

k. Dans la boîte de dialogue Ajout d'un script, cliquez sur Parcourir, sur Information Services, sur Ouvrir et enfin sur OK.

l. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Ouverture de session, puis fermez Stratégie de groupe.

3. Définissez les limitations requises dans la stratégie Modèle d'administration IS. • Supprimez la commande

Exécuter du menu Démarrer.

• Désactivez le Panneau de Configuration.

• Masquez l'icône Favoris réseau sur le bureau.

• Supprimez les options Connecter un lecteur réseau et Déconnecter un lecteur réseau.

a. Dans la boîte de dialogue Propriétés de Information Servicesx, cliquez sur Modèle d'administration IS, puis sur Modifier.

b. Sous Configuration utilisateur, développez Modèles d'administration.

La première limitation consiste à supprimer la commande Exécuterdu menu Démarrer.

c. Dans le volet de la console, cliquez sur Menu Démarrer et Barre des tâches, puis dans le volet des informations, double-cliquez sur Supprimer le menu Exécuter du menu Démarrer.

d. Dans la boîte de dialogue Supprimer le menu Exécuter du menu Démarrer, dans l'onglet Stratégie, sélectionnez Activé.


Tâche Détails

3. (suite)

e. Cliquez sur OK. Remarquez que la valeur de la colonne Paramètre pour cette stratégie est devenue Activé.

f. Utilisez le tableau suivant pour activer les autres limitations requises : Dossier Stratégie Panneau de configuration Désactiver le panneau de configuration

Bureau Masquer l'icône Favoris réseau sur le bureau

Composants Windows Supprimer les options Connecter un \Windows Explorer lecteur réseau et Déconnecter un lecteur réseau

g. Fermez Stratégie de groupe, puis cliquez sur OK pour fermer la boîte de dialogue Propriétés de Information Servicesx.

4. Définissez les limitations requises dans la stratégie Modèle d'administration CS. • Désactivez la

modification du mot de passe.

a. Ouvrez la boîte de dialogue Propriétés correspondant à Customer Supportx.

b. Dans l'onglet Stratégie de groupe, cliquez sur Modèle d'administration CS, puis sur Modifier.

c. Sous Configuration utilisateur, développez Modèles d'administration, puis Système, et cliquez sur Ouverture/fermeture de session.

d. Dans le volet des informations, double-cliquez sur Désactiver la modification du mot de passe.

e. Dans l'onglet Stratégie, cliquez sur Activée, puis sur OK.

f. Fermez Stratégie de groupe, puis cliquez sur OK pour fermer la boîte de dialogue Propriétés de Customer Supportx.

g. Fermez ISAdmin, puis fermez la session.

Important : Avant de commencer la procédure ci-dessous, attendez que votre partenaire ait terminé celle qui précède.


Tâche Détails



b. À partir du menu Outils d'administration, ouvrez Sites et services Active Directory.

c. Développez Sites, Premier_Site_par_defaut, Serveurs, puis Ordinateur (où Ordinateur représente le nom de l'ordinateur qui vous est affecté).

d. Cliquez sur NTDS Settings.

e. Cliquez avec le bouton droit sur l'objet connexion qui représente le lien avec l'ordinateur de votre partenaire, puis cliquez sur Répliquer maintenant.

Une boîte de dialogue s'affiche pour vous indiquer que la connexion a bien été dupliquée.

f. Cliquez sur OK.

g. Fermez Sites et services Active Directory.

h. Fermez la session.


Exercice 2 Test d'une stratégie de groupe

Scénario Maintenant que vous avez modifié les paramètres de la console Stratégie de groupe, vous voulez les tester pour vérifier que toutes les modifications apportées sont entrées en vigueur comme prévu.

Objectif Dans cet exercice, vous allez ouvrir plusieurs sessions au moyen de comptes d'utilisateur différents afin de tester les paramètres de la console Stratégie de groupe implémentés dans l'exercice précédent.

Tâche Détails

1. Testez la stratégie de groupe. Notez les résultats.

a. Ouvrez une session en tant que HDUserx avec le mot de passe password

Le script d'ouverture de session s'est-il exécuté ? Pourquoi ?

Les limitations suivantes ont-elles été appliquées ? Pourquoi ? Pas de commande Exécuter dans le menu Démarrer Aucun accès au Panneau de configuration Aucun accès au dossier Favoris réseau Aucune possibilité de mapper ou de déconnecter des lecteurs réseau

1. (suite) b. Appuyez sur CTRL+ALT+SUPPR.


Tâche Détails

Le bouton Changer de mot de passe est-il activé ? Pourquoi ?

1. (suite) c. Cliquez sur Fermeture de session, puis sur Oui.

d. Ouvrez une session en tant que CSUserx avec le mot de passe password



1. (suite) e. Appuyez sur CTRL+ALT+SUPPR.


Tâche Détails


1. (suite) f. Cliquez sur Fermeture de session, puis sur Oui.

g. Ouvrez une session en tant qu'ISAdminx avec le mot de passe password



1. (suite) h. Appuyez sur CTRL+ALT+SUPPR.


Tâche Détails


1. (suite) i. Fermez la session.


Exercice 3 Modification de l'implémentation d'une stratégie de groupe

Scénario Vous êtes l'administrateur d'un domaine enfant de l'entreprise Northwind Traders et vous êtes chargé de modifier l'implémentation d'une stratégie de groupe existante pour l'unité d'organisation Information Services.

L'implémentation de stratégie de groupe actuelle configure les paramètres de l'administrateur de l'unité Information Services. Vous devez empêcher l'application de certains paramètres à l'administrateur de l'unité Information Services, ou au service Development.

Objectif Dans cet exercice, vous allez modifier l'implémentation d'une stratégie de groupe, en respectant certaines règles.

La liste suivante énumère les différentes règles que vous devez respecter. Expliquez en détail la manière dont vous allez le faire, en complétant les espaces prévus à cet effet. 1. La stratégie de groupe de l'unité d'organisation Information Services ne doit pas s'appliquer à

l'utilisateur ISAdmin.

2. Les limitations ci-dessous ne doivent plus s'appliquer aux utilisateurs de l'unité d'organisation

Development.

• Pas de commande Exécuter dans le menu Démarrer


• Aucun accès au dossier Favoris réseau

• Aucune possibilité de mapper ou de déconnecter des lecteurs réseau

Le script d'ouverture de session pour l'unité d'organisation Information Services doit pouvoir être exécuté par les utilisateurs de l'unité d'organisation Development.


Tâche Détails

1. Empêchez l'application de la stratégie de groupe à l'utilisateur ISAdmin.




d. Dans l'onglet Stratégie de groupe, cliquez sur Modèle d'administration IS, puis sur Propriétés.

e. Dans l'onglet Sécurité, dans la liste Nom, cliquez sur ISAdminx, puis refusez l'autorisation Appliquer la stratégie de groupe.

f. Cliquez sur OK.

Une boîte de dialogue Sécurité vous indique que les entrées Refuser sont prioritaires sur les entrées Autoriser.

g. Cliquez sur Oui pour continuer.

h. Dans l'onglet Stratégie de groupe, cliquez sur Script IS, puis sur Propriétés.

i. Dans l'onglet Sécurité, dans la liste Nom, cliquez sur ISAdminx, puis refusez l'autorisation Appliquer la stratégie de groupe.

j. Cliquez sur OK. Une boîte de dialogue Sécurité vous indique que les entrées Refuser sont prioritaires sur les entrées Autoriser.

k. Cliquez sur Oui pour continuer.

l. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Information Servicesx, puis fermez la session.

2. Empêchez l'héritage de stratégies pour l'unité d'organisation Development.

a. Ouvrez une session en tant qu'ISAdminx avec le mot de passe password


c. Ouvrez la boîte de dialogue Propriétés pour l'unité d'organisation Developmentx.

d. Dans l'onglet Stratégie de groupe, cliquez sur Bloquer l'héritage de stratégies, puis sur OK.

Remarque : Ce paramètre va bloquer toutes les stratégies provenant de conteneurs parents. Vous devez cependant vérifier que le script d'ouverture de session de l'unité d'organisation Information Services s'exécute encore.

2. (suite) e. Ouvrez la boîte de dialogue Propriétés pour l'unité d'organisation Information Servicesx.

f. Dans l'onglet Stratégie de groupe, cliquez avec le bouton droit sur Script IS, puis cliquez sur Ne pas passer outre.

g. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Information Servicesx.

h. Fermez ISAdmin, puis fermez la session.


Tâche Détails

Remarque : Avant de commencer la procédure ci-dessous, attendez que votre partenaire ait terminé celle qui précède.



b. À partir du menu Outils d'administration, ouvrez Sites et services Active Directory.

c. Développez Sites, Premier-Site-par-defaut, Serveurs, puis Ordinateur.

d. Cliquez sur NTDS Settings.

e. Cliquez avec le bouton droit sur l'objet connexion qui représente le lien avec l'ordinateur de votre partenaire, puis cliquez sur Répliquer maintenant.


f. Cliquez sur OK.

g. Fermez Sites et services Active Directory, puis fermez la session.


Exercice 4 Test d'une stratégie de groupe

Scénario Après avoir modifié les paramètres de la console Stratégie de groupe, vous voulez les tester pour vérifier que toutes les modifications apportées sont entrées en vigueur comme prévu.

Objectif Dans cet exercice, vous allez ouvrir plusieurs sessions au moyen de comptes d'utilisateur différents afin de tester les paramètres de la console Stratégie de groupe implémentés dans l'exercice précédent.

Tâche Détails

1. Testez la stratégie de groupe. Notez les résultats.




1. (suite) b. Fermez la session.

c. Ouvrez une session en tant que HDUserx avec le mot de passe password


Tâche Détails



1. (suite) d. Fermez la session.

e. Ouvrez une session en tant qu'ISAdminx avec le mot de passe password



Tâche Détails


1. (suite) f. Fermez la session.


Exercice 5 Suppression d'une stratégie de groupe

Scénario Vous devez préparer votre ordinateur en vue de la suite du cours en supprimant les paramètres de stratégie de groupe implémentés dans les exercices précédents.

Objectif Dans cet exercice, vous allez supprimer les objets GPO que vous avez créés dans les exercices précédents.

Tâche Détails

1. Supprimez les objets stratégie de groupe.


b. À partir du menu Outils d'administration, ouvrez la console Utilisateurs et ordinateurs Active Directory.


d. Dans l'onglet Stratégie de groupe, cliquez sur Script IS, puis sur Supprimer.

e. Dans la boîte de dialogue Supprimer, cliquez sur Supprimer la liaison et effacer l'objet Stratégie de groupe de façon permanente, puis cliquez sur OK.

f. Lorsque vous êtes invité à confirmer la suppression, cliquez sur Oui.

g. Supprimez les autres objets GPO pour les unités d'organisation Information Servicesx et Customer Supportx.



a. À partir du menu Outils d'administration, ouvrez Sites et services Active Directory.

b. Développez Sites, Premier-Site-par-defaut, Serveurs, puis Ordinateur.


d. Dans le volet des informations, cliquez avec le bouton droit sur l'objet connexion qui représente le lien avec l'ordinateur de votre partenaire, puis cliquez sur Répliquer maintenant.

Une boîte de dialogue s'affiche pour vous indiquer que la connexion a bien été dupliquée.

e. Cliquez sur OK.

f. Fermez Sites et services Active Directory, puis fermez la session.

3. Confirmez la suppression des objets GPO.

a. Ouvrez une session en tant que CSUserx avec le mot de passe password


Tâche Détails

Les paramètres de la console Stratégie de groupe ont-ils été appliqués ? Pourquoi ?

3. (suite) b. Fermez la session.


�� Redirection de dossier à l'aide d'une stratégie de groupe

� Examen des fonctions de redirection de dossier

� Définition d'un emplacement cible

� Configuration des paramètres de redirection de dossier

La redirection de dossier peut être utilisée pour placer des données dans un ensemble de dossiers faisant partie du profil de l'utilisateur sur le réseau. Le stockage des données sur le réseau permet aux utilisateurs de bénéficier d'une plus grande disponibilité et de sauvegardes fréquentes de leurs données.

Objectif de la diapositive Expliquer l'utilisation des paramètres de la console Stratégie de groupe pour la redirection de dossier.

Introduction Vous pouvez utiliser la redirection de dossier pour gérer les dossiers des utilisateurs.


Examen des fonctions de redirection de dossier

� Création d'un bureau standard

� Réduction de la taille des profils itinérants

� Stockage des données utilisateur sur le réseau

Vous pouvez utiliser Redirection de dossier dans la console Stratégie de groupe pour rediriger l'un des dossiers suivants d'un profil d'utilisateur vers un autre emplacement (tel que le réseau).

� Application Data � Bureau � Mes documents � Mes images � Menu Démarrer

La redirection de dossier propose les avantages ci-dessous.

� Création d'un menu Démarrer et d'un bureau standard, et application de ces éléments aux utilisateurs.

� Réduction du temps de connexion au réseau et de déconnexion de ce dernier pour un utilisateur. Le dossier Mes Documents fait partie du profil de l'utilisateur itinérant. Autrement dit, le dossier Mes Documents et son contenu sont transférés entre l'ordinateur client et le serveur, et réciproquement, lors des ouvertures et des fermetures de session des utilisateurs. Le transfert du dossier Mes Documents hors du profil d'utilisateur peut considérablement réduire ce temps.

� Stockage des données utilisateur sur le réseau (plutôt que sur l'ordinateur local) pour que les données soient gérées et protégées par le service informatique.

Objectif de la diapositive Identifier les dossiers qui peuvent être redirigés à l'aide d'une stratégie de groupe.

Introduction La redirection de dossier peut être utilisée à diverses fins.


Définition d'un emplacement cible

Trois options vous sont proposées pour la redirection de dossier : aucune, de base et avancée. Pour implémenter la redirection de dossier, exécutez la procédure ci-dessous.

1. Ouvrez l'objet GPO approprié dans la console Stratégie de groupe. 2. Développez Configuration utilisateur, Paramètres Windows, puis

Redirection de dossiers. 3. Cliquez avec le bouton droit sur le dossier à rediriger, puis cliquez sur

Propriétés.

Objectif de la diapositive Illustrer les options qui permettent de définir un emplacement cible pour la redirection de dossier.

Introduction Vous disposez de trois options pour définir un emplacement cible pour la redirection de dossier.


Le tableau suivant décrit les options de l'onglet Cible :

Options Description

Paramètre Aucune stratégie administrative n'est spécifiée. Sélectionnée par défaut.

De base. Redirige tous les dossiers vers le même emplacement.

Avancé. Spécifie les emplacements de différents groupes de sécurité. Cette option vous permet de rediriger les dossiers des utilisateurs auxquels s'applique cet objet GPO, en spécifiant différents emplacements, en fonction de l'appartenance à un groupe.

Emplacement du dossier cible

Cette option s'affiche si vous avez sélectionné De base. Elle redirige tous les dossiers vers le même emplacement et vous permet de spécifier un nom de chemin UNC (Universal Naming Convention) vers le nouvel emplacement. Vous pouvez utiliser la syntaxe suivante pour créer des dossiers cibles nommés en fonction du nom d'ouverture de session de l'utilisateur : \\serveur\partage\%utilisateur%

Adhésion au groupe de sécurité

Cette option s'affiche si vous avez sélectionné Avancé. Elle spécifie les emplacements de différents groupes de sécurité. Les groupes de sécurité et le chemin d'accès des dossiers redirigés s'affichent ici. Comme avec l'option précédente, vous pouvez utiliser la syntaxe \\serveur\partage\%utilisateur% pour créer des dossiers nommés en fonction du nom d'ouverture de session de l'utilisateur.


Configuration des paramètres de redirection de dossier

Les options de l'onglet Paramètre contrôlent le comportement de la redirection de dossier. Vous devez connaître les valeurs par défaut de ces paramètres, cars ils ont une incidence sur l'espace disque et la sécurité sur le serveur. Les paramètres de redirection de dossier sont expliqués dans le tableau suivant :

Paramètre Effet

Accorder à l'utilisateur des droits exclusifs sur dossier.

Activé par défaut, ce paramètre garantit que seuls l'utilisateur et le système disposent de droits sur le dossier. Les administrateurs n'auront pas accès au dossier.

Si cette case à cocher est désactivée, le nouvel emplacement du dossier conserve les droits associés à l'emplacement précédent.

Déplacer le contenu de dossier vers le nouvel emplacement.

Activé par défaut, ce paramètre déplace le contenu du dossier vers le nouvel emplacement lors de la prochaine application de la stratégie.

Si cette case à cocher est désactivée, le dossier est redirigé, mais son contenu reste à l'emplacement précédent.

Suppression de stratégie Par défaut, lorsqu'une stratégie de redirection de dossier est supprimée, le dossier est conservé dans l'emplacement redirigé.

Vous pouvez aussi choisir de renvoyer les dossiers redirigés à l'emplacement du profil d'utilisateur local lorsqu'une stratégie est supprimée.

Objectif de la diapositive Illustrer les paramètres de redirection de dossier.

Introduction Trois autres paramètres sont liés à la redirection de dossier.


Atelier C : Implémentation d'une stratégie de redirection de dossier

Objectif À la fin de cet atelier, vous serez à même d'implémenter la redirection de dossier à l'aide de la console Stratégie de groupe.

Conditions préalables Avant de poursuivre, vous devez disposer de connaissances dans les domaines suivants :

� connaissance de la console Stratégie de groupe ; � connaissances et compétences pour créer des groupes au moyen de la

console Utilisateurs et ordinateurs Active Directory.


� un ordinateur exécutant Windows 2000 Server configuré en tant que contrôleur de domaine ;

� un partenaire dont l'ordinateur exécute Windows 2000 Server configuré en tant que contrôleur de domaine.



Introduction Dans cet atelier, vous allez modifier les paramètres de redirection de dossier dans un objet GPO.


Exercice 1 Implémentation d'une stratégie de redirection de dossier

Scénario Northwind Traders a établi une stratégie pour que seules les données situées sur les serveurs soient sauvegardées. Pour des raisons de tolérance aux pannes, vous ne voulez pas que le contenu du dossier Mes documents soit stocké en local. Vous voulez rediriger ce dossier vers le répertoire personnel des utilisateurs sur le serveur, les serveurs faisant l'objet d'une sauvegarde tous les soirs. Ainsi, lorsque les utilisateurs ouvriront leur dossier Mes documents sur leur bureau, Windows 2000 ouvrira leur répertoire personnel sur le serveur.

Objectif Dans cet exercice, vous allez rediriger le dossier Mes documents vers un nouvel emplacement du réseau à l'aide de la console Stratégie de groupe.

Tâche Détails

1. Confirmez l'emplacement actuel du dossier Mes documents.

a. Ouvrez une session en tant que HDUserx (où x est égal à 1 si votre numéro de stagiaire est impair ou à 2 s'il est pair) avec le mot de passe password

b. Ouvrez la boîte de dialogue Propriétés pour Mes documents.

Quel est l'emplacement actuel du dossier Mes documents ?

L'utilisateur peut-il modifier cet emplacement ?

1. (suite) c. Fermez la boîte de dialogue Propriétés de Mes documents, puis fermez la session.


Tâche Détails

2. Redirigez Mes documents à l'aide de la console Stratégie de groupe. • Chemin de redirection :

\\ordinateur_partenaire\redirect\%utilisateur%


b. À la racine du lecteur C, créez un dossier nommé Redirect, puis partagez-le avec les autorisations par défaut.

c. Ouvrez la console Utilisateurs et ordinateurs Active Directory.

d. Ouvrez la boîte de dialogue Propriétés de Information Servicesx, puis cliquez sur l'onglet Stratégie de groupe.

e. Créez un objet GPO appelé Stratégie de redirection de dossier, puis cliquez sur Modifier.

f. Sous Configuration utilisateur, développez Paramètres Windows, puis Redirection de dossiers.

g. Ouvrez la boîte de dialogue Propriétés pour Mes documents.

h. Dans la liste Paramètre, sélectionnez De base - Rediriger les dossiers de tout le monde vers le même emplacement.

i. Dans l'onglet Cible, sous l'emplacement du dossier cible, tapez \\ordinateur_partenaire\redirect\%utilisateur% (où ordinateur_partenaire représente le nom de l'ordinateur de votre partenaire), puis cliquez sur OK.




b. Développez Sites, Premier_Site_par_defaut, Serveurs, puis Ordinateur (où Ordinateur représente le nom de l'ordinateur qui vous est affecté).




e. Cliquez sur OK.

f. Fermez toutes les fenêtres, puis fermez la session.


Tâche Détails

4. Testez la stratégie de redirection de dossier.


b. Ouvrez la boîte de dialogue Propriétés pour Mes documents.

Quel est l'emplacement actuel du dossier Mes documents ?

L'utilisateur peut-il modifier cet emplacement ?

Quelles autorisations sont définies sur Mes documents? Pourquoi ?

4. (suite) c. Fermez la boîte de dialogue Propriétés de Mes documents, puis fermez la session.


Exercice 2 Suppression d'une stratégie de groupe

Vous devez préparer votre ordinateur en vue de la suite du cours en supprimant les paramètres de stratégie de groupe implémentés dans les exercices précédents.

Tâche Détails

1. Supprimez les objets stratégie de groupe.


b. Ouvrez Utilisateurs et ordinateurs Active Directory.


d. Dans l'onglet Stratégie de groupe, cliquez sur Stratégie de redirection de dossier, puis sur Supprimer.

e. Dans la boîte de dialogue Supprimer, cliquez sur Supprimer la liaison et effacer l'objet Stratégie de groupe de façon permanente, puis cliquez sur OK.

f. Lorsque vous êtes invité à confirmer la suppression, cliquez sur Oui.

g. Cliquez sur Fermer.




b. Développez Sites, Premier-Site-par-defaut, Serveurs, puis Ordinateur.




e. Cliquez sur OK.

f. Fermez Sites et services Active Directory.

g. Fermez toutes les fenêtres, puis redémarrez votre ordinateur.


Instructions pour l'implémentation d'une stratégie de groupe

� Limitez l'utilisation

� De l'option Bloquer l'héritage de stratégies

� De l'option Ne pas passer outre

� Des objets GPO liés entre les domaines

� Limitez le nombre d'objets GPO

� Désactivez la partie inutilisée d'un objet GPO

� Regroupez les paramètres associés dans un seulobjet GPO

� Tenez compte des questions de performances et de délégation

La façon dont vous implémentez la stratégie de groupe dépend de la structure de votre entreprise et de votre réseau. Certaines instructions pour l'implémentation d'une stratégie de groupe sont fournies ci-dessous.

� Évitez d'utiliser les options Bloquer l'héritage de stratégies et Ne pas passer outre, ainsi que l'utilisation d'objets GPO liés entre les domaines. Ceci augmente en effet la complexité. Ainsi, veillez à utiliser un seul de ces éléments à la fois.

� Limitez le nombre d'objets GPO pouvant affecter un utilisateur ou un ordinateur donné. La durée de démarrage de l'ordinateur et d'ouverture de session de l'utilisateur dépend du nombre d'objets GPO à traiter. Utilisez des groupes de sécurité pour filtrer l'effet des stratégies de groupe. En effet, cette action entraîne la réduction du nombre d'objets GPO devant être traités.

� Désactivez la partie inutilisée d'un objet GPO. Si un objet GPO n'est utilisé que pour définir les paramètres de configuration de l'utilisateur ou de l'ordinateur, cliquez sur l'onglet Général de la boîte de dialogue Propriétés pour désactiver la partie inutilisée de l'objet GPO. Le traitement des objets GPO en sera accéléré.

� Regroupez les paramètres associés dans un seul objet GPO. Par exemple, un objet GPO utilisé pour publier Microsoft Office 2000 doit également contenir les stratégies basées sur le registre pour Office 2000.

Objectif de la diapositive Expliquer les instructions d'implémentation d'une stratégie de groupe.

Introduction Tenez compte des instructions suivantes avant d'implémenter une stratégie de groupe.


� Lors de la création d'objets GPO, tenez compte des questions de performances et de délégation. La combinaison de paramètres dans un objet GPO optimise les performances en réduisant le nombre d'objets GPO à traiter lors de l'ouverture d'une session par un utilisateur. Il peut être toutefois plus facile de déléguer la gestion d'un objet GPO lorsqu'il ne contient qu'une catégorie de paramètres spécifique correspondant à la zone de responsabilité d'un individu, telle que la sécurité. Par exemple, vous pouvez créer un objet GPO contenant des paramètres de stratégie de groupe à la fois pour les modèles d'administration et la sécurité ou bien créer des objets GPO distincts pour les modèles d'administration d'une part et la sécurité d'autre part.


Contrôle des acquis � Présentation de la console Stratégie de groupe� Application d'une stratégie de groupe� Examen de l'interface de la console Stratégie de

groupe� Configuration du registre à l'aide de la console

Stratégie de groupe� Affectation de scripts à l'aide de la console

Stratégie de groupe� Redirection de dossier à l'aide d'une stratégie de

groupe� Instructions pour l'implémentation d'une stratégie

de groupe

1. À quel endroit les objets GPO stockent-ils les informations de stratégie de groupe ?

2. Dans quel ordre les objets GPO sont-ils implémentés dans la structure d'Active Directory ?

Objectif de la diapositive Revenir sur les objectifs du module en révisant les points clés.

Introduction Les questions du contrôle des acquis concernent certains des concepts clés traités dans ce module.


3. Votre société a décidé d'implémenter certaines limitations sur les actions que les utilisateurs peuvent réaliser ou non sur leurs bureaux. Ces limitations doivent être appliquées à tous les utilisateurs de votre domaine, à l'exception des membres du groupe Développement logiciels. Si ce dernier a sa propre unité d'organisation, comment pouvez-vous faire ? Comment pouvez-vous faire si tous les comptes d'utilisateur du domaine, y compris ceux du groupe Développement logiciels, se trouvent dans l'unité d'organisation Employés ?