Microsoft Windows Server 2008

Microsoft Windows Server 2008

Installation d'une GPO

Les GPO (Group Policies Object) permettent de la mise en uvre de stratgies spcifiques lies des groupes dfinis dans l'Active Directory.

Les stratgies de groupe sont des fonctions de gestion centralise de la famille Microsoft Windows. Elles permettent la gestion des lments inscrits dans un environnement Active Directory.

Bien que les stratgies de groupe soient rgulirement utilises dans les entreprises, elles sont galement utilises dans les coles ou dans les petites organisations pour restreindre les actions et les risques potentiels comme par exemple le verrouillage du panneau de configuration, la restriction de laccs certains dossiers, la dsactivation de lutilisation de certains excutables, la gestion des imprimantes, le dploiement d'applications, etc.

Les GPO sont supportes sur les systmes serveur Windows 2003 Server, Windows Server 2008 et Windows Server 2008 R2, ainsi que sur les systmes clients Windows 2000, Windows XP Professionnel, Windows Vista et Windows 7.

Sommaire

1 Prsentation

2 Les trois phases de l'utilisation des stratgies de groupe

2.1 Cration et dition des stratgies de groupe

2.2 Liaison des stratgies de groupe

2.3 Application des stratgies de groupe

3 Les stratgies de groupe locales

4 Quelques commandes

5 Exemples

5.1 Stratgie de groupe pour dploiement logiciel

5.2 Stratgie de groupe pour gestion de l'impression

1 Prsentation

Les stratgies de groupe peuvent contrler des cls de registre, la scurit NTFS, la politique de scurit et daudit, linstallation de logiciel, les scripts de connexion et de dconnexion, la redirection des dossiers, et les paramtres dInternet Explorer. Les paramtrages sont stocks dans les stratgies de groupe. Chaque stratgie de groupe possde un identifiant unique appel GUID ( Globally Unique Identifier ). Chaque stratgie de groupe peut tre lie un ou plusieurs domaine, site ou unit dorganisation Active Directory. Cela permet plusieurs objets ordinateurs ou utilisateurs dtre contrls par une seule stratgie de groupe et donc de diminuer le cot dadministration globale de ces lments.

Les stratgies de groupe utilisent des fichiers de modle dadministration avec les extensions .ADM ou .ADMX qui dcrivent les cls de registre modifies par lapplication des stratgies de groupe. Sur un ordinateur de travail, les modles dadministration sont stocks dans le rpertoire %WinDir%\Inf, alors que sur un contrleur de domaine Active Directory, pour chaque domaine et pour chaque stratgie de groupe, ils sont stocks dans un rpertoire individuel (Le group policy template , ou GPT) au sein du rpertoire Sysvol. Les fichiers .ADMX sont des fichiers bass sur le format XML et introduits par Windows Vista pour la gestion des stratgies de groupe.

Les stratgies de groupe sont analyses et appliques au dmarrage de lordinateur et pendant louverture de session de lutilisateur. Les ordinateurs rafrachissent les paramtres transmis par les stratgies de groupe de faon priodique, gnralement toutes les 60 ou 120 minutes, ce paramtre tant ajustable par un paramtre de stratgie de groupe.

Les stratgies de groupe sont supportes sur Windows 2000, Windows XP Pro, Windows Vista, Windows 2003, Windows 2008 et Windows 7.

Lorsque l'on utilise un systme Windows Serveur avec Active Directory, il existe une stratgie applicable au serveur du domaine appele Default Domain Controler Policy, et une autre pour les domaine lui-mme nomme Default Domain Policy. Ces deux stratgies s'appliquent par dfaut sur les machines (serveurs de domaine ou ordinateurs) et les utilisateurs. Dclars dans le domaine.

L'administrateur dispose ensuite d'un outil de gestion lui permettant de crer et d'administrer d'autres stratgies appliquer sur les objets de son choix.

2 Les trois phases de l'utilisation des stratgies de groupe

Les stratgies de groupe peuvent tre considres en trois phases distinctes - Cration de la stratgie de groupe, Liaison des stratgies de groupe et application des stratgies de groupe.

Cration et dition des stratgies de groupe

Les stratgies de groupe peuvent tre dites au travers de un outil accessible soit par l'outil d'administration "Gestion des stratgies de groupe" ou par un appel direct en ligne de commande de la Group Policy Management Console ("gpmc.msc").

La console GPMC simplifie grandement la gestion des stratgies de groupe en fournissant un outil de gestion centralise et collective des objets. La GPMC inclut de nombreuses fonctionnalits telles que la gestion des paramtres, un panneau pour la gestion du filtrage par groupe de scurit, des outils de sauvegarde et de restauration et dautres outils graphiques intgrs la MMC.

Pour crer une nouvelle GPO, dans la console de gestion de stratgie de groupe faire un clic droit sur le domaine ou l'OU recevant la nouvelle GPO, puis crer un objet dans ce domaine et le lier ici.

Ceci ouvre une fentre pour nommer la nouvelle GPO. Saisir le nom retenu et valider par OK

La nouvelle GPO apparat dans l'arborescence

Liaison des stratgies de groupeAprs avoir cr une stratgie de groupe, elle peut tre lie un site Active Directory, un domaine ou une unit d'organisation (UO).

Pour cela, nous allons modifier les paramtres de cette GPO.

Cliquer sur la GPO :

La fentre vous demande si vous voulez vraiment modifier les liens de la GPO.

Cliquer sur OK pour ouvrir la fentre de configuration

La partie droite de la fentre permet alors de modifier les liens et les paramtres.

Cliquer sur les diffrents onglets pour dfinir :

l'tendue

les paramtres

les dlgations

Par les dtails, il est possible d'activer et dsactiver la GPO.

Application des stratgies de groupeLe client de stratgie de groupe du poste rcupre la configuration (de base dans un intervalle alatoire compris entre 60 et 120 minutes, mais cela est configurable via les stratgies de groupe) qui est applicable lordinateur et lutilisateur connect et lapplique en tenant compte des diffrents critres de filtre, de scurit et dhritage.

Il est possible de forcer la mise jour de la GPO par la commande gpupdate /force.

3 Les stratgies de groupe locales

Les stratgies de groupe locales sont une version plus basique des stratgies de groupe utilises avec Active Directory. Dans les versions antrieures Windows Vista, les stratgies de groupe locales peuvent tre utilises sur un ordinateur local, mais ne peuvent pas tre utilises pour des comptes utilisateur ou des groupes. La limitation lie aux utilisateurs peut tre contourne en utilisant lditeur de base de registre pour modifier les cls sous HKCU ou HKU. Les stratgies de groupe locales ralisent des modifications sous la cl HKLM, ce qui affecte tous les utilisateurs ; les mmes changements peuvent tre effectus sous HKCU ou HKU pour affecter uniquement certains utilisateurs. Microsoft fournit des informations complmentaires sur le site Technet1.

Windows Vista supporte les stratgies de groupe locales multiples, qui permettent de positionner les paramtres pour les utilisateurs individuels.

4 Quelques commandes

Il est possible de vrifier l'application des GPO manuellement avec les commandes

gpresult : cette commande permet d'afficher les GPO actives

gpupdate /force : il est possible de forcer l'application des GPO manuellement avec cette commande5 Exemples

Nous allons traiter ici quelques exemples de stratgies de groupe courantes.

Stratgie de groupe pour dploiement logiciel

1. Introduction

Il s'agit d'une fonctionnalit trs utile de Microsoft Active Directory. Elle permet ladministrateur dun rseau de pouvoir dployer sur lensemble des machines, grce une stratgie de groupe, les applications ncessaires aux utilisateurs ou de pouvoir procder des mises jour automatises et uniformes sur une portion ou l'ensemble d'un parc machines.

2. Cration du point de distribution

La premire tape, quelque soit le type de logiciels que vous souhaitez voir installer, est de placer dans un rpertoire partag sur le serveur de fichiers, le logiciel que vous souhaitez distribuer. Afin que tout les utilisateurs puisse installer le logiciel il faut mettre les droits en lecture au groupe Tout le Monde. On appelle ce partage point de distribution.

3. Dploiement du logiciel

Cration de la GPO de dploiement

Une fois le point de distribution partag, vous pouvez copier le ou les logiciels qui vous souhaitez distribuer lintrieur (dans notre exemple nous installerons la suite Microsoft Office). (Noubliez pas que l'application doit tre au format Windows Installer).

Ensuite allez dans Outils dadministration puis Gestion des stratgies de groupe ou tapez dans Excuter: gpmc.msc Dans Gestion des stratgies de groupe, dveloppez votre fort puis votre domaine, et aller dans la gestion des stratgies de groupe.Crer votre GPO par un clic droit puis Nouveau, nommer votre GPO et valider.

Une fois votre GPO cre, il peut tre ncessaire de complter le champ de filtrage de la GPO afin de limiter l'application de celle-ci. Ainsi, on peut limiter l'action un utilisateur ou un groupe d'utilisateurs, ou une machine ou un groupe de machines.

Vrifier dans les dtails que la GPO est bien active.

Lier la GPO au logiciel

Afin de pouvoir publier le logiciel vers tous les utilisateurs, nous devons lier la GPO cre prcdemment au logiciel. Pour ce faire vous devez faire un click droit sur la GPO et cliquez sur l'onglet Modifier.

Une nouvelle fentre s'ouvrira alors donnant accs l'diteur des stratgies de groupe. Sous l'onglet Configuration utilisateur dveloppez Paramtres du logiciel puis cliquez sur Installation de logiciel. Faites un click droit et faites Nouveau puis Package.

Vous aurez alors rentrer le chemin menant au rpertoire partag point de publication, dans la fentre Dploiement du logiciel, qui s'affichera, choisir l'application cible et cliquez sur OK pour valider. Dans la fentre suivant valider l'attribution du dploiement (pour le rendre automatique la prochaine ouverture de fichier.

Cration de l'unit d'organisation

Allez dans loutil dadministration Utilisateurs et ordinateurs Active Directory. Faites un clic droit sur le nom de votre domaine, puis slectionnez Nouveau puis Unit dorganisation.

Donnez un nom cette nouvelle unit organisationnelle (par exemple dploiement logiciel) et fermez la fentre.

Lier la GPO l'unit organisationnelle

Allez dans Gestion des Stratgies de Groupe,faites un clic droit sur l'UO que vous venez de crer et cliquez sur Lier un objet de stratgie de groupe existant, puis dans la fentre choisir le domaine puis la GPO que nous venons de crer.

Une fois la GPO associe l'UO, elle apparat dans l'arborescence du gestionnaire de stratgie de groupe.

Vrifier par un clic droit que la stratgie est toujours active.

Cration d'un utilisateur type

Allez dans Utilisateurs et Ordinateurs Active Directory. Cliquez avec le bouton droit sur le domaine puis sur votre unit d'organisation puis Nouveau et Utilisateur.

Entrez les coordonnes de votre utilisateur ainsi que les paramtres de son mot de passe puis validez.

Il faut maintenant lui donner les droits en fonction de ses droits, en particulier pour faire l'installation et l'inscription locale sur le client de l'application. Aller dans Gestion des Stratgie de Groupe. Puis naviguez dans Fort puis Domaines. Choisir votre domaine puis Objets de stratgie de groupe, et faire un clic droit dur default Domain policy et Modifier.

Une nouvelle fentre de gestion s'ouvre. Aller dans Configuration ordinateur, Stratgies, Paramtres Windows, Paramtres de scurit, Stratgies locales, Attribution des droits utilisateur. Vous verrez alors dans la fentre de droite l'option Permettre louverture dune session locale, modifiez la pour rajouter l'utilisateur que vous venez de crer.

Fermez ensuite toute les fentres et allez dans Excuter et tapez gpupdate /force pour mettre jour le systme.

4. Mise service

Maintenant, lors d'une ouverture de session sur un poste en utilisant l'utilisateur dclar, la GPO va installer les lancements d'installation d'Office dan le menu dmarer.

Le paramtrage permet d'installer uniquement les lanceurs d'installation. Aussi, l'installation de Word ou Excel ne sera effective que si l'utilisateur cherche excuter ces applications, ou s'il cherche ouvrir un fichier doc, xls, ou compatible.

Il est possible d'effectuer l'installation complte l'ouverture de session. Pour cela, retourner dans le gestionnaire de stratgies de groupe. Modifier la stratgie pour ouvrir la fentre de paramtrage. Aller sur le fichier de dploiement et modifier ses proprits.

Il est possible d'effectuer l'installation complte l'ouverture de session. Pour cela, retourner dans le gestionnaire de stratgies de groupe. Modifier la stratgie pour ouvrir la fentre de paramtrage. Aller sur le fichier de dploiement et modifier ses proprits.

Dans l'onglet de dploiement, le type doit tre attribu, ce qui permet de cocher la case d'installation l'ouverture de session. Attention, un tel dploiement est long, donc rserv un administrateur du domaine, ou un utilisateur prvenu et comptent.

Stratgie de groupe pour gestion d'impression

1. Introduction

Il s'agit d'une fonctionnalit trs utile de Microsoft Active Directory. La gestion de limpression permet ladministrateur dimpression dconomiser une quantit de temps significative installer des imprimantes sur les ordinateurs clients et grer et surveiller les imprimantes. Les tches qui peuvent requrir jusqu 10tapes sur des ordinateurs individuels peuvent, grce une stratgie de groupe, tre accomplies en 2ou 3tapes sur plusieurs ordinateurs simultanment et distance.

Avant toute chose, il n'est pas ncessaire que le serveur recevant l'Active Directory soit serveur d'impression pour effectuer la gestion de l'impression. Il y a bien sparation du rle serveur d'impression, de la fonctionnalit Outils de service d'impression.

2. Installation de l'outil

La premire tape, consiste installer l'outil de gestion. Cet outil s'installe en mme temps que le rle. Lancer le gestionnaire de serveur, et ajouter un rle Service de documents et d'impression.

Une fois l'installation termine, lancer l'outils : Dmarrer, Outils d'administration, Gestion de l'impression.

3. Utilisation de l'outil

Pour ajouter des serveurs dimpression la gestion de limpression

1. Ouvrez le dossier Outils dadministration, puis double-cliquez sur Gestion de limpression.

2. Dans larborescence Gestion de limpression, cliquez avec le bouton droit sur Gestion de limpression, puis cliquez sur Ajouter/Supprimer des serveurs.

3. Dans la bote de dialogue Ajouter/Supprimer des serveurs, sous Spcifier le serveur dimpression, dans Ajouter un serveur, effectuez lune des actions suivantes:

Tapez le nom.

Cliquez sur Parcourir pour localiser et slectionner le serveur dimpression.

4. Cliquez sur Ajouter la liste.

5. Ajoutez autant de serveurs dimpression que vous le souhaitez, puis cliquez sur OK.

Pour supprimer des serveurs dimpression dans le composant Gestion de limpression

1. Ouvrez le dossier Outils dadministration, puis double-cliquez sur Gestion de limpression.

2. Dans larborescence Gestion de limpression, cliquez avec le bouton droit sur Gestion de limpression, puis cliquez sur Ajouter/Supprimer des serveurs.

3. Dans la bote de dialogue Ajouter/Supprimer des serveurs, sous Serveurs dimpression, slectionnez un ou plusieurs serveurs, puis cliquez sur Supprimer.

Pour ajouter automatiquement des imprimantes rseau un serveur dimpression

1. Ouvrez le dossier Outils dadministration, puis double-cliquez sur Gestion de limpression.

2. Dans larborescence Gestion de limpression, cliquez avec le bouton droit sur le serveur appropri, puis cliquez sur Ajouter une imprimante.

3. Dans la page Installation de limprimante de lAssistant Installation dimprimante rseau, cliquez sur Rechercher les imprimantes du rseau, puis sur Suivant. Si vous y tes invit, spcifiez le pilote installer pour limprimante.

Pour dployer des imprimantes pour des utilisateurs ou des ordinateurs laide dune stratgie de groupe

1. Ouvrez le dossier Outils dadministration, puis double-cliquez sur Gestion de limpression.

2. Dans le volet gauche, cliquez sur Serveurs dimpression, puis sur le serveur dimpression applicable et sur Imprimantes.

3. Dans le volet central, cliquez avec le bouton droit sur limprimante applicable, puis cliquez sur Dployer avec la stratgie de groupe.

4. Dans la bote de dialogue Dployer avec la stratgie de groupe, cliquez sur Parcourir, puis slectionnez ou crez un nouvel objet GPO pour stocker les connexions aux imprimantes. Cliquez sur OK.

5. Spcifiez sil convient de dployer les connexions aux imprimantes pour des utilisateurs ou des ordinateurs :

Pour un dploiement auprs de groupes dordinateurs, afin que tous les utilisateurs des ordinateurs puissent accder aux imprimantes, activez la case cocher Ordinateurs auxquels sapplique cet objet de stratgie de groupe (par ordinateur).

Pour un dploiement pour des groupes dutilisateurs, afin que les utilisateurs puissent accder aux imprimantes partir de tout ordinateur sur lequel ils ouvrent une session, activez la case cocher Utilisateurs auxquels sapplique cet objet de stratgie de groupe (par utilisateur).

Cliquez sur Ajouter.

6. Rptez les tapes 3 6 pour ajouter le paramtre de connexion dimprimante un autre objet de stratgie de groupe, si ncessaire. Puis cliquez sur OK pour valider l'ensemble.

EMBED PBrush

EMBED PBrush

EMBED PBrush

EMBED PBrush

Ici on a choisi l'installation de MS Office 2000

CNFETP Nantes 31 rue des Naudires - REZE