Administration de Windows
Votre guide de dépannage de la stratégie de groupe
Derek Melber
Vue d'ensemble:
- Problèmes courants liés aux objets de stratégie de groupe
- Règles de stratégie de groupe
- Dépannage des problèmes liés aux objets de stratégie de groupe
- Outils de dépannage
Microsoft Active Directory est devenu un composant critique de nombreuses infrastructures informatiques. L'une des fonctions les plus importantes d'Active Directory est la stratégie de groupe, qui permet aux administrateurs de centraliser la gestion des contrôleurs de domaine, des serveurs membres et des postes de travail.
Bien que la stratégie de groupe offre de nombreux avantages, elle présente un petit problème. Elle peut être complexe à concevoir et à implémenter dans une grande entreprise et encore plus problématique à dépanner lorsque quelque chose se dérègle. Dans cet article, j'étudierai la structure de la stratégie de groupe et vous expliquerai comment la dépanner. Au terme de cet article, vous disposerez de toutes les armes nécessaires pour résoudre pratiquement tous les problèmes de stratégie de groupe.
Paramètres posant problème
La stratégie de groupe comporte un grand nombre d'éléments mobiles, surtout en ce qui concerne la façon dont elle s’interface avec la conception globale et la mise en œuvre d'Active Directory®. Lorsque vous tentez de résoudre des problèmes d'accès et de réseau, vous devez toujours inclure Active Directory et les bases de l'implémentation de la stratégie de groupe dans votre recherche de solution. Pour commencer le processus de dépannage, examinons les paramètres de la stratégie de groupe pouvant être mal configurés puis passons aux problèmes plus complexes susceptibles de causer un dysfonctionnement de la stratégie de groupe.
Les paramètres de stratégie de groupe sont vus par les administrateurs d'Active Directory qui utilisent des fichiers de modèle d'administration (fichiers ADM ou ADMX) et l'éditeur d'objet de stratégie de groupe ou GPEdit (lancé en exécutant gpedit.msc). À l'aide de GPEdit, l'administrateur crée les fichiers d'objet de stratégie de groupe (GPO). Les GPO sont configurés pour s'appliquer (ou ne pas s'appliquer) aux ordinateurs et aux utilisateurs de la structure de Active Directory. Ils doivent suivre un certain nombre de règles afin de fonctionner correctement. Examinons-les dès à présent.
Le GPO doit être lié Lorsqu'un nouveau GPO est créé, il peut n'être lié à aucun nœud au sein d'Active Directory. Bien que le GPO puisse être modifié, il n'affectera aucun objet tant qu'il n'est pas lié à un nœud. Pour s'assurer que le GPO est correctement lié, vous pouvez afficher la fenêtre d'information dans la Console de gestion des stratégies de groupe (GPMC) illustrée à la figure 1.
Figure 1** Les liens aux objets de stratégie de groupe sont clairement visibles **(Cliquer sur l'image pour l'agrandir)
Le GPO doit cibler le bon objet Comme vous le savez, la stratégie de groupe doit cibler les bons objets dans Active Directory. Cependant, cet aspect est parfois négligé au cours des opérations de dépannage. Il existe deux catégories principales d'GPO : ordinateur et utilisateur. Lorsque vous configurez un GPO, prenez soin de noter s'il concerne objet ordinateur ou un objet utilisateur. Vous pourrez ensuite vérifier que les types d'objet corrects sont placés dans l'Unité d'organisation (l'UO) à laquelle l'GPO est lié.
Les GPO ne s'appliquent pas aux groupes Cela est peut-être regrettable, mais un GPO ne peut pas s'appliquer à un objet de sécurité de groupe Active Directory. Les deux seuls types d'objet pouvant être configurés par un paramètre GPO sont les ordinateurs et les utilisateurs. Les GPO ne peuvent pas configurer un objet via une appartenance à un groupe. Par exemple, si un GPO est lié à l'UO Finance, tel qu'illustré à la figure 2, les seuls objets qui seront affectés par le paramètre sont Derek et Frank. Les paramètres du GPO n'affecteront pas les membres du groupe Commercialisation, quels que soient les membres de ce groupe.
Figure 2** L'UO Finance et les objets qu'elle contient **(Cliquer sur l'image pour l'agrandir)
L'objet ciblé doit être sur le chemin du GPO Si vous remarquez qu'un paramètre de GPO n'affecte pas un objet comme il le devrait, cela signifie qu'il existe un paramètre plus important : l'objet doit être dans l'étendue de la gestion (SOM) du GPO. Cela signifie que l'objet doit se trouver sous le nœud auquel le GPO est lié (même un nœud enfant sera suffisant). Par exemple, aucun des objets de l'UO Commercialisation ne sera affecté par un GPO qui est lié à l'UO Finance, comme illustré à la figure 3. Le SOM d'un GPO provient du nœud auquel il est lié, à travers la structure d'Active Directory.
Figure 3** Lorsque les UO sont au même niveau, les GPO ne s'appliquent qu'à l'UO à laquelle ils sont liés. **(Cliquer sur l'image pour l'agrandir)
Le GPO doit être activé Lorsqu'un GPO est créé, il n'est pas configuré pour effectuer des modifications sur les objets ciblés. Cependant, il est activé pour les parties ordinateur et utilisateur. Si l'une ou l'autre de ces parties est désactivée, il peut être difficile de le repérer. Donc, lorsque vous dépannez un GPO qui ne s'applique pas, il est judicieux de vérifier si tout ou partie du GPO est désactivée. Pour ce faire, regardez sous Objets de stratégie de groupe | Stratégie de Compte et vérifiez le statut du GPO.
Certains paramètres nécessitent un redémarrage Lorsqu'un paramètre de GPO ne fonctionne pas correctement, cela peut être dû au traitement inhérent des GPO. Lorsque l'actualisation périodique du GPO est déclenchée, elle peut traiter certains des paramètres du GPO, mais pas tous. Aussi, même si vous avez créé un paramètre, il n'est peut-être pas encore effectif. Certains paramètres sont classés comme stratégies de premier plan et ils ne sont appliqués que lorsque l'ordinateur est redémarré ou que l'utilisateur ferme une session puis en ouvre une autre. Il s'agit par exemple des paramètres d'installation de logiciel, de redirection de dossiers et d'application de scripts.
Application de paramètres synchrone et asynchrone
Au sein d'un GPO, vous pouvez configurer comment l'application de stratégie se comporte au moment du démarrage et à l'ouverture de session. Les modifications que vous pouvez apporter pourront fournir un accès immédiat au bureau alors que les stratégies s'appliquent encore, ou il sera vérifié que toutes les stratégies s'appliquent avant que l'utilisateur n'ait accès au bureau. La figure 4 illustre le comportement par défaut de chaque système d'exploitation. Si vous voulez modifier ce comportement, vous pouvez modifier le paramètre de stratégie suivant :
Computer Configuration | Administrative Templates |
System | Logon | Always wait for the network at computer startup and logon
Figure 4 Traitement par défaut du client
Système d'exploitation | Démarrage | Ouverture de session | Actualisation des stratégies |
Windows 2000 | De façon synchrone | De façon synchrone | De façon asynchrone |
Windows XP Professionnel | De façon asynchrone | De façon asynchrone | De façon asynchrone |
Windows Server 2003 | De façon synchrone | De façon synchrone | De façon asynchrone |
La plupart des administrateurs préfèrent avoir une application synchrone de stratégie, pour garantir que toutes les stratégies s'appliquent avant que l'utilisateur ne puisse accéder au bureau. Ceci garantit que tous les paramètres de sécurité et de configuration seront appliqués avant que l'utilisateur ne puisse effectuer le moindre travail. Notez qu'il ne s'agit pas ici de l'état par défaut dans Windows® XP Professionnel, qui a été optimisé pour une vitesse d'ouverture de session accrue.
Modification de l'héritage par défaut
Il existe quatre méthodes différentes permettant de modifier l'héritage par défaut du traitement d'un GPO. Ces options sont puissantes et doivent être utilisées avec précaution car elles peuvent provoquer des changements significatifs du comportement du traitement de la stratégie de groupe. Elles peuvent aussi être très difficiles à dépanner. Les options de modification de l'héritage par défaut incluent les quatre paramètres et configurations suivants :
- blocage de l'héritage de stratégies
- application du GPO
- filtrage par le GPO de la liste de contrôle d'accès (LCA)
- Filtres WMI (Windows Management Instrumentation)
Ces paramètres devant être utilisés avec modération, il ne devrait pas être difficile de documenter leurs conditions d'utilisation. Pour savoir si ces options sont utilisées, consultez GPMC. Le blocage d'héritage est effectué sur le nœud du domaine ou de l'unité d'organisation (l'UO) dans GPMC. L'application du GPO, le filtrage de la LCA et le filtrage WMI sont définis sur chaque GPO.
Vous pouvez également exécuter la commande Gpresult à partir de l'ordinateur cible pour savoir si l'un de ces paramètres empêche les stratégies de s'appliquer. Pour obtenir une vue plus approfondie du jeu de stratégies appliquées résultant, vous pouvez ajouter le commutateur /v à la commande Gpresult, afin d'obtenir le résultat en clair.
Problèmes de modèle ADM
Lorsque vous tentez de configurer des paramètres dans un GPO situé sous Modèles d'administration, vous travaillez avec des modèles ADM. Outre les modèles ADM fournis avec le système d'exploitation, vous pouvez personnaliser le vôtre pour l'utiliser dans un GPO. Le code du modèle ADM crée les dossiers et les stratégies dans l'éditeur de stratégie de groupe sous le nœud des Modèles d'administration. Cependant, si le modèle ADM est corrompu ou mal configuré, il est tout à fait possible que vous ne puissiez pas voir certains ou tous les paramètres de l'éditeur. Voici quelques autres problèmes dont il convient de se méfier lors de l'utilisation des modèles ADM.
Modèles ADM manquants Lorsque vous modifiez un GPO et constatez qu'il existe des paramètres dans un modèle ADM personnalisé qui ne sont pas visibles dans l'éditeur, vous devez importer le modèle ADM dans le GPO. Pour ce faire, il vous suffit de cliquer avec le bouton droit de la souris sur le nœud des Modèles d'administration dans l'éditeur et de sélectionner Ajout/Suppression de modèles.
Préférences manquantes Il existe deux types de paramètres pouvant être créés dans un GPO personnalisé : Préférences et Stratégies. Les stratégies sont des paramètres par défaut de Microsoft qui appartiennent tous à une des quatre sous-clés du registre, chacune se terminant par le mot « Policies ». Les préférences sont des modifications de registre « à l'ancienne » qui ne relèvent pas d'une des quatre sous-clés et qui sont difficiles à inverser une fois configurées. Ces préférences ne sont pas visibles dans l'éditeur par défaut. Vous devez les activer pour qu'elles soient visibles, ce qui est possible via le menu Affichage de la barre d'outils. À partir de ce menu, sélectionnez Filtrage, puis cochez la case « Afficher uniquement les paramètres de stratégie pouvant être entièrement gérés ». Ceci affichera immédiatement les préférences configurées dans les modèles ADM personnalisés qui ont été importés.
Outils pratiques
Il existe une multitude d'outils disponibles destinés à vous aider à dépister vos problèmes de stratégie de groupe. Certains d'entre eux sont intégrés dans le système d'exploitation et d'autres peuvent être téléchargés et installés. J'aborderai ensuite les outils appropriés afin que vous puissiez choisir celui qui conviendra à votre tâche.
Dcgpofix Il arriver que vous l'un des deux GPO par défaut vous pose problème : Stratégie de domaine par défaut et Stratégie des contrôleurs de domaine par défaut. Si l'un des GPO (ou les deux) est corrompu à un niveau trop profond de la configuration où vous ne pouvez pas le réparer, ou si vous rencontrez un autre problème inconnu, vous pouvez utiliser l'outil dcgpofix pour ramener les GPO à l'état par défaut. Cet outil est inclus dans Windows Server® 2003.Vous ne devez pas l'exécuter sur un contrôleur de domaine Windows 2000 ; utilisez plutôt Recreatedefpol dans ce cas. Souvenez-vous, lorsque vous utilisez cet outil, vous perdez tous vos paramètres personnalisés.
Recreatedefpol Cet outil est similaire à Dcgpofix, mais réservé aux serveurs Windows 2000. Il peut remettre les deux GPO par défaut à leur état initial. Cet outil doit être seulement utilisé dans une situation de reprise après sinistre et non pour la maintenance de routine des GPO. Vous pouvez télécharger cet outil.
Observateur d'événements L'observateur d'événements contient de nombreuses d'informations concernant la stratégie de groupe. Malheureusement, il est nécessaire de consulter tous les fichiers journaux pour trouver des entrées pour la stratégie de groupe. Vous y trouverez des entrées se rapportant à l'application des stratégies, à la réplication des stratégies et à l'actualisation des stratégies, toutes informations pouvant être utiles lors du dépistage d'un problème. Les journaux d'événements ne contiennent pas toujours beaucoup d'informations sur les erreurs de stratégie de groupe spécifiques, mais souvenez-vous que vous pouvez toujours effectuer des recherches dans Technet si vous trouvez des erreurs que vous ne pouvez pas identifier.
Gpresult Cet outil peut uniquement être exécuté localement sur l'ordinateur cible, mais il fournit des informations sur le jeu de stratégies résultant, les GPO bloqués, les autorisations relatives aux GPO et bien plus encore. L'utilisation de la commande avec le commutateur /v permet d'afficher un grand nombre d'informations sur les GPO qui affectent l'ordinateur et sur les comptes utilisateur relatifs à l'ouverture de session actuelle.
Gpupdate Si vous implémentez de nouveaux paramètres de GPO ou que vous essayez de vérifier que tout le traitement des GPO a été effectué, vous pouvez utiliser l'outil Gpupdate. Il s'agit d'un outil de ligne de commande fourni avec le système d'exploitation (Windows XP et versions supérieures). Lorsqu'il est exécuté, il déclenche une actualisation en arrière-plan qui applique tous les paramètres du GPO qui obéissent à ce type d'actualisation. Si vous ajoutez le commutateur /force, il applique à nouveau tous les paramètres du GPO, même s'il n'y a pas eu de modification du GPO depuis la dernière actualisation. L'exécution de cette commande préalablement à l'exécution de la commande Gpresult constitue une méthode de dépistage des problèmes de GPO très efficace.
Gpotool Puisque les GPO sont répliqués à partir du contrôleur de domaine d'où les modifications de GPO sont originaires vers tous les autres contrôleurs de domaine, il existe un risque que la réplication échoue ou ne converge pas efficacement. Un échec de la réplication peut se traduire par un manque de cohérence ou une application incorrecte des modifications sur les ordinateurs cibles. Les outils tels que Gpresult et RSOP peuvent vous aider à déterminer ce que les GPO ont appliqué, mais cet outil, Gpotool, peut vous aider à déterminer si les GPO de chaque contrôleur de domaine sont cohérents. L'outil fait partie du Kit de ressources Windows Server 2003 disponible à l'adresse go.microsoft.com/fwlink/?LinkId=77613.
Replmon En dépannant la réplication de GPO d'un contrôleur de domaine à un autre, il est important de savoir quels outils vous pouvez utiliser pour vous aider à faire fonctionner la réplication. Puisqu'un GPO se compose de deux parties qui doivent être répliquées, il y a deux parties qui doivent être traitées. La première, qui représente le contenu de SYSVOL sur chaque contrôleur de domaine, est contrôlée par le service de réplication de fichier (FRS). Il n'y a pas grand-chose que vous puissiez faire pour contrôler cette réplication, hormis désactiver puis réactiver le service pour déclencher un intervalle de réplication. L'autre partie du GPO, qui est enregistrée dans Active Directory, est contrôlée par la réplication d'Active Directory. Cette réplication peut être contrôlée entre les contrôleurs de domaine du même site d'Active Directory à l'aide des sites et services d'Active Directory. Cependant, si vous devez déclencher une réplication entre les contrôleurs de domaine de différents sites d'Active Directory, vous devez utiliser un outil tel que Replmon. Replmon peut forcer la réplication de la base de données d'Active Directory au-delà des limites du site, alors que les sites et services d'Active Directory ne le peuvent pas. Donc, lorsque vous êtes confronté à un problème de cohérence dans les informations de la stratégie de groupe, qui est enregistrée dans Active Directory, vous pouvez utiliser Replmon pour déclencher un processus de réplication afin que ces informations soient envoyées sur chaque contrôleur de domaine. Replmon fait partie du Kit de ressources et des outils de support de Windows XP. Vous pouvez le télécharger à l'adresse go.microsoft.com/fwlink/?LinkId=77614.
RSOP À l'instar de l'outil de ligne de commande Gpresult, RSOP fournit une interface graphique permettant d'examiner les paramètres appliqués par tous les GPO. RSOP.MSC est un outil intégré pour Windows XP Professionnel et Windows Server 2003. Cet outil vous fournit un résultat de tous les paramètres de stratégie appliqués dans un format similaire à celui de l'éditeur d'objets de stratégie de groupe, comme illustré à a figure 5.
Figure 5** Outil Jeu de stratégies résultant **
Conclusion
Le dépannage de la stratégie de groupe n'est pas la tâche la plus simple qui soit. En fait, comme cet article le montre, la stratégie de groupe peut être relativement complexe. Lorsque vous vous y intéressez en vue de résoudre un problème, vous devez comprendre l'architecture fondamentale et le traitement général propres à la stratégie de groupe. Vous devez également comprendre le processus de mise à jour, de réplication, de traitement et d'application des GPO. Si vous avez une bonne maîtrise de tous ces concepts, le dépannage d'un problème de stratégie de groupe précis devient beaucoup plus facile. En suivant les indications de cet article et en utilisant les outils de façon appropriée, vous serez prêt à gérer tous les problèmes de stratégie de groupe que vous pourrez rencontrer.
Derek Melber est Directeur de la filiale Education, Certification, and Compliance Solutions for DesktopStandard, détenue à 100 % par Microsoft. Derek est coauteur de Microsoft Windows Group Policy Guide (Guide de stratégie de groupe pour Microsoft Windows) (en anglais) (Microsoft Press, 2005). Il a également écrit une série de livres sur les audits de la sécurité de Windows (www.theiia.org). Contactez-le à l'adresse derekm@desktopstandard.com.
© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.