Console de gestion des stratégies de groupe

La console de gestion des stratégies de groupe (GPMC, Group Policy Management Console) permet de gérer de manière unifiée tous les aspects de la stratégie de groupe sur plusieurs forêts d’une organisation. La console GPMC vous permet de gérer tous les objets de stratégie de groupe (GPO, Group Policy Objects) les filtres WMI (Windows Management Instrumentation) et les autorisations liées à la stratégie de groupe dans votre réseau. Considérez la console GPMC comme point d’accès principal à la stratégie de groupe. Tous les outils de gestion des stratégies de groupe sont disponibles dans l’interface GPMC.

La GPMC se compose d’un ensemble d’interfaces scriptables pour la gestion de la stratégie de groupe et d’une interface utilisateur basée sur MMC. La GPMC est incluse avec Windows Server et les outils d’administration du serveur distant.

Grâce à la GPMC, vous pouvez :

• importer et exporter des GPO ;
• copier et coller des GPO ;
• sauvegarder et restaurer des GPO ;
• rechercher des objets de stratégie de groupe existants ;
• Fonctionnalités de rapport.
• Modélisation des stratégies de groupe. Permet de simuler des données RsoP (Resultant Set of Policy) pour planifier les déploiements de stratégies de groupe avant de les mettre en œuvre dans l’environnement de production.
• Résultats de stratégie de groupe. Permet d’afficher l’interaction avec le GPO et de résoudre les problèmes liés aux déploiements de stratégie de groupe.
• La prise en charge des tables de migration facilite l’importation et la copie de GPO entre les domaines et les forêts. Une table de migration est un fichier qui mappe des références à des utilisateurs, groupes, ordinateurs et chemins UNC (Universal Naming Convention) recensés dans le GPO source aux nouvelles valeurs dans le GPO de destination.
• Rapports sur les GPO et les données RSoP au format HTML que vous pouvez enregistrer et imprimer.
• Interfaces scriptables qui autorisent toutes les opérations disponibles dans la GPMC. Vous ne pouvez pas utiliser de scripts pour modifier des paramètres de stratégie spécifiques dans un objet de stratégie de groupe.

Prerequisites

Pour utiliser la GMPC, vous devez répondre aux exigences suivantes.

• Disposer de la fonctionnalité Gestion des stratégies de groupe installée sur un ordinateur exécutant Windows Server ou un système d’exploitation client Windows.
• Disposez de paramètres de modification, de suppression et de modification des autorisations de sécurité sur l’objet de stratégie de groupe.
• Pour lier des objets de stratégie de groupe, vous avez besoin de l’autorisation de modification sur ce site, domaine ou unité d’organisation. Par défaut, seuls les administrateurs de domaine et d’entreprise disposent de cette autorisation.
  • Les utilisateurs et les groupes autorisés à lier des GPO à un site, un domaine ou une unité organisationnelle spécifique peuvent lier des GPO, modifier l’ordre des liens et définir l’héritage de bloc sur ce site, ce domaine ou cette unité organisationnelle.

Créer un GPO sans lien

Pour créer un GPO sans lien, procédez comme suit :

1. Pour ouvrir la console GPMC, sélectionnez Démarrer, entrez Gestion des stratégies de groupe dans la zone de recherche, puis sélectionnez Gestion des stratégies de groupe.
2. Dans l’arborescence de la GPMC, cliquez avec le bouton droit sur Objets de stratégie de groupe dans la forêt et le domaine où vous voulez créer un GPO sans lien.
3. Sélectionnez Nouveau.
4. Dans la boîte de dialogue Nouvel objet de stratégie de groupe, spécifiez un nom pour le nouvel objet de stratégie de groupe, puis sélectionnez OK.

Modifier un GPO existant

Pour modifier les paramètres de stratégie au sein d’un GPO existant, procédez comme suit :

1. Dans l’arborescence de la GPMC, développez Objets de stratégie de groupe dans la forêt et le domaine contenant le GPO que vous souhaitez modifier.
2. Cliquez avec le bouton droit sur l’objet de stratégie de groupe à modifier, puis sélectionnez Modifier.
3. Dans l’arborescence de la console de l’Éditeur de gestion des stratégies de groupe, développez les éléments nécessaires pour localiser l’élément de stratégie qui contient les paramètres que vous souhaitez modifier. Sélectionnez un élément pour afficher les paramètres de stratégie associés dans le volet d’informations.
4. Dans le volet d’informations, double-cliquez sur les noms des paramètres de stratégie que vous souhaitez modifier.
5. Dans la boîte de dialogue Propriétés, modifiez les paramètres de stratégie en fonction des besoins, puis sélectionnez OK.
6. Une fois les modifications nécessaires effectuées, fermez l’Éditeur de gestion des stratégies de groupe.

Lier un GPO

La principale façon d’appliquer les paramètres de stratégie d’un GPO aux utilisateurs et aux ordinateurs consiste à lier le GPO à un conteneur dans Active Directory. Les GPO peuvent être liés à trois types de conteneurs dans Active Directory : les sites, les domaines et les unités organisationnelles (OU, organizational units). Un GPO peut être lié à plusieurs conteneurs Active Directory.

Les GPO sont stockés par domaine. Par exemple, si vous liez un GPO à une OU, le GPO n’est pas stocké dans l’OU. Un GPO est un objet par domaine qui peut être lié n’importe où dans la forêt. L’interface utilisateur dans la GPMC permet de clarifier la distinction entre les liens et les véritables GPO.

Dans la GPMC, vous pouvez lier un GPO existant à des conteneurs Active Directory selon l’une des méthodes suivantes :

• Cliquez avec le bouton droit sur un site, un domaine ou un élément d’OU. Ensuite, sélectionnez Lier un GPO existant. Cette procédure exige que le GPO existe déjà dans le domaine.
• Faites glisser un GPO depuis l’élément Objets de stratégie de groupe vers l’OU à laquelle vous souhaitez lier le GPO. Cette fonctionnalité de glisser-déplacer fonctionne uniquement au sein du même domaine.

Modifier l’ordre des liens GPO

Dans chaque site, domaine et OU, l’ordre des liens contrôle l’ordre dans lequel les GPO sont appliqués. Pour modifier la priorité d’un lien, vous pouvez modifier l’ordre des liens, en déplaçant chaque lien vers le haut ou vers le bas de la liste, où vous souhaitez. Les liens avec le nombre le plus bas ont une priorité plus élevée pour un site, un domaine ou une OU donnés.

Par exemple, vous souhaitez que le dernier GPO ajouté ait la priorité la plus élevée. Vous pouvez ajuster l’ordre de liaison du GPO à un ordre de liaison de 1 pour qu’il soit le plus élevé. Pour modifier l’ordre des liens de GPO pour un site, un domaine ou une OU, utilisez la GPMC.

Dissocier un GPO d’un site, d’un domaine ou d’une OU

Si vous dissociez un GPO, le GPO lié ne s’appliquera plus à l’emplacement où il a été lié à l’origine. Pour dissocier un GPO :

1. Dans l’arborescence de la GPMC, développez Objets de stratégie de groupe dans la forêt et le domaine contenant le GPO que vous souhaitez dissocier.
2. Sélectionnez le GPO à dissocier.
3. Dans le volet d’informations, sélectionnez l’onglet Étendue .
4. Dans la section Liens, cliquez avec le bouton droit sur l’objet Active Directory avec le lien que vous souhaitez supprimer, puis sélectionnez Supprimer des liens.

Supprimer un lien vers un GPO ne revient pas à supprimer un GPO. Si un lien GPO est établi, le GPO reste disponible. Les autres liens d’autres domaines vers ce GPO restent également présents. Lorsque vous supprimez un GPO, vous êtes invité à le supprimer ainsi que tous les liens vers celui-ci dans le domaine sélectionné. Supprimer le GPO et ses liens ne revient pas à supprimer les liens vers le GPO provenant d’autres domaines. Veillez à supprimer les liens vers le GPO dans d’autres domaines avant de le supprimer de ce domaine.

Désactiver les paramètres de configuration de l’utilisateur ou de l’ordinateur dans un GPO

Pour créer un GPO qui ne définit que les paramètres de stratégie liés à l’utilisateur, désactivez les paramètres de configuration de l’ordinateur dans le GPO. La désactivation de la configuration de l’ordinateur réduit légèrement le temps de démarrage de l’ordinateur car les paramètres de configuration de l’ordinateur dans le GPO n’ont pas besoin d’être évalués. Si vous ne configurez que des paramètres de stratégie liés à l’ordinateur, désactivez les paramètres de configuration de l’utilisateur dans le GPO. Pour désactiver la configuration de l’utilisateur ou de l’ordinateur :

1. Dans l’arborescence de la console GPMC, développez les GPO dans la forêt et le domaine contenant le GPO dans lequel se trouvent les paramètres de stratégie que vous souhaitez désactiver.
2. Cliquez avec le bouton droit de la souris sur le GPO qui contient les paramètres de stratégie que vous souhaitez désactiver.
3. Dans la liste d’état des GPO, sélectionnez l’une des options suivantes :
   • Tous les paramètres de stratégie désactivés
   • Paramètres de configuration de l’ordinateur désactivés
   • Activé (par défaut)
   • Paramètres de configuration de l’utilisateur désactivés

Contenu connexe

• Traitement des stratégies de groupe
• Sauvegarde, restauration, migration et copie d’objets de stratégie de groupe (GPO)
• Résultats de la modélisation des stratégies de groupe et de la stratégie de groupe