Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Par défaut, la stratégie de groupe est héritée et cumulative et affecte tous les ordinateurs et utilisateurs dans un conteneur Active Directory (AD) et ses enfants. Les paramètres de stratégie liés à l’ordinateur remplacent les paramètres de stratégie liés à l’utilisateur.
Les objets de stratégie de groupe (GPO) sont traités dans l’ordre suivant :
- L’objet de stratégie de groupe (GPO) local est appliqué.
- Les GPO liés aux sites sont appliqués.
- Les GPO liés aux domaines sont appliqués.
- Les objets de stratégie de groupe liés à des unités d’organisation (OU) sont appliqués. Dans une structure OU imbriquée, les objets de stratégie de groupe liés aux OU parentes sont appliqués en premier, suivis des objets de stratégie de groupe liés aux OU enfants.
Conseil / Astuce
La séquence de traitement des GPO est cruciale, car chaque application de stratégie suivante peut remplacer les paramètres appliqués par des stratégies antérieures.
La méthode d’héritage par défaut consiste à évaluer la stratégie de groupe en commençant par le conteneur AD parent le plus élevé. Le conteneur AD le plus proche de l’ordinateur ou de l’utilisateur remplace la stratégie de groupe définie dans un conteneur AD de niveau supérieur. L’héritage est ignoré lorsque vous définissez l’option Enforced (appliqué) pour ce lien de GPO ou lorsque le paramètre d’héritage de bloc est appliqué. La stratégie de groupe locale est traitée avant les stratégies basées sur un domaine. Les paramètres de stratégie dérivés des GPO liées aux conteneurs Active Directory remplacent les paramètres de stratégie locale.
Vous pouvez lier plusieurs objets de stratégie de groupe à un conteneur AD. Le lien objet de stratégie de groupe avec l’ordre de lien le plus bas dans la liste liens d’objet de stratégie de groupe est prioritaire par défaut.
Fonctionnement du traitement des stratégies de groupe
La stratégie de groupe pour les paramètres de l’ordinateur est appliquée au démarrage de l’ordinateur. La stratégie de groupe est appliquée lors de l’ouverture de session pour les utilisateurs. Ce traitement initial de la stratégie peut également être appelé application de stratégie de premier plan.
Le traitement au premier plan de la stratégie de groupe peut être synchrone ou asynchrone. En mode synchrone, l’ordinateur ne termine pas le démarrage du système tant que la stratégie d’ordinateur n’est pas appliquée correctement. Le processus d’ouverture de session utilisateur ne se termine pas tant que la stratégie utilisateur n’est pas appliquée correctement. En mode asynchrone, s’il n’existe aucune modification de stratégie nécessitant un traitement synchrone, l’ordinateur peut terminer la séquence de démarrage avant la fin de l’application de la stratégie d’ordinateur. Le bureau peut également être disponible pour l’utilisateur avant la fin de l’application de la stratégie utilisateur en mode asynchrone. Le système applique ensuite régulièrement (actualise) la stratégie de groupe en arrière-plan. Pendant une actualisation, les paramètres de stratégie sont appliqués de manière asynchrone.
Tous les traitements de stratégie doivent être effectués dans les 60 minutes. Il n’existe aucune méthode pour modifier ce délai d’attente.
Après le traitement initial de la stratégie de groupe (également appelée application de stratégie de premier plan), le système applique régulièrement (actualise) la stratégie de groupe en arrière-plan. Pendant une actualisation, les paramètres de stratégie sont appliqués de manière asynchrone.
Par défaut, une actualisation se produit toutes les 90 minutes. Le système peut ajouter une durée aléatoire allant jusqu’à 30 minutes à l’intervalle d’actualisation. Vous pouvez modifier ces valeurs par défaut à l’aide d’un paramètre de stratégie de groupe dans l’extension Modèles d’administration en stratégie de groupe. La définition de la valeur sur zéro minutes entraîne la définition du taux d’actualisation sur sept secondes. Toutes les extensions de stratégie de groupe ne sont pas traitées pendant une actualisation en arrière-plan. Par exemple, le traitement de la redirection de dossiers se produit uniquement lorsqu’un utilisateur se connecte. En outre, le traitement de la stratégie d’installation logicielle se produit uniquement lorsqu’un ordinateur démarre et lorsqu’un utilisateur se connecte.
Même si le système traite les extensions de script pour la stratégie de groupe pendant une actualisation en arrière-plan, les scripts individuels s’exécutent uniquement lorsque l’ordinateur démarre et s’arrête, et lorsqu’un utilisateur se connecte et se déconnecte.
Pendant une actualisation de stratégie, par défaut, une extension côté client réapplique les paramètres de stratégie uniquement s’il détecte une modification de l’un de ses objets de stratégie de groupe ou de sa liste d’objets de stratégie de groupe. Ce comportement est pour des raisons de performances.
GPO appliqués
Déterminez s’il existe des paramètres de stratégie qui doivent toujours être appliqués pour des groupes particuliers d’utilisateurs ou d’ordinateurs. Créez des objets de stratégie de groupe contenant ces paramètres de stratégie, liez-les au site, au domaine ou à l’unité d’organisation appropriés, puis désignez ces liens comme appliqués. En définissant cette option, vous appliquez les paramètres de stratégie d’un objet de stratégie de groupe de niveau supérieur en empêchant les objets de stratégie de groupe des conteneurs AD de niveau inférieur de les remplacer. Par exemple, si vous définissez un objet de stratégie de groupe spécifique au niveau du domaine et définissez l’option appliquée, les stratégies que l’objet de stratégie de groupe contient s’appliquent à toutes les unités d’organisation sous ce domaine. Les GPO liés au unités organisationnelles de niveau inférieur ne peuvent pas remplacer cette stratégie de groupe de domaine appliquée. Si plusieurs GPO sont liés au même site, domaine ou à la même unité d’organisation et que l’option appliquée est définie, le lien de GPO le plus élevé défini sur Enforced est prioritaire.
Bloquer l’héritage
Dans la console de gestion des stratégies de groupe (GPMC), Bloquer l’héritage des stratégies ou Bloquer l’héritage fait référence à une fonctionnalité qui influence l’ordre de traitement des stratégies de groupe. Chaque domaine et unité d’organisation dans AD possède un attribut GPOptions , qui peut être configuré pour bloquer l’héritage. Cela empêche les paramètres de stratégie appliqués au niveau local, site, domaine et unité d’organisation supérieure d’affecter les ordinateurs ou les utilisateurs de l’unité d’organisation. Toutefois, bien que l’héritage bloqué empêche la plupart des paramètres de s’appliquer à une unité d’organisation, il n’affecte pas les paramètres appliqués via des GPO avec l’option appliquée. Appliqué est une propriété de lien et a priorité sur l’héritage des stratégies de blocage, une propriété de conteneur.
Les paramètres de stratégie liés à un domaine s’appliquent généralement à tous les ordinateurs et utilisateurs du domaine, quel que soit leur unité d’organisation parente. À l’aide de GPMC, vous pouvez bloquer l’héritage sur un domaine ou une unité d’organisation pour empêcher l’application des paramètres de stratégie de groupe normaux. Le blocage de l’héritage au niveau du domaine empêche les paramètres des objets de stratégie de groupe liés à un site AD de s’appliquer au domaine, tandis que le blocage au niveau de l’unité d’organisation empêche les paramètres des objets de stratégie de groupe liés aux sites et aux domaines d’affecter ces unités d’organisation.
Outre le blocage de l’héritage :
- Un objet de stratégie de groupe peut être entièrement désactivé.
- Les paramètres d’ordinateur d’un GPO peuvent être désactivés
- Les paramètres utilisateur d’un objet de stratégie de groupe peuvent être désactivés.
- Un GPO peut avoir tous ses paramètres désactivés
Extensions côté client des préférences de stratégie de groupe
Les extensions côté client des préférences de stratégie de groupe ont leurs propres méthodes uniques de traitement. Au sein d'un objet de stratégie de groupe (GPO) unique, vous pouvez configurer un ou plusieurs éléments de préférence pour qu'une extension spécifique de préférence de stratégie de groupe soit traitée. Par exemple, un seul objet de stratégie de groupe peut contenir plusieurs éléments Préférences de mappage de lecteur.
Pendant le traitement de la stratégie de groupe, l’infrastructure passe par une série d’extensions. Pour chaque extension, elle fournit des informations essentielles, notamment une liste d’objets de stratégie de groupe avec des modifications et des objets de stratégie de groupe qui ne s’appliquent plus à l’utilisateur ou à l’ordinateur. L’infrastructure partage également des détails spécifiques au contexte, par exemple si la connexion réseau est considérée comme lente. L’extension Préférences de stratégie de groupe utilise des informations sur les objets de stratégie de groupe modifiés et hors de l’étendue pour traiter ses paramètres.
Les extensions côté client traitent les éléments de préférence séquentiellement, du haut au bas de la liste. Le résultat du traitement de chaque élément de préférence dépend de son action configurée, et le ciblage au niveau de l’élément peut empêcher l’application d’un élément. L'extension traite chaque élément jusqu'à ce qu'elle complète la liste ou s'arrête en raison de paramètres de configuration tels que arrêter le traitement des éléments dans cette extension si une erreur se produit sur cet élément ou s'appliquer une seule fois et ne plus appliquer. Une fois tous les éléments de préférence traités, le contrôle retourne au service de stratégie de groupe.
Filtrage des stratégies de groupe
Vous pouvez déterminer si un GPO s’applique en utilisant un filtrage de sécurité ou des filtres WMI (Windows Management Instrumentation).
Le filtrage de sécurité vous permet de préciser les utilisateurs et les ordinateurs qui peuvent recevoir et appliquer les paramètres de stratégie dans un GPO. Le filtrage des groupes de sécurité détermine si le GPO s’applique aux groupes, aux utilisateurs ou aux ordinateurs. Le filtrage des groupes de sécurité ne peut pas être utilisé sélectivement pour différents paramètres des politiques au sein d’un GPO.
WMI vous permet d’utiliser une requête WMI pour filtrer l’application de la stratégie de groupe. Lorsque vous utilisez le filtrage WMI, le GPO s’applique aux principaux de sécurité qui répondent aux conditions de la requête WMI. Chaque objet de stratégie de groupe peut être lié à un filtre WMI ; Toutefois, le même filtre WMI peut être lié à plusieurs objets de stratégie de groupe. Avant de pouvoir lier un filtre WMI à un GPO, vous devez créer le filtre. Le filtre WMI est évalué sur l’ordinateur de destination pendant le traitement de la stratégie de groupe. Le GPO s’applique uniquement si le filtre WMI prend la valeur true.
Mode de traitement de bouclage
Le mode de traitement de bouclage applique automatiquement les paramètres de configuration utilisateur des GPO affectés à l’ordinateur, indépendamment de l’utilisateur qui se connecte. Le traitement de bouclage fusionnera ou remplacera les paramètres utilisateur des GPO assignés à l’utilisateur. Ce paramètre de stratégie est approprié dans certains environnements étroitement gérés avec des ordinateurs à usage spécial, tels que des salles de classe, des kiosques publics et des zones d’accueil.
Par exemple, vous pouvez activer ce paramètre de stratégie sur un serveur spécifique pour ajuster les paramètres utilisateur en fonction de l’ordinateur utilisé. Lorsque vous activez le paramètre de stratégie de mode de traitement de bouclage, le système applique les paramètres de stratégie utilisateur en fonction de la configuration de l’ordinateur, quel que soit l’identité de l’utilisateur qui se connecte. Cela garantit des paramètres de stratégie utilisateur cohérents pour tous les utilisateurs sur l’ordinateur, comme défini par les GPO de l’ordinateur.
En activant le paramètre de stratégie de traitement de bouclage dans un GPO, vous pouvez configurer les paramètres de stratégie utilisateur en fonction de l’ordinateur sur lequel ils se connectent. Sans traitement de rebouclage, les GPO qui s’appliquent à un objet ordinateur traiteront uniquement les paramètres de configuration de l’ordinateur. Les GPO appliqués aux utilisateurs traitent uniquement les paramètres de configuration utilisateur. Lorsque vous activez le paramètre de stratégie de traitement de bouclage, vous devez vérifier que les paramètres de Configuration de l’ordinateur et de Configuration utilisateur dans le GPO sont activés. Ces paramètres de stratégie sont appliqués quel que soit l’utilisateur qui se connecte.
Vous pouvez configurer le paramètre de stratégie de bouclage à l’aide du GPMC pour modifier l’objet de stratégie de groupe et activer le paramètre de stratégie Configurer le mode de traitement de bouclage de la stratégie de groupe utilisateur sous Configuration ordinateur\Stratégies\Modèles d’administration\Système\Stratégie de groupe. Deux options sont disponibles :
Mode de fusion : dans ce mode, la liste des GPO pour l’utilisateur est collectée au cours du processus d’ouverture de session. La liste des GPO pour l’ordinateur est ensuite collectée. Ensuite, la liste des GPO pour l’ordinateur est ajoutée à la fin des GPO pour l’utilisateur. Par conséquent, les objets de stratégie de groupe de l’ordinateur ont une priorité plus élevée que les objets de stratégie de groupe de l’utilisateur. Si les paramètres de stratégie sont en conflit, les paramètres de stratégie utilisateur dans les objets de stratégie de groupe de l’ordinateur sont appliqués plutôt que les paramètres de stratégie normales de l’utilisateur.
Mode de remplacement : dans ce mode, la liste des GPO de l'utilisateur n'est pas collectée. Au lieu de cela, seule la liste des GPO basée sur le compte d’ordinateur est utilisée. Les paramètres de configuration utilisateur de cette liste sont appliqués à l’utilisateur.
Actualisation de la stratégie de groupe
Les principaux mécanismes d’actualisation de la stratégie de groupe sont au démarrage et à l’ouverture de session. La stratégie de groupe est également actualisée régulièrement à d’autres intervalles. L’intervalle d’actualisation de la stratégie affecte la rapidité d’application des modifications apportées aux GPO. Par défaut, les clients et les serveurs vérifient les modifications apportées aux GPO toutes les 90 minutes à l’aide d’un décalage aléatoire allant jusqu’à 30 minutes. Les modifications apportées aux paramètres de stratégie de groupe peuvent ne pas être immédiatement disponibles sur les bureaux des utilisateurs, car les modifications apportées à l’objet de stratégie de groupe doivent d’abord être répliquées sur le contrôleur de domaine approprié.
Les contrôleurs de domaine vérifient les modifications de stratégie d’ordinateur toutes les cinq minutes. Cette fréquence d’interrogation peut être modifiée à l’aide de l’un de ces paramètres de stratégie, de l’intervalle d’actualisation de la stratégie de groupe pour les ordinateurs, de l’intervalle d’actualisation de la stratégie de groupe pour les contrôleurs de domaine ou de l’intervalle d’actualisation de la stratégie de groupe pour les utilisateurs. Le raccourcissement de la fréquence entre les actualisations n’est pas recommandé en raison de l’augmentation potentielle du trafic réseau et d’une charge accrue sur les contrôleurs de domaine.
Les composants d’un objet de stratégie de groupe (GPO) sont stockés dans AD et dans le dossier SYSVOL des contrôleurs de domaine. La réplication d'un objet de stratégie de groupe (GPO) vers d'autres contrôleurs de domaine se fait par deux mécanismes indépendants :
Le système de réplication intégré contrôle la réplication d'Active Directory. Par défaut, la réplication prend généralement moins d’une minute entre les contrôleurs de domaine au sein du même site. Ce processus peut être plus lent si votre réseau est plus lent qu’un réseau local.
La réplication de système de fichiers DFS (DFSR) contrôle la réplication du dossier SYSVOL. Dans les sites, la réplication se produit toutes les 15 minutes. Si les contrôleurs de domaine se trouvent dans différents sites, le processus de réplication se produit à intervalles définis en fonction de la topologie de site et de la planification, l’intervalle le plus bas est de 15 minutes.
Déclencher la mise à jour de la stratégie de groupe
Si nécessaire, vous pouvez déclencher une actualisation de stratégie de groupe manuellement de la manière suivante :
À partir d’un ordinateur local, entrez
gpupdate.exeà partir de la ligne de commande. L’exécutiongpupdate.exedéclenche une actualisation de stratégie pour l’ordinateur sur lequel la commande est exécutée.Utilisez l’applet
Invoke-GPUpdatede commande PowerShell. Vous pouvez utiliser cette applet de commande pour déclencher une actualisation de l’ordinateur local ou pour déclencher une actualisation d’un ordinateur distant.Utilisez la console GPMC pour déclencher une actualisation de stratégie de groupe au niveau de l’unité d’organisation en cliquant avec le bouton droit sur l’unité d’organisation et en sélectionnant Mise à jour de stratégie de groupe.
Optimiser le traitement des GPO
Pour réduire la durée nécessaire au traitement d’un GPO, envisagez d’utiliser les éléments suivants.
Lorsqu’un GPO contient uniquement des paramètres de configuration d’ordinateur ou de configuration utilisateur, désactivez la partie du paramètre de stratégie qui ne s’applique pas. Avec cette optimisation, l’ordinateur de destination n’analyse pas les sections d’un GPO que vous désactivez, ce qui réduit le temps de traitement.
Pour obtenir un GPO consolidé, combinez des GPO plus petits. Cette optimisation réduit le nombre de GPO appliqués à un utilisateur ou un ordinateur. L’application de moins de GPO à un utilisateur ou un ordinateur peut réduire les temps de démarrage ou d’ouverture de session et faciliter la résolution des problèmes de la structure de stratégie.