Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’application de stratégie de groupe détermine quels objets de stratégie de groupe sont appliqués aux utilisateurs ou aux ordinateurs et applique les paramètres correspondants. Une bonne compréhension du traitement des stratégies de groupe est essentielle pour planifier et déployer efficacement des configurations de stratégie de groupe. Understanding Group Policy processing begins with the concept of scope. L’étendue définit les objets de stratégie de groupe applicables à un utilisateur ou à un ordinateur, en fonction de leur emplacement dans Active Directory (AD). Vous définissez l’étendue en liant les objets de stratégie de groupe à des sites, des domaines ou des unités d’organisation (OU) particuliers dans AD.
Qu’est-ce qu’une étendue?
L’étendue d’un objet de stratégie de groupe fait référence à la plage d’utilisateurs et d’ordinateurs auxquels les paramètres de stratégie peuvent être appliqués. Comprendre l’étendue aide les administrateurs à contrôler où et à qui leurs stratégies sont appliquées. La modification de l’étendue des objets de stratégie de groupe affecte les paramètres de stratégie qui s’appliquent et ceux qui ne le font pas. Vous modifiez l’étendue de la stratégie de groupe à l’aide de l’ordre de traitement, du filtrage et des options de lien. Pour déterminer l’étendue d’un utilisateur ou d’un ordinateur spécifique, vous pouvez vérifier son nom distinctif dans AD. Le nom unique identifie de façon unique l’objet et indique sa position dans la structure de répertoires. For example:
CN=Kim Askers,OU=Human Resources,DC=corp,DC=contoso,DC=com
CN=Kim Askers: This part identifies the Common Name (CN) of the object, which is often a person's name if the object represents a user.
OU=Human Resources: This is the OU name, which is a container within the directory. Il représente généralement un service ou un groupe au sein de l’organisation.
DC=corp: This is a Domain Component, representing part of the domain name.
DC=contoso: Another Domain Component, combined with the others, it builds the domain
contoso.com.DC=com: The top-level domain component, in this case,
.com.
Collectivement, ces composants forment un chemin unique qui identifie l’objet (par exemple, Kim Askers dans l’unité d’organisation ressources humaines) dans la corp.contoso.com structure de répertoire du domaine.
Types d’étendue des objets de stratégie de groupe
La gestion efficace de la stratégie de groupe nécessite une compréhension claire de la façon dont l’étendue de l’objet de stratégie contrôle l’application des paramètres de stratégie aux utilisateurs et aux ordinateurs. Une configuration minutieuse de l’étendue de l’objet de stratégie de groupe permet aux administrateurs d’appliquer des stratégies à des utilisateurs et ordinateurs spécifiques, ce qui améliore la sécurité et simplifie la gestion au sein de l’organisation. Comprendre ces types d’étendue et leurs interactions est essentiel pour résoudre les conflits et maintenir une organisation efficace. Consultez les informations suivantes pour en savoir plus sur ces types de portée.
Linking
La liaison fait référence au processus d’association d’un objet de stratégie de groupe à un objet conteneur dans AD. Vous pouvez lier des objets de stratégie de groupe aux types d’objets conteneurs suivants :
Local objects: Every Windows machine has a local GPO that applies first. Les objets de stratégie de groupe locaux sont utiles pour définir des stratégies qui doivent s’appliquer indépendamment de l’appartenance du domaine de l’utilisateur, en particulier dans les situations où un ordinateur n’est pas connecté à un réseau. Toutefois, ils ont la priorité la plus faible dans un environnement AD, ce qui signifie que les objets de stratégie de groupe basés sur un domaine peuvent remplacer les paramètres définis localement.
Site objects: Represent physical or logical groupings of computers, potentially spanning multiple domains. Ils s’appliquent après les objets de stratégie de groupe locaux. Un site dans AD représente un segment physique ou logique de votre réseau. Les objets de stratégie de groupe basés sur le site peuvent être utilisés pour appliquer des paramètres à tous les ordinateurs d’un emplacement géographique spécifique. Ils ne sont pas utilisés aussi fréquemment que les GPO de domaine ou d'unité d'organisation, compte tenu de leur étendue plus large et de leur complexité potentielle dans leur configuration.
Domain objects: Encompass all users and computers within a specific domain, including any OUs it contains. Ils s’appliquent après les objets de stratégie de groupe de site. Les objets de stratégie de groupe au niveau du domaine sont utilisés pour appliquer des paramètres à tous les utilisateurs et ordinateurs de ce domaine. Étant donné qu’ils s’appliquent au niveau du domaine, ils ont plus d’autorité par rapport aux stratégies de site et locales et peuvent les remplacer.
OU objects: Allow for more granular grouping within a domain, supporting nested OUs, users, and computers. Ceux-ci ont le niveau de priorité le plus élevé dans la hiérarchie de l’application des stratégies de groupe (GPO). Ils permettent le contrôle le plus granulaire, car ils peuvent être appliqués à des groupes spécifiques d’utilisateurs ou d’ordinateurs au sein du domaine. Lorsque plusieurs unités d’organisation sont imbriquées, les objets de stratégie de groupe des unités d’organisation de niveau supérieur sont appliqués en premier, et ceux des unités d’organisation de niveau inférieur (les plus proches de l’objet, qu’il s’agisse d’un utilisateur ou d’un ordinateur) sont appliqués en dernier, et peuvent donc remplacer les paramètres des unités d’organisation de niveau supérieur.
Ces objets conteneurs définissent les limites d’application des objets de stratégie de groupe. En liant un objet de stratégie de groupe à un site, un domaine ou une unité d’organisation, vous contrôlez quels utilisateurs et ordinateurs au sein de ces conteneurs reçoivent les paramètres de stratégie. Vous ne pouvez pas lier un objet de stratégie de groupe directement à un objet utilisateur. Toutefois, en concaténant les composants de nom unique de gauche à droite, vous pouvez tracer la séquence d’objets conteneur (sites, domaines, unités d’organisation) capables d’appliquer une stratégie de groupe à l’utilisateur. Dans cet exemple :
CN=Kim Askers,OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
OU=RandD,DC=corp,DC=contoso,DC=com
DC=corp,DC=contoso,DC=com
Chacun de ces emplacements représente un niveau dans la hiérarchie AD où la stratégie de groupe peut être appliquée. Le service de stratégie de groupe collecte tous les objets de stratégie de groupe liés à ces conteneurs pour déterminer lesquelles s'appliquent à un utilisateur ou un ordinateur. Le traitement commence par l’unité d’organisation la plus proche de l’utilisateur ou de l’ordinateur et déplace la hiérarchie vers le domaine. Ce processus génère une liste d’objets de stratégie de groupe pouvant s’appliquer à l’utilisateur ou à l’ordinateur. Tous les objets de stratégie de groupe de cette liste ne sont toutefois pas nécessairement appliqués, car d'autres facteurs comme le filtrage et les options de lien peuvent influencer leur application.
GPLink attribute
La liaison de stratégie de groupe est possible sur les sites AD, les domaines et les unités d’organisation, car chacun de ces objets contient un attribut GPLink. Bien que l’attribut GPLink soit défini dans le schéma AD comme une chaîne à valeur unique, la stratégie de groupe la traite comme si elle était multivaluée. La console de gestion des stratégies de groupe (GPMC) stocke l’attribut GPLink au format suivant :
[distinguishedNameOfGroupPolicyContainer;linkOptions][...][...]
Le distinguishedNameOfGroupPolicyContainer jeton est le nom unique du conteneur de stratégie de groupe (GPC) dans AD. Chaque OSG (Objet de Stratégie de Groupe) comporte deux parties : le modèle de stratégie de groupe (stocké sur le système de fichiers) et le GPC (stocké dans la partition de domaine d’Active Directory).
Le linkOptions jeton est un entier qui spécifie les options de lien pour l’objet de stratégie de groupe. Vous pouvez activer ou désactiver une liaison d’objet de stratégie de groupe, et vous pouvez également la définir comme appliquée. La valeur linkOptions est un masque de bits qui permet de combiner ces paramètres pour contrôler la manière dont l’objet de stratégie de groupe est appliqué. For example:
Enabled (0x0): This value means that the GPO link is active and applied normally. Quand aucune option spéciale n’est définie, l’état par défaut est activé, ce qui correspond à une
linkOptionsvaleur de0x0.Disabled (0x1): When the link is disabled, it means that the GPO isn't applied at all, even if it's linked to the container. Cela correspond à l’activation du premier bit, avec une valeur
linkOptionsde0x1.Enforced (0x2): When a GPO link is set to Enforced, its settings override any conflicting settings from other non-enforced GPOs, regardless of their position in the processing order. Dans la GPMC, une liaison appliquée est indiquée par une icône de cadenas sur la stratégie liée. Les paramètres d’objet de stratégie de groupe appliqués s’appliquent toujours, même si l’héritage de stratégie est bloqué au niveau de l’unité d’organisation.
Lorsque vous désactivez le lien d’un objet de stratégie de groupe, il empêche le service de stratégie de groupe de considérer cet objet de stratégie de groupe lors de l’application de stratégies à des utilisateurs ou ordinateurs ciblés. Les liens GPO sont stockés dans une séquence où chaque lien est représenté par un distinguishedNameOfGroupPolicyContainer et un linkOptions, encadré par des crochets ([ ]) et séparé par des points-virgules (;). Cette séquence est lue de gauche à droite par le service de stratégie de groupe. Lorsqu’un nouvel objet de stratégie de groupe est lié, son entrée est insérée au début de cette séquence, en poussant les entrées existantes vers la droite. Cela signifie que la séquence est continuellement réorganisée avec l’objet de stratégie de groupe lié le plus récemment en tête.
Bien que les objets de stratégie de groupe soient lus de gauche à droite, ils sont appliqués dans l’ordre inverse, avec le dernier objet de stratégie de groupe dans la séquence (celui le plus à droite) appliqué en premier. Ce processus inverse affecte la priorité, le premier objet de stratégie de groupe de la séquence a la priorité la plus basse, car il est appliqué en premier, mais peut être substitué par les objets de stratégie de groupe suivants. Chaque objet de stratégie de groupe suivant a une priorité progressivement plus élevée, pouvant remplacer ceux qui le précèdent. Ainsi, le dernier objet de stratégie de groupe de la séquence a la priorité la plus élevée, car il peut remplacer tous les autres en cas de conflit de paramètres. Cet ordre garantit que les dernières stratégies liées sont les plus dominantes.
Par exemple, supposons que vous disposiez des objets de stratégie de groupe suivants :
- GPO1 :
[LDAP://{cn=1111aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0] - GPO2 :
[LDAP://{cn=2222aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0] - GPO3 :
[LDAP://{cn=3333aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
L’attribut GPLink peut ressembler à ceci :
[LDAP://{cn=3333aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
[LDAP://{cn=2222aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
[LDAP://{cn=1111aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
L’ordre GPLink peut ressembler à ceci :
- 1er (GPO3) :
[LDAP://{cn=3333aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0] - 2e (GPO2) :
[LDAP://{cn=2222aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0] - 3e (GPO1) :
[LDAP://{cn=1111aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
L’ordre d’application peut ressembler à ceci :
- 1ère (GPO1) :
[LDAP://{cn=1111aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0](appliqué dernier, priorité la plus élevée) - 2e (GPO2) :
[LDAP://{cn=2222aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0] - 3ème (GPO3) :
[LDAP://{cn=3333aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0](appliqué en premier, priorité la plus basse)
GPO filtering
Lorsque vous gérez la stratégie de groupe dans AD, le filtrage de sécurité et le filtrage WMI sont des outils essentiels pour affiner les utilisateurs et les ordinateurs auxquels un objet de stratégie de groupe s’applique. Ces mécanismes de filtrage permettent aux administrateurs de cibler précisément les objets de stratégie de groupe, ce qui permet un déploiement de stratégie efficace et flexible dans différents environnements informatiques.
Security Filtering
Le filtrage de sécurité dans la stratégie de groupe est une méthode permettant de déterminer quels utilisateurs ou ordinateurs sont autorisés à appliquer un objet de stratégie de groupe particulier. Cela est basé sur les autorisations définies dans AD. To apply a GPO, both the Read and Apply Group Policy permissions must be granted to the user or computer. Le service Stratégie de groupe évalue chaque objet de stratégie de groupe pour voir si les permissions requises sont présentes. Si un utilisateur ou un ordinateur dispose des autorisations nécessaires, l’objet de stratégie de groupe est inclus dans la liste des objets de stratégie de groupe applicables pour cet utilisateur ou cet ordinateur.
WMI Filtering
Le filtrage WMI (Windows Management Instrumentation) affine davantage les objets de stratégie de groupe applicables à l’aide de requêtes qui évaluent certaines conditions sur le système cible. WMI permet aux administrateurs de créer des requêtes basées sur les fonctionnalités du système, les systèmes d'exploitation et d'autres composants gérés pour déterminer l'applicabilité des objets de stratégie de groupe. Ces requêtes entraînent un résultat vrai ou faux, ce qui détermine si la stratégie de groupe reste applicable. Si le résultat de la requête WMI est vrai, la GPO reste dans la liste filtrée, sinon elle est supprimée.
En résumé, le filtrage de sécurité utilise les paramètres d’autorisation pour déterminer l’applicabilité des GPO, garantissant que seuls les utilisateurs et ordinateurs disposant des droits d’accès appropriés peuvent appliquer les stratégies. Pendant ce temps, le filtrage WMI utilise des attributs système et des conditions par le biais de requêtes pour affiner davantage le ciblage de stratégie. Ensemble, ces processus fonctionnent en tandem pour finaliser la liste des objets de stratégie de groupe pertinents pour un utilisateur ou un ordinateur particulier en un seul cycle.
Résolution des conflits d’objets de stratégie de groupe
Chaque objet de stratégie de groupe contient différents paramètres de stratégie, et il est courant que plusieurs objets de stratégie de groupe définissent le même paramètre, ce qui entraîne des conflits potentiels. Considérez deux employés qui essaient de réserver la même salle de réunion en même temps : seule la dernière réservation effectuée est honorée, en remplaçant celle précédente. Pour gérer ces conflits, la stratégie de groupe utilise une technique appelée « dernier écrivain gagne ». Cette méthode résout les conflits en fonction de l’ordre d’application, l’objet de stratégie de groupe appliqué le plus récemment ayant la priorité. L’ordre de l’application est déterminé par une hiérarchie. Tout d’abord, les stratégies sont appliquées au niveau local, suivies du site, du domaine, puis de l’unité d’organisation. Au sein d’un même emplacement AD, les GPO sont appliqués en fonction de leur ordre de liaison défini dans le GPMC.
Bien que la résolution des conflits traite souvent des paramètres liés à différents emplacements AD, les conflits peuvent également se produire entre les GPO liés au même emplacement. Dans ces cas, la stratégie de groupe continue d’utiliser l’approche du "dernier auteur qui gagne" pour déterminer quel paramètre est prioritaire. L’ordre dans lequel les GPO sont appliqués à un emplacement AD donné est défini par leur ordre de liaison dans le GPMC. Il est essentiel de comprendre comment les GPO sont liés et ordonnés dans le GPMC pour prédire les paramètres qui seront appliqués en cas de conflit au même emplacement AD.