Les stratégies de groupe

Les stratégies de groupe sont utilisées au sein d’un domaine Active Directory afin de définir des paramètres communs à
un ensemble d’ordinateurs.
Microsoft fournit des améliorations très utiles concernant la gestion des stratégies de groupe sous Windows Server
2008/2008 R2. De nombreuses options supplémentaires ont vu le jour avec cette nouvelle version de Windows et
paradoxalement la gestion de ces paramètres a été simplifiée, comparée aux versions précédentes de Windows.

1. Détection des liens lents

La détection des liens lents permet de limiter l’application de certaines stratégies de groupe lorsque l’utilisateur se
trouve connecté via un réseau bas débit.
Auparavant cette détection se faisait à l’aide du protocole ICMP avec toutes les contraintes qui vont avec. C’est pour
cette raison que Microsoft a développé le service Connaissance des emplacements réseau (appelé aussi NLA pour
Network Location Awareness) pour Windows Vista et Windows Server 2008. Grâce au service NLA, le rafraîchissement
en tâche de fond de vos stratégies de groupe sera bien plus fiable car il ne repose plus sur le protocole ICMP mais
RPC, connu pour sa fiabilité. Si votre ordinateur tente de rafraîchir ses stratégies de groupe (par défaut, cela se
produit toutes les 90 minutes) alors que le contrôleur de domaine n’est pas accessible à ce moment là (si l’utilisateur
n’est pas branché au réseau par exemple), le rafraîchissement ne se fera pas au prochain cycle (donc 90 minutes plus
tard) mais dès que le contrôleur de domaine sera à nouveau accessible. Le service NLA permet en effet de détecter
très rapidement la disponibilité du contrôleur de domaine dans ce cas de figure.

2. Le format ADMX

Un nouveau format de fichier a vu le jour avec Windows Vista et maintenant Windows Server 2008. Il s’agit des
fichiers ADMX. Ces fichiers sont utilisés pour afficher les différentes options des stratégies de groupe.
Ils possèdent de nombreux avantages comparés au format de fichiers précédents (les fichiers ADM). Parmi les
principaux avantages de ce nouveau format, il faut retenir :

● Le langage utilisé dans les fichiers AMDX est le XML. Ce format est censé devenir à terme un standard
d’échanges d’informations entre applications, faciliter l’interopérabilité, etc.

● La centralisation du stockage des fichiers modèles ADMX dans le dossier SYSVOL alors qu’auparavant les
fichiers ADM étaient stockés dans chaque stratégie de groupe de chaque contrôleur de domaine. Il suffit donc
simplement de copier/coller les fichiers ADMX d’un poste client sous Windows Vista ou Windows Server 2008
(disponibles dans le dossier c:\Windows\PolicyDefinitions) vers le dossier PolicyDefinitions que vous aurez créé
au niveau du partage \\<nom_de_domaine>\SYSVOL\<nom_de_domaine>\Policies. Les administrateurs
souhaitant éditer une stratégie n’ont ainsi plus besoin de se soucier de savoir s’ils possèdent les bons fichiers
modèles de stratégie puisque ces derniers seront automatiquement récupérés depuis le partage réseau.

● L’indépendance du fichier de langue contenant le texte de chacune des options des stratégies de groupe. Un
fichier de langue ayant l’extension .ADML est attaché à chaque fichier ADMX. Il est modifiable à l’aide d’un
simple éditeur de texte car il est aussi au format XML. Le détail des modifications engendrées sur le système
par le choix d’une stratégie n’est pas contenu dans le fichier ADML mais ADMX associé.

Microsoft fournit par défaut 146 fichiers ADMX et autant de fichiers ADML correspondant à la langue du système
d’exploitation. Si vous aviez créé vos propres fichiers modèles de stratégies au format ADM, il vous serait possible de
convertir ces derniers au format ADMX à l’aide de l’outil ADMX Migrator fourni par Microsoft à l’adresse suivante :
[Link] Cet outil
permet également de créer vos propres fichiers ADMX.

3. Journaux de logs

Dans les versions précédentes de Windows, les journaux de logs concernant les stratégies de groupe ont toujours
été difficiles à appréhender car le format utilisé était peu parlant pour les administrateurs non­initiés.
Il est désormais possible d’afficher les évènements relatifs aux stratégies de groupe directement depuis le journal des
évènements d’un poste sous Windows Vista ou Windows Server 2008.

■ Pour cela, cliquez sur le menu Démarrer puis Outils d’administration et Observateur d’événements.

© ENI Editions - All rigths reserved - Guillaume DUBOIS - 1-

 ■ Déroulez alors le menu Journaux des applications et des services ­ Microsoft ­ Windows ­ GroupPolicy ­
Operational.

L’outil Group Policy Log View vous permettra d’extraire le fichier journal des stratégies de groupe au format
TXT ou HTML. Le logiciel est disponible à cette adresse : [Link]
FamilyID=BCFB1955­CA1D­4F00­9CFF­6F541BAD4563&displaylang=en

Vous pourrez ainsi beaucoup plus aisément récupérer un grand nombre d’informations concernant le bon
fonctionnement ou non des différents paramètres de stratégies de groupe appliqués.

4. Des stratégies de groupe très utiles

Des nouvelles catégories de stratégie de groupe très utiles ont vu le jour dans Windows Server 2008 comme par
exemple les stratégies de groupe de préférences.

Les stratégies de groupe de préférences offrent une alternative aux scripts très souvent utilisés pour la personnalisation
de l’environnement utilisateur. Il est en effet possible d’utiliser les stratégies de groupe afin de configurer les lecteurs
réseaux, les partages, les utilisateurs et groupes locaux, les options d’alimentation, les imprimantes à installer, les
tâches planifiées, etc.
Ces paramètres sont visibles au niveau de Configuration ordinateur (ou utilisateur) ­ Préférences ­ Paramètres du
Panneau de configuration.

- 2- © ENI Editions - All rigths reserved - Guillaume DUBOIS

Les stratégies de groupe de préférences ont été améliorées sous Windows Server 2008 R2, notamment pour la prise
en charge des postes clients Vista pour les options d’alimentation, les tâches planifiées, ainsi que les paramètres
d’Internet Explorer 8.
Des options ont également été ajoutées au niveau des paramètres de sécurité comme les stratégies de réseau filaire
(IEEE 802.3), les stratégies du gestionnaire de listes de réseaux, le Network Access Protection, etc.

Les paramètres de stratégies du pare­feu et d’IPSec ont été réunis dans une seule console MMC, accessible
également depuis n’importe quelle stratégie de groupe. Il est alors possible de définir des règles de trafic entrant,
règles de trafic sortant et règles de sécurité de connexion (utilisant le protocole IPSec) pour les clients sous Windows
Vista et Windows Server 2008. Ces paramètres seront accessibles depuis Configuration ordinateur ­ Stratégies ­
Paramètres Windows ­ Paramètres de sécurité ­ Pare­feu Windows avec fonctions avancées de sécurité.

Les paramètres de stratégies pour l’IPSec et le pare­feu des anciennes versions de Windows sont toujours
accessibles en passant par l’ancien chemin Configuration ordinateur ­ Stratégies ­ Modèles d’administration ­

© ENI Editions - All rigths reserved - Guillaume DUBOIS - 3-

 Réseau ­ Connexions réseau ­ Pare­feu Windows.

5. La console Gestion des stratégies de groupe

La console Gestion des stratégies de groupe (connue aussi sous le nom de GPMC pour Group Policy Management
Console) est l’outil indispensable pour gérer vos stratégies de groupe de votre domaine Active Directory.

Si l’ordinateur depuis lequel vous souhaitez éditer les stratégies de groupe ne possède pas la console GPMC, il vous
faudra installer cette fonctionnalité depuis le Gestionnaire de serveur ­ Ajouter des fonctionnalités et cochez la case
Gestion des stratégies de groupe.

L’outil RSAT (pour Remote Server Administration Tools) permet de déporter la configuration des stratégies de
groupe (et d’une façon générale l’administration des rôles et fonctionnalités de votre serveur) depuis un
ordinateur client. Cet outil est téléchargeable sur le site de Microsoft à l’adresse suivante :
[Link]

■ Afin d’accéder à la console GPMC, cliquez sur le bouton Démarrer puis Outils d’administration et Gestion des
stratégies de groupe.

La console vous présentera alors l’organisation du ou des domaines de la forêt de votre choix, leurs OU et sous­OU
ainsi que les objets de stratégies de groupe définis.

Cette console vous permet donc de :

● Créer, modifier, supprimer ou lier vos stratégies de groupe au conteneur des sites, domaines ou unités
d’organisation de la forêt de votre choix.

● Configurer le filtrage de l’application d’une stratégie (via filtre WMI ou via la sécurité de la stratégie).

● Gérer la délégation.

● Définir des résultats de stratégie de groupe afin de simuler l’application d’une statégie avant sa mise en
production.

● Effectuer des sauvegardes/restaurations des stratégies de groupe.

- 4- © ENI Editions - All rigths reserved - Guillaume DUBOIS

 ● etc.

Parmi ces nombreuses fonctionnalités, il ne faudrait pas oublier deux options qui ont fait leur apparition avec Windows
Server 2008. Il s’agit de la possibilité d’effectuer des recherches et de définir des modèles de stratégies.

La fonction Rechercher est disponible à deux niveaux dans la console GPMC.

Pour les grosses sociétés gérant un grand nombre d’objets de stratégies de groupe, une fonction Rechercher est
disponible en faisant un clic avec le bouton droit de la souris sur la forêt ou le domaine de votre choix. Il est alors
possible d’afficher les objets de stratégies de groupe répondant à certains critères que vous aurez pris soin de définir.

Il est donc possible de choisir d’afficher les stratégies de groupe pour lesquelles des paramètres de sécurité sont
définis.

L’autre fonction Rechercher disponible intéressera la plupart d’entre vous. Cette fonction est disponible depuis
l’éditeur de gestion des stratégies de groupe. Elle vous permettra de filtrer l’affichage des nombreux paramètres de
stratégies se trouvant sous le nœ ud Modèles d’administration en fonction de critères spécifiques.

Vous pouvez ainsi retrouver les paramètres de stratégies répondant à votre besoin sans avoir à naviguer parmi les
milliers de paramètres possibles.

Pour utiliser cette option, procédez comme suit :

■ Depuis votre console GPMC, faites un clic avec le bouton droit de la souris sur l’objet stratégie de groupe que vous
souhaitez modifier ; choisissez alors l’option Modifier pour accéder à l’éditeur.

■ L’éditeur de gestion des stratégies de groupe s’ouvre alors. Naviguez jusqu’au nœ ud Modèles d’administration :
définitions de stratégies... via Configuration ordinateur (ou Configuration utilisateur) ­ Stratégies. Afin d’initier
une recherche parmi tous ces paramètres, faites un clic avec le bouton droit de la souris sur ce nœ ud principal (ou
l’un de ses sous­dossiers même si la recherche s’effectuera quoi qu’il arrive sur tous les paramètres de ce nœ ud)
puis choisissez Options des filtres.

■ Les options des filtres sont divisées en trois catégories vous permettant d’affiner votre recherche. Vous pouvez
ainsi choisir d’afficher uniquement les paramètres de stratégie qui sont configurés. Il est également possible
d’effectuer un filtrage par mots clés. Enfin, vous pouvez choisir d’afficher les paramètres en définissant des filtres de

© ENI Editions - All rigths reserved - Guillaume DUBOIS - 5-

 conditions afin d’afficher en quelques secondes les paramètres applicables à la famille Windows Vista par exemple.

L’exemple ci­dessous définit un filtre qui affichera tous les paramètres contenant le mot activeX dans le titre du
paramètre de stratégie, le texte d’explication ou en commentaire (un onglet commentaire vous permet en effet
d’ajouter le texte de votre choix à la création d’une stratégie de groupe ou à l’activation d’un paramètre). Cliquez
alors sur OK pour valider le filtre.

Une fois le filtre validé, l’arborescence de l’éditeur de stratégie se met automatiquement à jour pour n’afficher que les
paramètres correspondant au résultat du filtre défini. Ces paramètres sont également regroupés dans le nœ ud Tous
les paramètres.

- 6- © ENI Editions - All rigths reserved - Guillaume DUBOIS

■ Pour désactiver le filtre et retrouver un affichage complet, faites un clic avec le bouton droit de la souris sur un des
dossiers de Modèles d’administrations : définitions de stratégies et enlevez la coche au niveau de Filtre activé.

Les stratégies éditées depuis Windows Server 2008 R2 ou Windows 7 avec les outils RSAT, possèdent une interface
utilisateur améliorée. En effet, les différents onglets qui étaient affichés lorsque vous éditiez une stratégie depuis
Windows 2008 (ou versions antérieures), sont regroupés dans une seule et même fenêtre redimensionnable. Vous y
gagnerez largement en clarté !

© ENI Editions - All rigths reserved - Guillaume DUBOIS - 7-

 Depuis Windows Server 2008 R2, les paramètres de stratégies de groupe prennent en charge la valeur multi­chaîne
(REG_MULTI_SZ) ainsi que les valeurs QWORD (pour des applications 64 bits).
Ces GPO de préférences peuvent être modifiées au travers de la cmdlet Powershell GPPrefRegistryValue (ou
GPRegistryValue pour des paramètres de GPO basés sur des modifications de registre). Il faudra pour cela importer le
module via la commande Import­Module GroupPolicy.

Le filtrage est pour le moment limité aux paramètres définis dans les Modèles d’administration. Si vous
souhaitez une liste plus complète (mais non exhaustive) des paramètres regroupant également les
paramètres de sécurité, etc, récupérez le fichier Group Policy Settings Reference for Windows and Windows Server
(valable pour Windows Server 2003 SP2/2008/2008 R2 et Windows Vista, Vista SP1 et 7) au format XLS ou XLSX :
[Link]
FF24CC2030FB&displaylang=en (disponible en anglais uniquement).

6. Les objets GPO Starter

Si vous êtes un peu observateur, vous avez sans doute remarqué en éditant vos stratégies à l’aide de la console
GPMC depuis un Windows Server 2008 ou Windows Vista SP1, qu’un nouveau paramètre avait fait son apparition. Il
s’agit du conteneur Objets GPO Starter.

Cette option consiste à créer des modèles de stratégies de groupe se référant aux paramètres disponibles sous le
nœ ud Modèles d’administration uniquement (coté Utilisateurs et Ordinateurs). Il est ainsi très facile de créer
plusieurs objets de stratégies de groupe qui se baseront sur un ensemble de paramètres communs devant être
définis dans vos stratégies de groupe.

Si vous éditez un objet GPO Starter depuis un Windows Server 2008 R2 ou un Windows 7 ayant les outils
d’administration RSAT installés, vous obtiendrez directement les paramètres de stratégies de groupe recommandés
pour les scénarios décrits dans les guides de Sécurité Vista et XP.

Sous Windows 2008, vous pourrez obtenir ces éléments après les avoir téléchargés à l’adresse suivante :
[Link]
1AD96576E823&displaylang=en

- 8- © ENI Editions - All rigths reserved - Guillaume DUBOIS

Il est également possible d’exporter ces modèles de GPO dans un fichier CABinet (.CAB) pour alors l’importer dans un
environnement totalement différent comme par exemple votre environnement de préproduction.
Lors de la première activation des Objets GPO Starter, un dossier nommé StarterGPOs est créé dans le dossier
SYSVOL du contrôleur de domaine. Un nouveau sous­dossier sera créé avec un GUID associé pour chaque nouvel
objet GPO Starter.

Afin de planifier une sauvegarde de l’ensemble de vos stratégies, n’oubliez pas de choisir l’option
Sauvegarder tout disponible depuis le conteneur Objets de Stratégie de Groupe et depuis le conteneur
Objets GPO Starter.

© ENI Editions - All rigths reserved - Guillaume DUBOIS - 9-