Implementation de Strategie de Groupe PDF

Module 5 :
Implémentation d'une
stratégie de groupe
Table des matières
Vue d'ensemble 1
Leçon : Création et configuration d'objets
Stratégie de groupe 2
Leçon : Configuration des fréquences
d'actualisation et des paramètres de
stratégie de groupe 19
Leçon : Gestion des objets Stratégie de
groupe 32
Leçon : Vérification et résolution des
problèmes liés à la stratégie de groupe 47
Leçon : Délégation du contrôle
administratif de la stratégie de groupe 56
Leçon : Planification d'une stratégie
de groupe pour l'entreprise 66
Atelier A : Implémentation d'une
stratégie de groupe 74
Les informations contenues dans ce document, notamment les adresses URL et les références à des
sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les
sociétés, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des
sociétés, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
événements existants ou ayant existé serait purement fortuite. L'utilisateur est tenu d'observer la
réglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut être reproduite, stockée ou introduite dans un système
d'extraction, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique,
mécanique, photocopie, enregistrement ou autre), sans la permission expresse et écrite de
Microsoft Corporation.
Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de propriété intellectuelle.
 2003 Microsoft Corporation. Tous droits réservés.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques déposées de Microsoft Corporation, aux États-Unis d'Amérique
et/ou dans d'autres pays.
Les autres noms de produit et de société mentionnés dans ce document sont des marques de leurs
propriétaires respectifs.
Module 5 : Implémentation d'une stratégie de groupe iii
Notes de l'instructeur
Présentation : Ce module fournit aux stagiaires les connaissances et les compétences
180 minutes nécessaires pour planifier et implémenter une stratégie de groupe afin de gérer
de façon centralisée les utilisateurs et les ordinateurs d'une entreprise.
Atelier :
75 minutes À la fin de ce module, les stagiaires seront à même d'effectuer les tâches
suivantes :
! créer et configurer des objets Stratégie de groupe (GPO, Group Policy
Object) ;
! configurer les fréquences d'actualisation de la stratégie de groupe et les
paramètres de stratégie de groupe ;
! gérer les objets Stratégie de groupe ;
! vérifier et résoudre les problèmes liés à la stratégie de groupe ;
! déléguer le contrôle administratif de la stratégie de groupe ;
! planifier une stratégie de groupe pour l'entreprise.
Documents de cours Pour animer ce module, vous devez disposer des éléments suivants :
! Fichier Microsoft® PowerPoint® 2194A_05.ppt
! Fichier Macromedia Flash 2144A_2274_6_A_IntroGP.swf
! Fichier Macromedia Flash 2144A_2274_6_I_GP.swf
Important Il est recommandé d'utiliser PowerPoint 2002 ou une version

ultérieure pour afficher les diapositives de ce cours. Si vous utilisez la
Visionneuse PowerPoint ou une version antérieure de PowerPoint, il se peut
que toutes les fonctionnalités des diapositives ne s'affichent pas correctement.
Préparation Pour préparer ce module, vous devez effectuer les tâches suivantes :
! lire tous les documents de cours relatifs à ce module ; tout au long du
module, anticiper les questions que les stagiaires sont susceptibles de poser
et préparer des réponses appropriées pour chacune de ces questions ;
! réaliser l'atelier ;
! étudier les applications pratiques et les questions d'évaluation ainsi que les
suggestions de réponses fournies ; anticiper autant que possible les réponses
que les stagiaires sont susceptibles de donner et préparer des réponses
appropriées en conséquence ;
! lire le module 8, « Implémentation d'une stratégie de groupe », du
cours 2144A, Administration d'un environnement Microsoft Windows
Server™ 2003 ;
! lire le module 9, « Administration de l'environnement utilisateur au moyen
de la stratégie de groupe », du cours 2144A, Administration d'un
environnement Microsoft Windows Server 2003 ;
! lire l'article, « Enterprise Management with the Group Policy Management
Console » (en anglais) à l'adresse :
http://www.microsoft.com/windowsserver2003/gpmc/default.mspx.
iv Module 5 : Implémentation d'une stratégie de groupe
Comment animer ce module

Cette section contient des informations qui ont pour but de vous aider à animer
ce module.
Important Ce module inclut des éléments requis pour chaque leçon, situés sur
le CD-ROM du stagiaire. Vous pouvez les présenter en introduction pour aider
les stagiaires à identifier les difficultés ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances à la fin de la
journée. Vous pouvez aussi les utiliser en début de journée pour passer en revue
les éléments abordés la veille.
Laissez 10 minutes aux stagiaires pour préparer leurs réponses aux questions
d'évaluation. Vous pouvez choisir de parcourir ensemble les questions et les
réponses, ou demander aux stagiaires de préparer les réponses de leur côté.
Remarque Certaines rubriques font référence à des informations

complémentaires situées dans les annexes. Les stagiaires n'ont pas besoin de
ces informations pour exécuter les tâches présentées dans ce module. Avant
d'animer la classe, passez en revue ces informations dans la page des annexes
sur le CD-ROM du stagiaire. Durant la classe, indiquez ces annexes aux
stagiaires pour obtenir des informations complémentaires.
Procédures, Expliquez aux stagiaires de quelle manière les procédures, les applications
applications pratiques et les ateliers ont été conçus pour ce cours. Un module comprend au
pratiques et ateliers minimum deux leçons. La plupart des leçons comprennent des procédures et
une application pratique. Une fois que les stagiaires ont terminé les leçons,
le module enchaîne sur un atelier.
Procédures
Les procédures vous permettent de montrer comment effectuer une tâche.
Les stagiaires n'effectuent pas les tâches en même temps que vous. Ils se
servent des étapes décrites pour effectuer l'application pratique à la fin de
chaque leçon.
Applications pratiques
Après avoir présenté le contenu d'une rubrique et les procédures de la leçon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tâches décrites dans la leçon.
Ateliers
À la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tâches abordées dans l'ensemble du module.
En utilisant des scénarios correspondant à l'environnement professionnel du
stagiaire, l'atelier propose des instructions présentées sous forme de deux
colonnes. La colonne de gauche indique la tâche à effectuer (par exemple,
créer un groupe). La colonne de droite contient des instructions spécifiques
pour effectuer la tâche (par exemple : à partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nœud du domaine).
Module 5 : Implémentation d'une stratégie de groupe v
Si les stagiaires ont besoin d'instructions détaillées pour mener à bien l'atelier,
ils disposent d'un corrigé de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent également se reporter aux applications pratiques et aux procédures
du module.
Leçon : Création et configuration d'objets Stratégie de groupe

Dans cette leçon, les stagiaires passent en revue les concepts de base de
l'implémentation d'une stratégie de groupe, notamment comment spécifier un
contrôleur de domaine pour la gestion des objets Stratégie de groupe (GPO,
Group Policy Object), comment filtrer les paramètres de stratégie de groupe
à l'aide des filtres WMI (Windows Management Instrumentation), ou encore
comment configurer le mode de traitement par boucle de rappel de la stratégie
de groupe utilisateur.
La leçon débute par une présentation multimédia expliquant les concepts de
base de la stratégie de groupe. Comme ces concepts sont décrits en détail
dans le cours 2144A, Administration d'un environnement Microsoft Windows
Server 2003, l'animation résume simplement les tâches. Si certains stagiaires ne
connaissent pas les concepts de base de la stratégie de groupe, orientez-les vers
le module 8, « Implémentation d'une stratégie de groupe », du cours 2144A.
Indiquez aux stagiaires les annexes à consulter pour plus d'informations sur les
conteneurs de Stratégies de groupe.
Application pratique Au cours des applications pratiques et à la fin de la leçon, demandez aux
stagiaires de se reporter au scénario d'entreprise pour créer et configurer des
objets Stratégie de groupe.
Leçon : Configuration des fréquences d'actualisation et des

paramètres de stratégie de groupe
Dans cette leçon, les stagiaires vont apprendre comment contrôler le traitement
de la stratégie de groupe et comment la stratégie de groupe détermine une
liaison lente. Indiquez l'ordre dans lequel Microsoft Windows Server 2003
traite les paramètres de stratégie de groupe pour les ordinateurs et les
utilisateurs, puis montrez les procédures de configuration du traitement de la
stratégie de groupe.
Pour plus d'informations sur le traitement des stratégies de groupe, orientez
les stagiaires vers les annexes, dans lesquelles figurent un exemple de script
d'ouverture de session et l'algorithme utilisé par la stratégie de groupe pour
détecter les liaisons lentes.
stagiaires de se reporter au scénario d'entreprise pour configurer le traitement
de la stratégie de groupe.
vi Module 5 : Implémentation d'une stratégie de groupe
Leçon : Gestion des objets Stratégie de groupe

Dans cette leçon, les stagiaires apprennent à gérer des objets Stratégie de
groupe à l'aide de la nouvelle fonctionnalité de gestion de stratégie de groupe
de Windows Server 2003. Rappelez aux stagiaires que lorsqu'ils installent la
console Gestion de stratégie de groupe (GPMC, Group Policy Management
Console), celle-ci remplace l'onglet Stratégie de groupe du composant
Utilisateurs et ordinateurs Active Directory.
stagiaires de se reporter au scénario d'entreprise pour gérer des objets Stratégie
de groupe.
Leçon : Vérification et résolution des problèmes liés à la stratégie

de groupe
Cette leçon décrit les différents utilitaires et outils de ligne de commande
utilisés pour identifier les problèmes courants liés à l'implémentation d'une
stratégie de groupe, ainsi que les stratégies de résolution de ces problèmes.
Orientez les stagiaires vers la page d'annexe pour plus d'informations sur
l'utilisation de l'outil de ligne de commande Gpresult.exe pour la vérification
des paramètres de stratégie de groupe, et sur l'activation de l'enregistrement
des diagnostics et de l'enregistrement des commentaires pour le contrôle de la
stagiaires de se reporter au scénario d'entreprise pour vérifier et résoudre les
problèmes liés à la stratégie de groupe.
Leçon : Délégation du contrôle administratif de la stratégie de

groupe
Dans cette leçon, les stagiaires apprennent à déléguer le contrôle administratif
d'un objet Stratégie de groupe à des utilisateurs qui ont besoin de ce contrôle
mais ne disposent pas de privilèges administratifs pour le conteneur auquel
l'objet est lié.
Expliquez comment la console Gestion de stratégie de groupe a simplifié
la délégation de stratégie de groupe. Indiquez aux stagiaires les annexes à
consulter pour plus d'informations sur la délégation du contrôle administratif.
stagiaires de se reporter au scénario d'entreprise pour déléguer le contrôle
administratif de la stratégie de groupe.
Module 5 : Implémentation d'une stratégie de groupe vii
Leçon : Planification d'une stratégie de groupe pour l'entreprise

Cette leçon fournit les instructions nécessaires pour planifier une stratégie de
groupe. Discutez des instructions permettant de déterminer l'héritage des objets
Stratégie de groupe, la stratégie de groupe pour des sites, domaines et unités
d'organisation (OU, Organizational Unit), l'administration et le déploiement des
stagiaires de se reporter au scénario d'entreprise pour planifier une stratégie de
groupe pour l'entreprise.
Atelier A : Implémentation d'une stratégie de groupe

Dans cet atelier, les stagiaires créent et configurent des objets Stratégie
de groupe, lient des objets Stratégie de groupe et vérifient les paramètres
de stratégie de groupe. Les stagiaires travaillent de manière autonome.
Assurez-vous que la console Gestion de stratégie de groupe est installée
avant qu'ils ne débutent l'atelier.
Configuration de l'atelier
La liste suivante décrit la configuration requise pour l'atelier de ce module.
Configuration requise 1 L'atelier de ce module requiert l'installation de la console Gestion de stratégie
de groupe. Avant de préparer les ordinateurs des stagiaires, assurez-vous qu'ils
ont terminé l'application pratique intitulée Création et configuration d'objets
Stratégie de groupe.
Résultats de l'atelier
L'exécution de l'atelier de ce module induit les changements de configuration
ci-dessous.
! Elle crée des unités d'organisation Accounting (comptabilité), Accounts
Receivable (Créances) et Accounts Payable (Dettes) ;
! Elle crée des objets Stratégie de groupe Accounting, Accounts Receivable et
Accounts Payable.
Module 5 : Implémentation d'une stratégie de groupe 1
Vue d'ensemble
********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Introduction L'utilisation de la stratégie de groupe dans le service d'annuaire Active
Directory® permet de gérer de façon centralisée les utilisateurs et les
ordinateurs d'une entreprise. Vous pouvez centraliser les stratégies en
définissant une stratégie de groupe pour toute une organisation au niveau du
domaine du site ou au niveau d'une unité d'organisation (OU, Organizational
Unit). Ou bien, vous pouvez décentraliser les paramètres de stratégie de groupe
en définissant une stratégie de groupe pour chaque service au niveau d'une unité
d'organisation.
Vous pouvez vous assurer que chaque utilisateur dispose de l'environnement
utilisateur dont il a besoin pour travailler, tout en appliquant les stratégies de
l'organisation, notamment les règles, les objectifs et les besoins en matière
de sécurité. Par ailleurs, vous pouvez abaisser le coût total de possession en
contrôlant les environnements utilisateur et ordinateur, et en réduisant de ce
fait le niveau de support technique nécessaire aux utilisateurs et la perte de
productivité liée aux erreurs des utilisateurs.
Objectifs À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :
! créer et configurer des objets Stratégie de groupe (GPO, Group Policy
Object) ;
! configurer les fréquences d'actualisation de la stratégie de groupe et les
paramètres de stratégie de groupe ;
! gérer les objets Stratégie de groupe ;
! vérifier et résoudre les problèmes liés à la stratégie de groupe ;
! déléguer le contrôle administratif de la stratégie de groupe ;
! planifier une stratégie de groupe pour l'entreprise.
2 Module 5 : Implémentation d'une stratégie de groupe
Leçon : Création et configuration d'objets Stratégie

de groupe

Introduction La stratégie de groupe vous donne le contrôle administratif sur les utilisateurs
et les ordinateurs de votre réseau. L'utilisation d'une stratégie de groupe vous
permet de définir une seule fois l'état de l'environnement de travail d'un
utilisateur, puis de laisser Microsoft® Windows Server™ 2003 appliquer les
paramètres de stratégie de groupe que vous avez définis. Vous pouvez appliquer
des paramètres de stratégie de groupe à une organisation entière ou à des
groupes spécifiques d'utilisateurs et d'ordinateurs.
Objectifs de la leçon À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :
! expliquer la finalité de la stratégie de groupe et son traitement dans Active
Directory ;
! décrire les composants d'un objet Stratégie de groupe ;
! expliquer la finalité de la spécification d'un contrôleur de domaine pour
la gestion des objets Stratégie de groupe ;
! spécifier un contrôleur de domaine pour la gestion des objets Stratégie
de groupe ;
! expliquer le rôle des filtres WMI (Windows Management Instrumentation) ;
! filtrer les paramètres de stratégie de groupe à l'aide de filtres WMI ;
! expliquer la finalité du traitement par boucle de rappel ;
! configurer le mode de traitement par boucle de rappel de la stratégie de
groupe utilisateur.
Présentation multimédia : Introduction aux stratégies de groupe

Emplacement de fichier Pour commencer la présentation Introduction aux stratégies de groupe, ouvrez
la page Web sur le CD-ROM des stagiaires, cliquez sur Multimédia, puis sur le
titre de la présentation. N'ouvrez pas cette présentation avant d'y être invité par
l'instructeur.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :
! décrire les types de paramètres que vous pouvez définir dans une stratégie
de groupe ;
! décrire la façon dont Windows Server 2003 applique des objets Stratégie de
groupe.
Types de paramètres Vous pouvez configurer des paramètres de stratégie de groupe pour définir les
stratégies affectant les utilisateurs et les ordinateurs. Le tableau suivant présente
les types de paramètres que vous pouvez configurer.
Type de paramètre Description
Modèles d'administration Paramètres basés sur le Registre permettant de configurer

les paramètres d'application et les environnements de
station de travail utilisateur.
Scripts Paramètres permettant de spécifier à quel moment
Windows Server 2003 exécute des scripts spécifiques.
Services d'installation Paramètres qui contrôlent les options dont disposent les
à distance utilisateurs lorsqu'ils exécutent l'Assistant Installation de
clients utilisé par les services d'installation à distance
(RIS, Remote Installation Services).
Maintenance Internet Paramètres permettant d'administrer et de personnaliser
Explorer Microsoft Internet Explorer sur des ordinateurs exécutant
Windows Server 2003.
(suite)
Type de paramètre Description
Redirection de dossiers Paramètres permettant de stocker des dossiers de profils

d'utilisateurs spécifiques sur un serveur réseau.
Sécurité Paramètres permettant de configurer la sécurité des
ordinateurs locaux, du domaine et du réseau.
Installation de logiciels Paramètres permettant de centraliser la gestion des
installations, des mises à jour et des suppressions de
logiciels.
Flux d'héritage Les objets Stratégie de groupe sont liés à des sites, domaines et unités
d'organisation. Vous pouvez définir des stratégies centralisées qui vont affecter
l'organisation entière et des stratégies décentralisées qui affecteront un service
particulier. Il n'existe pas de hiérarchie de domaines comme pour les unités
d'organisation, avec les unités parent-enfant.
Ordre de traitement L'ordre dans lequel Windows Server 2003 applique des objets Stratégie de
des objets Stratégie groupe est fonction du conteneur Active Directory auquel les objets Stratégie de
de groupe groupe sont liés. Windows Server 2003 applique d'abord les objets au site, puis
aux domaines, et enfin aux unités d'organisation des domaines.
Paramètres des objets Certains paramètres des objets Stratégie de groupe sont à valeurs multiples.
Stratégie de groupe à Ces paramètres sont traités comme des paramètres à valeur simple. En d'autres
valeurs multiples termes, si le paramètre est défini dans plusieurs objets Stratégie de groupe,
seuls les paramètres de l'un des objets Stratégie de groupe observant les règles
d'héritage seront appliqués.
Blocage de l'héritage Vous pouvez empêcher un conteneur enfant d'hériter de tous les objets Stratégie
de groupe de ses conteneurs parents en activant le blocage de l'héritage pour
le conteneur enfant. Le blocage de l'héritage peut s'avérer utile lorsqu'un
conteneur Active Directory requiert des paramètres de stratégie de groupe
uniques.
Option Appliqué L'option Appliqué (appelée Ne pas passer outre si la console Gestion de
stratégie de groupe n'est pas installée) est un attribut de la liaison, et non de
l'objet Stratégie de groupe. Si le même objet Stratégie de groupe est lié ailleurs,
l'option Appliqué ne s'applique pas à cette liaison, sauf si vous modifiez
également la liaison. Si un objet Stratégie de groupe est lié à plusieurs
conteneurs, vous pouvez configurer l'option Appliqué individuellement pour
chaque conteneur. Lorsque plusieurs liaisons sont définies sur Appliqué, les
objets Stratégie de groupe liés sont appliqués à un conteneur commun. S'ils
comportent des paramètres en conflit, l'objet Stratégie de groupe le plus haut
dans la hiérarchie Active Directory est prioritaire.
Filtrer des objets Vous pouvez avoir besoin de lier des objets Stratégie de groupe associés à
Stratégie de groupe d'autres objets d'annuaire. En définissant les autorisations appropriées pour les
groupes de sécurité, vous pouvez filtrer la stratégie de groupe pour qu'elle
s'applique uniquement aux ordinateurs et utilisateurs spécifiés.
Console Gestion de La console Gestion de stratégie de groupe est composée d'un ensemble
stratégie de groupe d'interfaces programmables destinées à la gestion des stratégies de groupe et
d'un composant logiciel enfichable MMC (Microsoft Management Console)
basé sur ces interfaces programmables. Ensemble, les composants de la console
Gestion de stratégie de groupe unifient la gestion des stratégies de groupe dans
l'entreprise.
Remarque Pour plus d'informations sur la création et la liaison d'objets

Stratégie de groupe et l'héritage des stratégies de groupe, reportez-vous au
module 8 « Implémentation d'une stratégie de groupe » du cours 2144A,
Administration d'un environnement Microsoft Windows Server 2003.
Composants d'un objet Stratégie de groupe

Introduction Windows Server 2003 applique les paramètres de stratégie de groupe contenus
dans l'objet Stratégie de groupe aux objets utilisateur et ordinateur du site, du
domaine ou de l'unité d'organisation associé à l'objet Stratégie de groupe. Le
contenu d'un objet Stratégie de groupe est stocké à deux emplacements : dans
le conteneur Stratégie de groupe (GPC, Group Policy Container) et dans le
modèle Stratégie de groupe (GPT, Group Policy Template).
Conteneur Stratégie Le conteneur Stratégie de groupe est un objet Active Directory qui contient
de groupe l'état de l'objet Stratégie de groupe, les informations de version, les
informations de filtre WMI et une liste des composants dont les paramètres se
trouvent dans l'objet Stratégie de groupe. Les ordinateurs peuvent accéder au
conteneur Stratégie de groupe pour localiser des modèles Stratégie de groupe,
et les contrôleurs de domaine peuvent y accéder pour obtenir des informations
de version. Si le contrôleur de domaine ne possède pas la dernière version de
l'objet Stratégie de groupe, la réplication a lieu.
Modèle Stratégie Le modèle Stratégie de groupe est une arborescence de dossiers située dans le
de groupe dossier SYSVOL d'un contrôleur de domaine. Lorsque vous créez un objet
Stratégie de groupe, Windows Server 2003 crée le modèle Stratégie de groupe
correspondant qui contient tous les paramètres et informations de stratégie de
groupe, y compris les modèles d'administration, la sécurité, l'installation de
logiciel, les scripts et les paramètres de redirection de dossiers. Les ordinateurs
se connectent au dossier SYSVOL pour obtenir les paramètres.
Le nom du dossier du modèle Stratégie de groupe est l'identificateur unique

global (GUID, Globally Unique IDentifier) de l'objet Stratégie de groupe que
vous avez créé. Il est identique au GUID utilisé par Active Directory pour
identifier l'objet Stratégie de groupe dans le conteneur Stratégie de groupe.
Le chemin d'accès au modèle Stratégie de groupe d'un contrôleur de domaine
est racine_système\SYSVOL\sysvol.
Remarque Pour plus d'informations sur le modèle Stratégie de groupe,

reportez-vous à la section « Composants d'un objet Stratégie de groupe »
du module 5, à la page Annexes du CD-ROM des stagiaires.
Pourquoi spécifier un contrôleur de domaine pour la gestion des

objets Stratégie de groupe ?

Introduction La console Gestion de stratégie de groupe utilise l'émulateur de contrôleur
principal de domaine (PDC, Primary Domain Controller) de chaque domaine
comme contrôleur de domaine par défaut.
Pourquoi sélectionner Afin d'éviter les conflits de réplication, envisagez de sélectionner un contrôleur
un contrôleur de de domaine, d'autant plus que les données de l'objet Stratégie de groupe résident
domaine particulier ? à la fois dans Active Directory et dans le dossier SYSVOL. Active Directory
utilise deux mécanismes de réplication indépendants pour répliquer les données
des objets Stratégie de groupe sur les différents contrôleurs de domaine du
domaine. Si deux administrateurs modifient simultanément un même objet
Stratégie de groupe sur des contrôleurs de domaine différents, les modifications
de l'un des administrateurs risquent de remplacer celles de l'autre, en fonction
de la latence de réplication.
Émulateur PDC Par défaut, la console Gestion de stratégie de groupe utilise l'émulateur PDC de
chaque domaine pour garantir que tous les administrateurs utilisent le même
contrôleur de domaine. Il peut cependant arriver que vous ne souhaitiez pas
utiliser l'émulateur PDC. Par exemple, si vous vous trouvez sur un site distant,
ou si la majorité des utilisateurs ou des ordinateurs ciblés par l'objet Stratégie
de groupe se trouve dans un emplacement distant, vous pouvez cibler un
contrôleur de domaine à cet emplacement.
Important Si plusieurs administrateurs gèrent un objet Stratégie de groupe

commun, il est recommandé qu'ils utilisent tous le même contrôleur de domaine
pour modifier un objet Stratégie de groupe particulier, et ce, afin d'éviter les
collisions au niveau des services de réplication de fichiers (FRS, File
Replication Services).
Options de sélection Vous pouvez spécifier un contrôleur de domaine pour la gestion des objets
d'un contrôleur de Stratégie de groupe en sélectionnant l'une des options suivantes :
domaine
! Le contrôleur de domaine avec le jeton de maître d'opérations pour
l'émulateur PDC. Il s'agit de l'option par défaut, à utiliser de préférence.
! Tout contrôleur de domaine disponible. Lorsque vous utilisez cette
option, vous allez probablement sélectionner un contrôleur de domaine du
site local.
! Tout contrôleur de domaine exécutant Windows Server 2003 ou version
ultérieur. Cette option n'est pas disponible dans les environnements
comportant à la fois des serveurs Windows Server 2003 et Windows 2000.
! Ce contrôleur de domaine. Lorsque vous utilisez cette option, vous
sélectionnez le contrôleur de domaine actuel.
Comment spécifier un contrôleur de domaine pour la gestion des

objets Stratégie de groupe

Introduction Utilisez la console Gestion de stratégie de groupe pour spécifier un contrôleur
de domaine pour des domaines ou des sites.
Procédure Pour spécifier un contrôleur de domaine, procédez comme suit :
1. Ouvrez la console Gestion de stratégie de groupe, développez la forêt,
développez Domaines, puis utilisez l'une des méthodes suivantes :
• Pour spécifier un contrôleur de domaine à utiliser pour des opérations du
domaine, cliquez avec le bouton droit sur le domaine requis, puis cliquez
sur Modifier le contrôleur de domaine.
• Pour spécifier un contrôleur de domaine à utiliser pour des opérations
sur sites, cliquez avec le bouton droit sur Sites, puis cliquez sur
Modifier le contrôleur de domaine.
2. Dans la boîte de dialogue Modifier le contrôleur de domaine, sous
Remplacer par, cliquez sur Ce contrôleur de domaine, puis sur OK.
Définition des filtres WMI

Introduction Utilisez des filtres WMI pour déterminer de façon dynamique l'étendue des
objets Stratégie de groupe à partir des attributs de l'utilisateur ou de l'ordinateur.
De cette façon, vous pouvez étendre les capacités de filtrage des objets Stratégie
de groupe au-delà des mécanismes de filtrage des groupes de sécurité qui
étaient précédemment disponibles.
Comment fonctionne Un filtre WMI est lié à un objet Stratégie de groupe. Lorsque vous appliquez un
un filtre WMI ? objet Stratégie de groupe à l'ordinateur de destination, Active Directory évalue
le filtre sur l'ordinateur de destination. Un filtre WMI se compose d'une ou de
plusieurs requêtes évaluées par Active Directory en fonction de l'espace de
stockage WMI de l'ordinateur de destination. Si la valeur totale des requêtes
est faux (false), Active Directory n'applique pas l'objet Stratégie de groupe.
Si toutes les requêtes sont vraies (true), Active Directory applique l'objet
Stratégie de groupe. Vous écrivez la requête à l'aide du langage WQL (WMI
Query Language), qui est un langage similaire à SQL pour interroger l'espace
de stockage WMI.
Chaque objet Stratégie de groupe ne peut comporter qu'un seul filtre WMI.
Vous pouvez en revanche lier un même filtre WMI à plusieurs objets Stratégie
de groupe. Tout comme les objets Stratégie de groupe, les filtres WMI sont
appliqués à un seul objet du domaine à la fois.
Utilisations des Vous pouvez utiliser des filtres WMI pour cibler des stratégies basées sur
filtres WMI différents objets du réseau. La liste ci-dessous fournit quelques exemples
d'utilisations de filtres WMI.
! Services. Ordinateurs sur lesquels DHCP est installé et en cours d'exécution.
! Inventaire matériel. Ordinateurs équipés d'un processeur Pentium III et d'au
moins 128 mégaoctets (Mo) de mémoire vive.
! Configuration logicielle. Ordinateurs sur lesquels la multidiffusion est activée.
Pour les ordinateurs clients exécutant Windows 2000, Active Directory ignore
les filtres WMI et applique toujours l'objet Stratégie de groupe.
Remarque Pour plus d'informations sur les filtres WMI, reportez-vous à la

section « Définition des filtres WMI » de la page d'annexe du module 5 sur le
CD-ROM du stagiaire.
Comment filtrer des paramètres de stratégie de groupe à l'aide de

filtres WMI

Introduction Vous pouvez créer de nouveaux filtres WMI à partir du conteneur Filtres WMI
de la console Gestion de stratégie de groupe. Vous pouvez également importer
un filtre qui a été précédemment exporté.
Procédure Pour créer un filtre WMI et le lier à un objet Stratégie de groupe, procédez
comme suit :
1. Ouvrez la console Gestion de stratégie de groupe, développez successivement
la forêt contenant l'objet Stratégie de groupe auquel ajouter un filtre WMI,
Domaines, le domaine contenant l'objet Stratégie de groupe, Filtres WMI,
cliquez avec le bouton droit sur Filtres WMI, puis sur Nouveau.
2. Dans la boîte de dialogue Nouveau filtre WMI, dans la zone Nom,
entrez un nom pour la requête.
3. Dans la zone Description, entrez une description pour la requête.
4. Cliquez sur Ajouter.
5. Dans la boîte de dialogue Requête WMI, dans la zone Espace de noms,
entrez le chemin d'accès à l'espace de nom de la requête ou cliquez sur
Parcourir pour afficher la liste des espaces de noms disponibles.
Pour chaque requête, vous devez spécifier l'espace de noms WMI où la
requête doit être exécutée. L'espace de noms par défaut, racine\CIMv2,
devrait convenir à la plupart des scénarios.
6. Dans la zone Requête, entrez une instruction de requête WQL, puis cliquez
sur OK.
7. Dans la boîte de dialogue Nouveau filtre WMI, cliquez sur Enregistrer.
8. Développez Objets de stratégie de groupe, puis faites glisser le filtre WMI
vers un objet Stratégie de groupe.
Exemple de Par exemple, pour cibler les ordinateurs disposant de plus de 10 Mo d'espace
requête WQL disponible sur le lecteur C, D ou E, les partitions doivent se trouver sur un ou
plusieurs disques durs et exécuter le système de fichiers NTFS. Tapez la requête
WMI suivante :
Select * FROM Win32LogicalDisk WHERE (Name = "C:" OR Name =
"D:" OR Name
= "E:") AND DriveType = 3 AND FreeSpace > 10485760 AND
FileSystem = "NTFS"
Dans cet exemple, la valeur 3 de DriveType correspond à un disque dur. Les

unités FreeSpace sont exprimées en octets (10 Mo = 10 485 760 octets).
Remarque Pour plus d'informations sur les filtres WMI, reportez-vous à la

section « Comment filtrer des paramètres de stratégie de groupe à l'aide de
filtres WMI » de la page d'annexe du module 5 sur le CD-ROM du stagiaire.
Définition du traitement par boucle de rappel

Introduction Par défaut, les objets Stratégie de groupe d'un utilisateur déterminent les
paramètres à appliquer lorsque l'utilisateur ouvre une session sur un ordinateur.
En revanche, le traitement par boucle de rappel applique l'ensemble des objets
Stratégie de groupe de l'ordinateur à tout utilisateur qui ouvre une session sur
l'ordinateur affecté par ce paramètre. Le traitement par boucle de rappel est
destiné à des ordinateurs à usage spécial, tels que ceux des endroits publics,
des laboratoires et des classes, où il faut modifier le paramètre utilisateur en
fonction de l'ordinateur utilisé.
Exemple Par exemple, l'utilisateur dont l'objet utilisateur se trouve dans l'unité
d'organisation Sales (ventes) ouvre une session sur un ordinateur. L'objet
ordinateur se trouve dans l'unité d'organisation Servers (serveurs). Les paramètres
de stratégie de groupe appliqués à l'utilisateur sont basés sur les objets Stratégie
de groupe liés à l'unité d'organisation Sales ou à tout conteneur parent. Les
paramètres appliqués à l'ordinateur sont basés sur les objets Stratégie de groupe
liés à l'unité d'organisation Servers ou à tout conteneur parent.
Toutefois, ce comportement par défaut peut ne pas être adapté à certains
serveurs ou ordinateurs dédiés à une tâche particulière. Ainsi, des applications
affectées à un utilisateur ne doivent pas être automatiquement disponibles sur
un serveur.
Modes de traitement Le traitement par boucle de rappel peut être exécuté selon deux modes :
par boucle de rappel
! Mode de remplacement. Ce mode remplace les paramètres utilisateur
définis dans les objets Stratégie de groupe de l'ordinateur par les paramètres
utilisateur habituellement appliqués à l'utilisateur.
! Mode de fusion. Ce mode combine les paramètres utilisateur définis dans
les objets Stratégie de groupe de l'ordinateur avec les paramètres utilisateur
habituellement appliqués à l'utilisateur. En cas de paramètres en conflit, les
paramètres utilisateur des objets Stratégie de groupe de l'ordinateur sont
prioritaires sur les paramètres habituels de l'utilisateur.
Comment configurer le mode de traitement par boucle de rappel de

la stratégie de groupe utilisateur

Introduction Pour activer le traitement par boucle de rappel, sélectionnez l'option Mode de
traitement par boucle de rappel de la stratégie de groupe utilisateur dans la
console Gestion de stratégie de groupe.
Procédure Pour configurer le mode de traitement par boucle de rappel de la stratégie de
groupe utilisateur, procédez comme suit :
1. Ouvrez la console Gestion de stratégie de groupe, développez
successivement la forêt, Domaines, votre domaine, puis cliquez sur
Objets de stratégie de groupe.
2. Dans le volet de détails, cliquez avec le bouton droit sur l'objet Stratégie de
groupe, puis cliquez sur Modifier.
3. Dans l'Éditeur d'objets de stratégie de groupe, développez successivement
Configuration de l'ordinateur, Modèles d'administration, Système, puis
cliquez sur Stratégie de groupe.
4. Double-cliquez sur Mode de traitement par boucle de rappel de la
stratégie de groupe utilisateur, s'il n'est pas déjà sélectionné, puis cliquez
sur Activé.
5. Sous Mode, cliquez sur Remplacer ou Fusionner, puis cliquez sur OK.
Application pratique : Création et configuration d'objets Stratégie

de groupe

Objectifs Dans cette application pratique, vous allez installer la console Gestion de
stratégie de groupe, puis créer et configurer des objets Stratégie de groupe pour
votre domaine.
Scénario En tant qu'ingénieur système chez Northwind Traders, vous êtes responsable de
l'implémentation de la stratégie de groupe de l'organisation. Vous allez installer
la console Gestion de stratégie de groupe et créer des objets Stratégie de groupe
pour faire appliquer l'environnement de Bureau. Vous allez supprimer l'option
de menu Exécuter pour tous les utilisateurs, puis supprimer la commande
Arrêter du menu. Vous pourrez également appliquer cette stratégie aux seuls
ordinateurs dont le lecteur C contient au moins 10 Mo d'espace disque
disponible et qui sont configurés avec le système de fichiers NTFS.
Application pratique :
Installation de la
! Installer la console Gestion de stratégie de groupe
console Gestion de 1. Ouvrez une session dans votre domaine en tant que Nom_OrdinateurUser
stratégie de groupe (Nom_Ordinateur désignant le nom de l'ordinateur sur lequel vous
travaillez) avec le mot de passe P@ssw0rd.
2. Cliquez sur Démarrer, cliquez avec le bouton droit sur Invite de
commande, puis sur Exécuter en tant que.
3. Dans la boîte de dialogue Exécuter en tant que, cliquez sur L'utilisateur
suivant, tapez Nwtradersx\Administrateur comme nom d'utilisateur, le
mot de passe P@ssw0rd et cliquez sur OK.
4. À l'invite de commands, tapez \\LONDON\SETUP\GPMC.MSI et
appuyez sur ENTRÉE.
5. Dans la boîte de dialogue Téléchargement de fichier, cliquez sur Ouvrir.
6. Dans la page Assistant Installation du logiciel « Console de gestion de la
stratégie de groupe Microsoft », cliquez sur Suivant.
7. Dans la page Contrat de licence, cliquez sur J'accepte, puis sur Suivant.
8. Dans la page Fin de l'exécution de l'Assistant Installation du logiciel

« Console de gestion de la stratégie de groupe Microsoft », cliquez sur
Terminer.
9. Fermez l'invite de commande.
Application
pratique : Création et
! Créer et configurer des objets Stratégie de groupe
configuration d'objets 1. Cliquez sur Démarrer, pointez sur Outils d'administration, cliquez avec
Stratégie de groupe le bouton droit sur Gestion de stratégie de groupe, puis cliquez sur
Exécuter en tant que.
2. Dans la boîte de dialogue Exécuter en tant que, cliquez sur L'utilisateur
suivant, tapez Votre_Domaine\Administrateur comme nom d'utilisateur, le
mot de passe P@ssw0rd et cliquez sur OK.
3. Développez successivement Forêt, Domaines, votre domaine, Objets de
stratégie de groupe, cliquez avec le bouton droit sur Objets de stratégie
de groupe, puis cliquez sur Nouveau.
4. Donnez le nom de GPO_pratique à votre objet Stratégie de groupe, puis
cliquez sur OK.
5. Cliquez avec le bouton droit sur le nom de votre domaine, cliquez sur Lier
un objet Stratégie de groupe existant, cliquez sur GPO_pratique, puis
cliquez sur OK.
6. Cliquez avec le bouton droit sur GPO_pratique, puis cliquez sur Modifier.
7. Dans l'Éditeur d'objets de stratégie de groupe, développez successivement
Configuration utilisateur, Modèles d'administration, puis cliquez sur
Menu Démarrer et Barre de tâches.
8. Dans le volet de détails, double-cliquez sur Supprimer le menu Exécuter
du menu Démarrer, cliquez sur Activé, puis sur OK.
9. Dans le volet de détails, double-cliquez sur Supprimer et empêcher l'accès
à la commande Arrêter, cliquez sur Activé, puis sur OK.
10. Fermez l'Éditeur d'objets de stratégie de groupe.
11. Dans la console Gestion de stratégie de groupe, développez et cliquez avec
le bouton droit sur Filtres WMI, puis cliquez sur Nouveau.
12. Donnez le nom de Filtre_pratique au filtre WMI, cliquez sur Ajouter,
entrez la requête appropriée pour extraire les informations requises, cliquez
sur OK, puis cliquez sur Enregistrer.
13. Dans l'arborescence de la console, dans la liste sous Objets de stratégie de
groupe, cliquez sur GPO_pratique.
14. Dans le volet de détails, sélectionnez Filtre_pratique dans la zone Cet
objet Stratégie de groupe est lié au filtre WMI suivant.
15. Dans la boîte de dialogue Gestion des stratégies de groupe, cliquez
sur Oui.
16. Fermez la console Gestion de stratégie de groupe.
Leçon : Configuration des fréquences d'actualisation et

des paramètres de stratégie de groupe

Introduction Windows Server 2003 exécute les paramètres et les stratégies d'ordinateur et
d'utilisateur selon un ordre spécifique. Comprendre le traitement des stratégies
de groupe et leur ordre d'exécution vous permettra de créer les scripts
appropriés et de configurer les fréquences d'actualisation.
! expliquer le processus d'application de la stratégie de groupe ;
! affecter des paramètres de scripts de stratégie de groupe ;
! configurer les fréquences d'actualisation des composants de la stratégie
de groupe ;
! configurer les fréquences d'actualisation des contrôleurs de domaine et
des ordinateurs ;
! actualiser les paramètres de stratégie de groupe sur l'ordinateur d'un
utilisateur à l'aide de Gpupdate.exe.
À quel moment la stratégie de groupe est-elle appliquée ?

Introduction Lorsqu'un utilisateur démarre un ordinateur et ouvre une session,
Windows Server 2003 traite d'abord les paramètres de l'ordinateur, puis ceux
de l'utilisateur.
Ordre d'application de Lorsqu'un utilisateur démarre un ordinateur et ouvre une session, les actions
la stratégie de groupe suivantes se déclenchent :
1. Le réseau démarre. Le service RPCSS (Remote Procedure Call System
Service) et le MUP (Multiple Universal Naming Convention Provider)
démarrent.
2. Windows Server 2003 obtient la liste classée des objets Stratégie de groupe
pour l'ordinateur. Cette liste dépend des facteurs suivants :
• L'ordinateur fait-il partie d'un domaine ? Dans ce cas, il est sujet à la
stratégie de groupe via Active Directory.
• L'emplacement de l'ordinateur dans Active Directory.
• La liste des objets Stratégie de groupe a-t-elle été modifiée ?
3. Windows Server 2003 applique la stratégie de l'ordinateur. Il s'agit des
paramètres se trouvant sous Configuration de l'ordinateur dans la liste des
objets Stratégie de groupe obtenue. Cette liste est synchrone par défaut, et
s'affiche dans l'ordre suivant : local, domaine, unité d'organisation, unité
d'organisation enfant. Aucune interface utilisateur n'apparaît lors du
traitement des stratégies de l'ordinateur.
4. Les scripts de démarrage s'exécutent. Par défaut, les scripts sont masqués et
synchrones. Chaque script doit se terminer ou son délai d'exécution doit être
écoulé pour que le suivant puisse démarrer. Le délai d'attente par défaut est
de 600 secondes. Vous pouvez utiliser les paramètres de stratégie de groupe
pour modifier la valeur de ce paramètre.
Remarque Vous pouvez régler la valeur du délai d'attente en configurant le

temps d'attente dans « Délai d'attente maximal pour les scripts de stratégie
de groupe » sous Configuration de l'ordinateur\Modèles d'administration\
Système\Scripts\. Ce paramètre affecte tous les scripts qui s'exécutent.
5. L'utilisateur appuie sur la combinaison de touches CTRL-ALT-SUPPR pour

ouvrir une session.
6. Une fois que Windows Server 2003 a validé l'utilisateur, il charge le profil
utilisateur, lequel est contrôlé par les paramètres de stratégie de groupe en
vigueur.
7. Windows Server 2003 obtient la liste classée des objets Stratégie de groupe
pour l'utilisateur. Cette liste dépend des facteurs suivants :
• L'utilisateur fait-il partie d'un domaine ? Dans ce cas, il est sujet à la
stratégie de groupe via Active Directory.
• Le traitement par boucle de rappel est-il activé ? Quel est l'état du
paramètre de stratégie de bouclage ?
• L'emplacement de l'utilisateur dans Active Directory.
• La liste des objets Stratégie de groupe a-t-elle été modifiée ?
8. Windows Server 2003 applique la stratégie de l'utilisateur, laquelle inclut les
paramètres se trouvant sous Configuration utilisateur dans la liste obtenue.
Ces paramètres sont synchrones par défaut, et s'affichent dans l'ordre
suivant : local, domaine, unité d'organisation, unité d'organisation enfant.
Aucune interface utilisateur n'apparaît lors du traitement des stratégies de
l'utilisateur.
9. Les scripts d'ouverture de session s'exécutent. Par défaut, ces scripts basés
sur la stratégie de groupe sont masqués et asynchrones.
10. L'interface utilisateur du système d'exploitation prescrite par la stratégie de
groupe s'affiche.
Intervalle d'actualisation Les ordinateurs exécutant Windows Server 2003 actualisent ou réappliquent
utilisateur ou ordinateur les paramètres de stratégie de groupe à intervalles définis. L'actualisation des
paramètres permet de s'assurer que les paramètres de stratégie de groupe sont
appliqués aux ordinateurs et aux utilisateurs même si ces derniers ne
redémarrent jamais leur ordinateur ou ne ferment jamais leur session.
Remarque Pour savoir quand la stratégie de groupe est appliquée et obtenir un

exemple de script d'ouverture de session, reportez-vous à la section « À quel
moment la stratégie de groupe est-elle appliquée ? » de la page d'annexe du
module 5 sur le CD-ROM du stagiaire.
Comment affecter des paramètres de script de stratégie de groupe

Introduction Lorsque vous implémentez un script, vous utilisez la stratégie de groupe pour
ajouter le script au paramètre approprié du modèle Stratégie de groupe afin qu'il
s'exécute au démarrage, à l'arrêt, à l'ouverture ou à la fermeture de session.
Procédure de copie Pour copier un script dans le modèle Stratégie de groupe approprié, procédez
d'un script comme suit :
1. Utilisez l'Explorateur Windows pour rechercher le script sur votre
disque dur.
2. Modifiez l'objet Stratégie de groupe approprié dans la console Gestion de
stratégie de groupe, développez Configuration ordinateur (pour les scripts
de démarrage et d'arrêt) ou Configuration utilisateur (pour les scripts
d'ouverture et de fermeture de session), développez Paramètres Windows,
puis cliquez sur Scripts.
3. Double-cliquez sur le type de script approprié (Démarrage, Arrêter le
sytème, Ouverture de session ou Fermer la session), puis cliquez sur
Afficher les fichiers.
4. Copiez le fichier de script depuis l'Explorateur Windows dans la fenêtre qui
s'affiche, puis fermez la fenêtre.
Important Vous ne pouvez pas effectuer cette tâche à l'aide de la

commande Exécuter en tant que : vous devez avoir ouvert une session
en tant qu'Administrateur.
Procédure d'ajout Pour ajouter un script à un objet Stratégie de groupe, procédez comme suit :
du script
1. Dans la boîte de dialogue Propriétés du type de script, cliquez sur Ajouter.
2. Cliquez sur Parcourir, sélectionnez un script, puis cliquez sur Ouvrir.
3. Ajoutez les paramètres de script nécessaires, puis cliquez sur OK.
Remarque Pour plus d'informations sur la création d'un script en langage

Microsoft Visual Basic®, Scripting Edition (VBScript), reportez-vous aux
cours 2433, Microsoft Visual Basic Scripting Edition and Microsoft Windows
Script Host Essentials (en anglais) et 2439, WMI Scripting (en anglais).
Comment configurer les fréquences d'actualisation des

composants de la stratégie de groupe

Introduction Si la stratégie de groupe détecte une liaison lente, elle paramètre un indicateur
pour signaler la liaison aux extensions côté client. Ces dernières peuvent alors
déterminer s'il est nécessaire de traiter les paramètres de stratégie de groupe
applicables.
Stratégie de groupe La stratégie de groupe compare la vitesse de connexion de la liaison au taux de
et liaisons lentes 500 kilobits par seconde (kbits/s) — vitesse considérée comme lente — ou au
seuil de votre choix. La stratégie de groupe utilise un algorithme afin de
déterminer si une liaison est ou non considérée comme lente.
Paramètres par défaut Le tableau suivant répertorie les paramètres par défaut pour le traitement des
liaisons lentes.
Traitement des Modification
Extension côté client liaisons lentes Actualisé possible ?
Traitement de la stratégie du Actif Actif Non

Registre
Traitement de la stratégie de Inactif Actif Oui
maintenance Internet Explorer
Traitement de la stratégie Inactif N/A Oui
d~installation de logiciels
Traitement de la stratégie de Inactif N/A Oui
redirection de dossiers
Traitement de la stratégie de scripts Inactif Actif Oui
Traitement de la stratégie de Actif Actif Non
sécurité
(suite)
Traitement des Modification
Extension côté client liaisons lentes Actualisé possible ?
Traitement de la stratégie de Inactif Actif Oui

sécurité IP
Traitement de la stratégie sans fil Inactif Actif Oui
Traitement de la stratégie de Actif Actif Oui
récupération ESF
Traitement de la stratégie de quota Inactif Actif Oui
de disque
Procédure Pour configurer les composants de la stratégie de groupe qui sont actualisés et
peuvent être modifiés, procédez comme suit :
1. Ouvrez l'objet Stratégie de groupe approprié de la stratégie de groupe,
développez successivement Configuration ordinateur, Modèles
d'administration, Système, cliquez sur Stratégie de groupe, puis cliquez
sur chaque élément du tableau précédent.
2. Cliquez sur Activé.
3. Cliquez sur Ne pas appliquer lors des traitements en tâche de fond
périodiques.
4. Si l'option est disponible, cliquez sur Autoriser le traitement sur une
connexion réseau lente, puis cliquez sur OK.
Remarque Pour plus d'informations sur l'algorithme utilisé par la stratégie de

groupe pour détecter les liaisons lentes, reportez-vous à la section « Comment
configurer les fréquences d'actualisation des composants de la stratégie de
groupe » de la page d'annexe du module 5 sur le CD-ROM du stagiaire.
Comment configurer les fréquences d'actualisation des contrôleurs

de domaine et des ordinateurs

Introduction Vous pouvez modifier les fréquences d'actualisation par défaut en modifiant les
paramètres de modèle d'administration pour une configuration utilisateur ou
ordinateur.
Intervalles Le tableau suivant répertorie les intervalles par défaut de l'actualisation de la
d'actualisation stratégie de groupe.
par défaut
Type d'ordinateur Intervalle d'actualisation
Ordinateurs exécutant Toutes les 90 minutes. Actualisation également en

Windows XP Professionnel et fonction d'un décalage aléatoire de 30 minutes, ce
serveurs membres d'un qui permet d'appliquer l'équilibrage de charges au
domaine exécutant Windows traitement des applications de stratégie de groupe et
Server 2003 permet de s'assurer que plusieurs ordinateurs ne
contactent pas un contrôleur de domaine au même
moment.
Contrôleurs de domaine Toutes les cinq minutes. De cette façon, les
nouveaux paramètres de stratégie de groupe
critiques, tels que les paramètres de sécurité, sont
appliqués au moins toutes les cinq minutes une fois
le paramètre par défaut modifié.
Procédure Pour configurer les fréquences d'actualisation, procédez comme suit :

1. Ouvrez l'objet Stratégie de groupe approprié de la stratégie de groupe,
développez successivement Configuration utilisateur ou Configuration
ordinateur (selon l'objet Stratégie de groupe à modifier), Modèles
d'administration, Système, cliquez sur Stratégie de groupe, puis
double-cliquez sur l'un des paramètres suivants :
• Intervalle d'actualisation de la stratégie de groupe pour les
utilisateurs
ordinateurs
contrôleurs de domaine
2. Sélectionnez Activé.
3. Définissez l'intervalle d'actualisation en minutes.
4. Définissez le décalage aléatoire, puis cliquez sur OK.
Remarque Si vous avez désactivé ces paramètres, la stratégie de groupe est

mise à jour par défaut toutes les 90 minutes. Pour spécifier que la stratégie
de groupe ne doit jamais être mise à jour lorsque l'ordinateur est en cours
d'utilisation, sélectionnez l'option Désactiver l'actualisation en tâche de fond
des stratégies de groupe.
Comment actualiser les paramètres de stratégie de groupe sur

l'ordinateur d'un utilisateur à l'aide de Gpupdate.exe

Introduction Vous pouvez actualiser un objet Stratégie de groupe à l'aide de la commande
gpupdate.
Procédure Pour actualiser les paramètres de stratégie de groupe sur l'ordinateur d'un
utilisateur à l'aide de la commande gpupdate, procédez comme suit :
1. Dans la boîte de dialogue Exécuter, tapez cmd et appuyez sur ENTRÉE.
2. Tapez
gpupdate [/target:{ordinateur|utilisateur}] [/force]
[/wait:valeur] [/logoff] [/boot]
Le tableau suivant décrit chacun des paramètres de la syntaxe de gpupdate.

Paramètre Description
/target:{ordinateur| Traite les paramètres de l'ordinateur ou les paramètres de l'utilisateur en cours,

utilisateur} selon la destination spécifiée. Si vous ne spécifiez pas ce paramètre, les paramètres
ordinateur et utilisateur sont traités par défaut.
/force Réapplique l'ensemble des paramètres et ignore le traitement des optimisations.
/wait:valeur Spécifie le délai d'attente (en secondes) avant que la stratégie ne se termine. La valeur
par défaut est de 600 secondes. La valeur 0 signifie « aucune attente » ; -1 correspond
à une attente indéfinie.
/logoff Ferme la session une fois l'actualisation de la stratégie terminée. Ce paramètre est
obligatoire pour les extensions de stratégie de groupe côté client qui ne sont pas
exécutées dans le cadre d'un cycle d'actualisation en arrière-plan, mais sont exécutées
lorsque l'utilisateur ouvre une session. Cette option est sans effet si aucune des
extensions appelées ne nécessite la déconnexion de l'utilisateur.
(suite)
Paramètre Description
/boot Redémarre l'ordinateur une fois l'actualisation de la stratégie terminée. Le redémarrage de

l'ordinateur est obligatoire pour les extensions de stratégie de groupe côté client qui ne sont
pas exécutées dans le cadre d'un cycle d'actualisation en arrière-plan, mais sont exécutées au
démarrage de l'ordinateur. Cette option est sans effet si aucune des extensions appelées ne
nécessite le redémarrage de l'ordinateur.
Application pratique : Configuration des fréquences d'actualisation

de la stratégie de groupe et des paramètres de stratégie de groupe

Objectifs Dans cette application pratique, vous allez configurer l'intervalle d'actualisation
de la stratégie de groupe pour des ordinateurs clients, puis configurer les
paramètres de stratégie de groupe pour la synchronisation des fichiers hors
connexion.
Scénario Northwind Traders repose largement sur la stratégie de groupe pour gérer
les ordinateurs clients et conserver sa flexibilité à l'organisation. En raison
du nombre élevé d'objets Stratégie de groupe que vous devez modifier
quotidiennement, vous souhaitez diminuer le trafic réseau en réduisant de
180 minutes l'intervalle d'actualisation des ordinateurs clients et en utilisant
un décalage aléatoire de 60 minutes.
Les membres de votre organisation voyagent fréquemment et utilisent des
connexions lentes d'accès à distance. Ils se rendent également souvent dans des
agences lointaines raccordées au réseau d'entreprise via des connexions à haut
débit. Ils ont besoin d'avoir accès à des fichiers habituellement disponibles
uniquement via une connexion réseau à un serveur de fichiers. Ces fichiers
doivent être à jour dès que l'utilisateur se connecte au réseau d'entreprise.
Vous devez configurer la disponibilité et la synchronisation des fichiers hors
connexion dans la stratégie de groupe des utilisateurs qui ont besoin de cette
fonctionnalité.
Application pratique
! Configurer les paramètres de stratégie de groupe
1. Ouvrez la console Gestion de stratégie de groupe en tant que
Votre_Domaine\Administrateur à l'aide de la commande Exécuter
en tant que.
2. Développez successivement Forêt, Domaines, votre domaine, Objets de
stratégie de groupe, cliquez sur Objets de stratégie de groupe, cliquez
avec le bouton droit sur GPO_pratique, puis cliquez sur Modifier.
3. Dans l'Éditeur d'objets de stratégie de groupe, sous Configuration

ordinateur, développez successivement Modèles d'administration,
Système, puis cliquez sur Stratégie de groupe.
4. Double-cliquez sur Intervalle d'actualisation de la stratégie de groupe
pour les ordinateurs, cliquez sur Activé, entrez l'intervalle de temps
approprié, puis cliquez sur OK.
5. Dans l'Éditeur d'objets de stratégie de groupe, sous Configuration
utilisateur, développez successivement Modèles d'administration,
Réseau, puis cliquez sur fichiers hors connexion.
6. Double-cliquez sur Synchroniser tous les fichiers hors connexion à
l'ouverture de session, cliquez sur Activé, puis sur OK.
7. Fermez l'Éditeur d'objets de stratégie de groupe, puis fermez la console
Gestion de stratégie de groupe.
Leçon : Gestion des objets Stratégie de groupe

Introduction Vous utilisez la console Gestion de stratégie de groupe pour gérer les objets
Stratégie de groupe, à savoir pour copier un objet Stratégie de groupe à un autre
emplacement, sauvegarder un objet Stratégie de groupe, restaurer un objet
Stratégie de groupe à partir de la sauvegarde, ou encore importer dans un objet
Stratégie de groupe les paramètres d'un autre objet Stratégie de groupe.
! expliquer la finalité de la copie d'un objet Stratégie de groupe ;
! copier un objet Stratégie de groupe à l'aide de la console Gestion de
stratégie de groupe ;
! expliquer la finalité de la sauvegarde d'un objet Stratégie de groupe ;
! sauvegarder un objet Stratégie de groupe à l'aide de la console Gestion de
! expliquer la finalité de la restauration d'un objet Stratégie de groupe ;
! restaurer un objet Stratégie de groupe à l'aide de la console Gestion de
! expliquer la finalité de l'importation de paramètres dans un objet Stratégie
de groupe ;
! importer des paramètres dans un objet Stratégie de groupe à l'aide de la
Définition d'une opération de copie

Introduction La copie d'un objet Stratégie de groupe transfert uniquement les paramètres
de l'objet Stratégie de groupe. L'objet Stratégie de groupe nouvellement créé
est doté d'un nouvel identificateur unique global (GUID, Globally Unique
IDentifier) et de la liste de contrôle d'accès discrétionnaire (DACL,
Discretionary Access Control List) de l'objet Stratégie de groupe. Le nouvel
objet Stratégie de groupe créé est non lié, car les liaisons sont une propriété de
l'objet ayant défini l'objet Stratégie de groupe plutôt qu'une propriété de l'objet
Comportement de Lorsque vous copiez un objet Stratégie de groupe d'un domaine vers un autre,
mappage d'une vous devez spécifier le comportement du mappage des entités de sécurité pour
opération de copie l'opération de copie. La console Gestion de stratégie de groupe offre deux
techniques de mappage pour la copie des objets Stratégie de groupe :
! Copie identique à partir de la source
! Utilisation d'une table de migration pour mapper de nouvelles valeurs dans
le nouvel objet Stratégie de groupe
Pour utiliser l'une ou l'autre de ces méthodes, des références aux entités de
sécurité et des chemins UNC (Universal Naming Convention) doivent figurer
dans l'objet Stratégie de groupe source.
Définition du mappage Lorsque vous copiez des objets Stratégie de groupe dans des domaines ou des
des entités de sécurité forêts, la console Gestion de stratégie de groupe peut effectuer un mappage
des entités de sécurité. C'est-à-dire qu'elle peut modifier les paramètres se
rapportant aux entités de sécurité en convertissant les valeurs de ces entités
en fonction du nouvel objet Stratégie de groupe.
Définition d'une table Si vous avez besoin d'une personnalisation supplémentaire, vous pouvez utiliser
de migration des scripts pour implémenter une table de migration, c'est-à-dire un fichier texte
XML (eXtensible Markup Language) spécifiant le mappage personnalisé des
entités de sécurité depuis le domaine source vers le domaine de destination. La
table de migration comporte une section de mappage des entités de sécurité et
une section de mappage des chemins d'accès. Utilisez ces sections pour définir
des règles de mappage spécifiques.
Comment copier un objet Stratégie de groupe

Introduction Pour copier un objet Stratégie de groupe, vous devez avoir l'autorisation
de créer des objets Stratégie de groupe dans le domaine de destination.
Procédure Pour copier un objet Stratégie de groupe, procédez comme suit :
1. Ouvrez la console Gestion de stratégie de groupe, développez Objets de
stratégie de groupe dans la forêt et le domaine contenant l'objet Stratégie
de groupe à copier, cliquez avec le bouton droit sur cet objet, puis cliquez
sur Copier.
2. Effectuez l'une des opérations suivantes :
• Pour placer la copie de l'objet Stratégie de groupe dans le même
domaine que l'objet source, cliquez avec le bouton droit sur Objets
de stratégie de groupe, puis cliquez sur Coller.
i. Dans la boîte de dialogue Copier l'objet GPO, sélectionnez Utiliser
les autorisations par défaut pour les nouveaux objets GPO ou
Conserver les autorisations existantes, puis cliquez sur OK.
ii. Lorsque le processus de copie est terminé, cliquez sur OK.
• Pour placer la copie de l'objet dans un autre domaine, qu'il s'agisse de
la même forêt ou d'une autre, développez le domaine de destination,
cliquez avec le bouton droit sur Objets de stratégie de groupe, puis
cliquez sur Coller.
i. Dans la page Assistant Copie entre domaines, cliquez sur Suivant.
ii. Dans la page Spécification des autorisations en cours, sélectionnez
Utiliser les autorisations par défaut pour les nouveaux objets
GPO ou Préserver ou effectuer la migration des autorisations à
partir des objets GPO originaux, puis cliquez sur Suivant.
iii. Dans la page Analyse en cours de l'objet GPO original, cliquez sur
Suivant.
Si l'objet Stratégie de groupe source contient des références aux
entités de sécurité et aux chemins UNC, vous verrez s'afficher la
fenêtre mentionnée à l'étape suivante. Sinon, passez à l'étape v.
iv. Dans la page Migration des références, sélectionnez Effectuant
une copie identique à partir de la source ou Utilisant cette table
de migration pour le mappage dans l'objet de stratégie de groupe
cible, sélectionnez la table de migration dans la liste, puis cliquez sur
Suivant.
v. Dans la page Fin de l'Assistant Copie entre domaines, cliquez sur
Terminer.
vi. Une fois l'opération de copie terminée, cliquez sur OK.
Remarque Certaines de ces étapes peuvent ne pas s'afficher si vous copiez

un objet Stratégie de groupe dans le même domaine.
Définition d'une opération de sauvegarde

Introduction Lorsque la console Gestion de stratégie de groupe sauvegarde un objet Stratégie
de groupe, elle exporte les données dans le fichier de votre choix et enregistre
tous les fichiers de modèle Stratégie de groupe. Vous pouvez placer l'objet
Stratégie de groupe sauvegardé dans un dossier par une opération de restauration
ou d'importation. L'opération d'importation vous permet uniquement de restaurer
un objet Stratégie de groupe sauvegardé dans un autre domaine.
Comment stocker Vous pouvez stocker plusieurs objets Stratégie de groupe sauvegardés, y
une sauvegarde compris plusieurs versions du même objet, dans un dossier de fichiers unique.
Quel que soit le nombre d'objets Stratégie de groupe stockés dans un dossier,
vous pouvez identifier chaque objet Stratégie de groupe à l'aide de l'un des
critères suivants :
! Nom complet de l'objet Stratégie de groupe
! Identificateur GUID de l'objet Stratégie de groupe
! Description de la sauvegarde
! Date et horodatage de la sauvegarde
! Nom de domaine
Vous pouvez sauvegarder un ou plusieurs objets Stratégie de groupe dans un

emplacement de sauvegarde qui a été précédemment spécifié, ou bien spécifier
un nouvel emplacement.
Remarque Assurez-vous que le répertoire de sauvegarde se trouve à un

emplacement sécurisé du système de fichiers.
Comment sauvegarder un objet Stratégie de groupe

Introduction Pour sauvegarder un objet Stratégie de groupe, vous devez disposer des
autorisations en lecture sur l'objet Stratégie de groupe et des autorisations
Écrire sur l'emplacement du système de fichiers où vous souhaitez stocker
l'objet Stratégie de groupe sauvegardé.
Procédure Pour sauvegarder un objet Stratégie de groupe, procédez comme suit :
1. Ouvrez la console Gestion de stratégie de groupe, développez la forêt
contenant l'objet Stratégie de groupe à sauvegarder, développez
successivement Domaines, le domaine contenant l'objet Stratégie de groupe,
Objets de stratégie de groupe, puis effectuez l'une des opérations suivantes :
• Pour sauvegarder un seul objet Stratégie de groupe, cliquez avec le
bouton droit sur cet objet, puis cliquez sur Sauvegarder.
• Pour sauvegarder tous les objets Stratégie de groupe, cliquez avec le
bouton droit sur Objets de stratégie de groupe, puis cliquez sur
Sauvegarder tout.
2. Dans la boîte de dialogue Sauvegarde de l'objet GPO, entrez le chemin
d'accès à l'emplacement où vous souhaitez stocker l'objet Stratégie de
groupe sauvegardé.
3. Entrez une description pour l'objet Stratégie de groupe à sauvegarder,
puis cliquez sur Sauvegarder.
4. Une fois l'opération de sauvegarde terminée, cliquez sur OK.
Définition d'une opération de restauration

Introduction L'opération de restauration rétablit le contenu de l'objet Stratégie de groupe
dans l'état dans lequel il était au moment de la sauvegarde. Cette opération est
valide uniquement dans le domaine où l'objet Stratégie de groupe a été créé.
Quels objets Stratégie Vous pouvez restaurer un objet Stratégie de groupe existant ou un objet
de groupe peuvent être supprimé qui a été sauvegardé. Les autorisations requises pour restaurer un
restaurés ? objet Stratégie de groupe varient selon que l'objet existe ou non dans Active
Directory lorsque vous le restaurez.
Comment restaurer un objet Stratégie de groupe

Introduction Pour restaurer un objet Stratégie de groupe existant à l'aide de la console
Gestion de stratégie de groupe, vous devez disposer des autorisations Modifier
les paramètres, supprimer, modifier la sécurité sur cet objet. Vous devez
également disposer de l'autorisation en lecture sur le dossier qui contient l'objet
Stratégie de groupe sauvegardé.
Pour restaurer un objet Stratégie de groupe supprimé qui avait été sauvegardé,
vous devez disposer d'autorisations pour créer des objets Stratégie de groupe
dans le domaine, ainsi que de l'autorisation en lecture sur l'emplacement du
système de fichiers de l'objet sauvegardé.
Procédure de Pour restaurer une version antérieure d'un objet Stratégie de groupe existant,
restauration d'une procédez comme suit :
version antérieure
d'un objet Stratégie 1. Ouvrez la console Gestion de stratégie de groupe, développez la forêt
de groupe contenant l'objet Stratégie de groupe à restaurer, développez successivement
Domaines, le domaine contenant l'objet Stratégie de groupe, Objets de
stratégie de groupe, cliquez avec le bouton droit sur Objets de stratégie
de groupe puis cliquez sur Gérer les sauvegardes.
2. Dans la boîte de dialogue Gestion des sauvegardes, sélectionnez l'objet
Stratégie de groupe sauvegardé à restaurer, puis cliquez sur Restaurer.
3. Lorsque vous êtes invité à restaurer la sauvegarde sélectionnée, cliquez
sur OK.
4. Dans la boîte de dialogue Restaurer, cliquez sur OK une fois la
restauration terminée.
5. Dans la boîte de dialogue Gestion des sauvegardes, sélectionnez un autre
objet Stratégie de groupe à restaurer ou cliquez sur Fermer pour terminer
l'opération de restauration.
Procédure de Pour restaurer un objet Stratégie de groupe supprimé qui figure dans la liste
restauration d'un objet des Objets Stratégie de groupe, effectuez l'une des opérations suivantes :
Stratégie de groupe
supprimé 1. Ouvrez la console Gestion de stratégie de groupe, développez
successivement la forêt contenant l'objet Stratégie de groupe à restaurer,
Domaines, puis le domaine contenant l'objet Stratégie de groupe.
2. Cliquez avec le bouton droit sur Objets de stratégie de groupe, puis
cliquez sur Gérer les sauvegardes.
3. Dans la boîte de dialogue Gestion des sauvegardes, cliquez sur Parcourir,
recherchez le système de fichiers contenant l'objet Stratégie de groupe
supprimé, sélectionnez l'objet, cliquez sur Restaurer, puis cliquez sur OK
pour confirmer l'opération de restauration.
Définition d'une opération d'importation

Introduction Une opération d'importation copie l'ensemble des paramètres de stratégie de
groupe depuis l'objet Stratégie de groupe source vers l'objet Stratégie de groupe
de destination.
Pourquoi spécifier une Spécifiez une table de migration afin d'être certain que le chemin UNC de
table de migration ? l'objet Stratégie de groupe est correctement mappé sur le chemin UNC de l'objet
Stratégie de groupe de destination. Indiquez le chemin d'accès à la table de
migration appropriée lorsque vous importez des paramètres de stratégie de
groupe d'un domaine dans un autre. Si vous spécifiez une table de migration,
vous devez spécifier le comportement de mappage du chemin UNC.
Si vous n'activez pas la case à cocher Utiliser exclusivement la table de
migration, vous devez spécifier le comportement de mappage pour les entités
de sécurité qui ne figurent pas dans la table de migration.
Si vous ne spécifiez pas de table de migration, toutes les entités de sécurité sont
mappées en fonction du comportement que vous spécifiez.
Comment importer des paramètres dans un objet Stratégie

de groupe

Introduction Pour importer des paramètres dans un objet Stratégie de groupe, vous devez
disposer des autorisations de modification de cet objet.
Procédure Pour importer des paramètres dans un objet Stratégie de groupe, procédez
comme suit :
1. Ouvrez la console Gestion de stratégie de groupe, développez
successivement la forêt contenant l'objet Stratégie de groupe dans lequel
importer des paramètres, Domaines, le domaine contenant l'objet Stratégie
de groupe, Objets de stratégie de groupe, cliquez avec le bouton droit sur
l'objet Stratégie de groupe, puis cliquez sur Importer des paramètres.
2. Dans la page Assistant Importation des paramètres, cliquez sur Suivant.
3. Dans la page Objet de stratégie de groupe de sauvegarde, cliquez sur
Sauvegarder.
4. Dans la boîte de dialogue Sauvegarde de l'objet GPO, entrez un
emplacement et une description pour la sauvegarde de l'objet Stratégie
de groupe, puis cliquez sur Sauvegarder.
5. Une fois l'opération de sauvegarde terminée, cliquez sur OK puis sur
Suivant.
6. Dans la page Emplacement de sauvegarde, cliquez sur Parcourir pour
rechercher le dossier de sauvegarde à partir duquel vous voulez importer
des paramètres, puis cliquez sur Suivant.
7. Dans la page Objet stratégie de groupe (GPO) source, sélectionnez l'objet

Stratégie de groupe à partir duquel vous voulez importer des paramètres,
puis cliquez sur Suivant.
Si l'objet Stratégie de groupe source contient des références aux entités
de sécurité et des chemins UNC, la boîte de dialogue Migration des
références s'affiche. Choisissez le mode de migration des entités de sécurité
et des chemins UNC en sélectionnant Effectuant une copie identique à
partir de la source ou Utilisant cette table de migration pour le
mappage dans l'objet de stratégie de groupe cible, puis sélectionnez
une table de migration.
8. Cliquez sur Suivant.
9. Dans la page Fin de l'Assistant Importation des paramètres, cliquez
sur Terminer.
10. Une fois l'opération d'importation terminée, cliquez sur OK.
Application pratique : Gestion des objets Stratégie de groupe

Objectifs Dans cette application pratique, vous allez copier un objet Stratégie de groupe,
créer une sauvegarde de cet objet, supprimer la copie sauvegardée, puis la
restaurer.
Scénario Vous êtes responsable de l'implémentation des normes de Bureau de l'entreprise
à l'aide de la stratégie de groupe de votre domaine. Bien que la plupart des
groupes du domaine puissent utiliser la même configuration de Bureau
d'entreprise, certains services nécessitent une configuration légèrement
différente. Vous allez créer un objet Stratégie de groupe de base, le copier
dans les différentes applications, puis en modifier les paramètres.
Parce que vous voulez être certain que la sauvegarde et la restauration des
objets Stratégie de groupe fonctionnent correctement, vous souhaitez tester les
fonctionnalités de restauration et simuler le plan d'implémentation dans votre
environnement de test.
Copie d'un objet
! Copier un objet Stratégie de groupe
Stratégie de groupe 1. Ouvrez la console Gestion de stratégie de groupe en tant que
en tant que.
2. Dans votre domaine, développez Objets de stratégie de groupe, cliquez
avec le bouton droit sur GPO_pratique, cliquez sur Copier, cliquez avec le
bouton droit sur Objets de stratégie de groupe, puis cliquez sur Coller.
3. Dans la boîte de dialogue Copier l'objet GPO, cliquez sur OK.
4. Une fois le processus de copie terminé, cliquez sur OK.
Application pratique : ! Sauvegarder un objet Stratégie de groupe

Sauvegarde d'un objet
Stratégie de groupe 1. Dans la console Gestion de stratégie de groupe, cliquez avec le bouton droit
sur Copie de GPO_pratique, puis cliquez sur Sauvegarder.
2. Dans la boîte de dialogue Sauvegarde de l'objet GPO, tapez C:\ dans la
zone Emplacement, puis cliquez sur Sauvegarder.
3. Une fois l'opération terminée, cliquez sur OK.
Restauration d'un objet
! Supprimer et restaurer un objet Stratégie de groupe
Stratégie de groupe 1. Dans la console Gestion de stratégie de groupe, cliquez avec le bouton droit
sur Copie de GPO_pratique, cliquez sur Supprimer, puis sur OK.
2. Cliquez avec le bouton droit sur Objets de stratégie de groupe, puis
cliquez sur Gérer les sauvegardes.
3. Dans la boîte de dialogue Gestion des sauvegardes, sélectionnez Copie de
GPO_pratique, puis cliquez sur Restaurer.
4. Lorsque vous êtes invité à restaurer la sauvegarde, cliquez sur OK.
5. Dans la boîte de dialogue Restaurer, cliquez sur OK une fois la sauvegarde
restaurée.
6. Dans la boîte de dialogue Gestion des sauvegardes, cliquez sur Fermer.
7. Vérifiez que l'objet Stratégie de groupe a bien été restauré.
Leçon : Vérification et résolution des problèmes liés à la


Introduction Il est possible que vous rencontriez des problèmes lors de l'implémentation de
la stratégie de groupe. Lorsque vous résolvez des problèmes liés à la stratégie
de groupe, veillez à prendre en compte les dépendances entre les composants.
Par exemple, la stratégie de groupe dépend de Active Directory, lequel se fie à
une configuration correcte des services du réseau.
Windows Server 2003 est doté de deux nouvelles fonctionnalités de gestion des
stratégies de groupe qui vous permettent de déterminer les effets des paramètres
de stratégie de groupe d'un utilisateur ou d'un ordinateur particulier. Il s'agit de
l'Assistant Modélisation de stratégie de groupe et des Résultats de stratégie de
groupe.
! identifier les problèmes courants liés à l'implémentation de la stratégie de
groupe ;
! vérifier les paramètres de stratégie de groupe à l'aide de l'Assistant
Modélisation de stratégie de groupe ;
! vérifier les paramètres de stratégie de groupe à l'aide des Résultats de
Problèmes courants liés à l'implémentation de la stratégie

de groupe

Introduction La première étape de la résolution des problèmes liés à la stratégie de groupe
consiste à identifier les symptômes et les causes possibles.
Comment vérifier si les Dans la plupart des cas, un paramètre de stratégie de groupe n'est pas appliqué
paramètres de stratégie comme prévu parce qu'un autre objet Stratégie de groupe contient une valeur
de groupe corrects sont conflictuelle pour le même paramètre. L'objet Stratégie de groupe est prioritaire
appliqués en raison du filtrage, Blocage de l'héritage, Appliqué ou de l'ordre d'application.
Utilisez l'Assistant Modélisation de stratégie de groupe ou l'Assistant Résultats
de stratégie de groupe pour déterminer l'objet Stratégie de groupe utilisé pour le
paramètre.
Symptômes, cause Le tableau suivant répertorie certains des symptômes courants, ainsi que les
et résolution méthodes de résolution possibles.
Symptôme Résolution
Vous ne parvenez pas à ouvrir un objet Stratégie de Devenez membre d'un groupe de sécurité avec
groupe, même avec l'autorisation en lecture. les autorisations Lire et Écrire pour l'objet.
Lorsque vous essayez de modifier un objet Stratégie de Assurez-vous que le système DNS fonctionne
groupe, le message signalant qu'il est impossible d'ouvrir correctement.
l'objet Stratégie de groupe s'affiche.
La stratégie de groupe n'est pas appliquée aux utilisateurs Liez les objets Stratégie de groupe uniquement à
et ordinateurs d'un groupe de sécurité qui les contient, des sites, domaines et unités d'organisation.
alors qu'un objet Stratégie de groupe est lié à une unité
d'organisation contenant le groupe de sécurité.
(suite)
Symptôme Résolution
La stratégie de groupe n'affecte pas les utilisateurs et Liez un objet Stratégie de groupe à une unité
ordinateurs d'un conteneur Active Directory. d'organisation qui est parente du conteneur Active
Directory. Ces paramètres sont alors appliqués par défaut
aux utilisateurs et ordinateurs du conteneur via l'héritage.
La stratégie de groupe n'est pas appliquée sur Déterminez quels objets Stratégie de groupe sont
l'ordinateur client. appliqués via Active Directory et si ces objets possèdent
des paramètres en conflit avec les paramètres locaux.
Comment vérifier les paramètres de stratégie de groupe à l'aide de

l'Assistant Modélisation de stratégie de groupe

Introduction Vous avez la possibilité de simuler un déploiement de stratégie pour les
utilisateurs et les ordinateurs avant de réellement appliquer les stratégies.
Cette fonctionnalité de la console Gestion de stratégie de groupe est appelée
Jeu de stratégies résultant (RSoP, Resultant Set of Policies) – Mode de
planification. Elle requiert un contrôleur de domaine exécutant
Windows Server 2003 dans la forêt. Pour vérifier les paramètres de stratégie de
groupe à l'aide de l'Assistant Modélisation de stratégie de groupe, vous devez
d'abord créer une requête de modélisation de stratégie de groupe et afficher
cette requête.
Procédure de création Pour créer une nouvelle requête de modélisation de stratégie de groupe,
d'une requête de procédez comme suit :
modélisation de
stratégie de groupe 1. Ouvrez la console Gestion de stratégie de groupe, naviguez jusqu'à la forêt
dans laquelle vous souhaitez créer une requête de modélisation de stratégie
de groupe, cliquez avec le bouton droit de la souris sur Modélisation de
stratégie de groupe, puis sur Assistant Modélisation de stratégie de groupe.
2. Sur la page Assistant Modélisation de stratégie de groupe, cliquez sur
Suivant, entrez les informations requises dans les pages de l'Assistant, puis
cliquez sur Terminer.
Procédure d'affichage Pour afficher la requête de modélisation de stratégie de groupe, procédez

de la requête de comme suit :
modélisation de
stratégie de groupe 1. Ouvrez la console Gestion de stratégie de groupe.
2. Naviguez jusqu'à la forêt contenant la requête de modélisation de stratégie de
groupe à afficher, développez Modélisation de stratégie de groupe, cliquez
avec le bouton droit sur la requête, puis cliquez sur Affichage avancé.
Remarque Pour plus d'informations sur la vérification des paramètres

de stratégie de groupe à l'aide de Gpresult.exe, reportez-vous à la section
« Comment vérifier les paramètres de stratégie de groupe à l'aide des Résultats
de stratégie de groupe » de la page d'annexe du module 5 sur le CD-ROM du
stagiaire.
Comment vérifier les paramètres de stratégie de groupe à l'aide des

Résultats de stratégie de groupe

Introduction Utilisez les Résultats de stratégie de groupe pour déterminer les paramètres de
stratégie qui sont appliqués à un ordinateur, ainsi que l'utilisateur qui a ouvert
une session sur cet ordinateur. Bien que ces données soient similaires à celles
de la modélisation de stratégie de groupe, elles sont obtenues à partir de
l'ordinateur client au lieu d'être simulées sur le contrôleur de domaine. Pour
obtenir des données à l'aide des Résultats de stratégie de groupe, l'ordinateur
client doit exécuter Windows XP ou Windows Server 2003.
Procédure de création Pour créer une requête Résultats de stratégie de groupe, procédez comme suit :
d'une requête Résultats
de stratégie de groupe 1. Dans la console Gestion de stratégie de groupe, accédez à Résultats de
stratégie de groupe, cliquez avec le bouton droit sur Résultats de stratégie
de groupe, puis cliquez sur Assistant Résultats de stratégie de groupe.
2. Dans la page Assistant Résultats de stratégie de groupe, cliquez sur
Suivant.
3. Dans la page Sélection des ordinateurs, sélectionnez l'ordinateur actuel ou
cliquez sur Parcourir pour sélectionner un autre ordinateur, puis cliquez sur
Suivant.
4. Dans la page Sélection de l'utilisateur, sélectionnez l'utilisateur actuel ou
spécifiez un utilisateur, puis cliquez sur Suivant.
5. Dans la page Aperçu des sélections, vérifiez les sélections effectuées, puis
cliquez sur Suivant.
6. Dans la page Fin de l'Assistant Résultats de stratégie de groupe, cliquez
sur Terminer.
Procédure d'affichage Pour afficher la requête des Résultats de stratégie de groupe, procédez
de la requête des comme suit :
Résultats de stratégie
de groupe 1. Ouvrez la console Gestion de stratégie de groupe.
2. Naviguez jusqu'à la forêt contenant la requête de modélisation de stratégie
de groupe à afficher, développez Résultats de stratégie de groupe, cliquez
avec le bouton droit sur la requête, puis cliquez sur Affichage avancé.
Remarque Vous pouvez contrôler la stratégie de groupe en activant

l'enregistrement des diagnostics et l'enregistrement des commentaires. Pour plus
d'informations sur l'enregistrement de stratégie de groupe, reportez-vous à la
section « Comment vérifier les paramètres de stratégie de groupe à l'aide des
Résultats de stratégie de groupe » de la page d'annexe du module 5 sur le
CD-ROM du stagiaire.
Application pratique : Vérification et résolution des problèmes liés

à la stratégie de groupe

Objectifs Dans cette application pratique, vous allez vérifier les paramètres de stratégie
de groupe à l'aide de l'Assistant Modélisation de stratégie de groupe.
Scénario Vous souhaitez vérifier que les paramètres de stratégie de groupe que vous
prévoyez de déployer chez Northwind Traders (y compris les paramètres
utilisateur et ordinateur de votre domaine) seront appliqués et fiables. Vous
décidez d'utiliser la console Gestion de stratégie de groupe pour vérifier les
paramètres.
! Vérifier les paramètres utilisateur et ordinateur pour votre domaine
en tant que.
2. Cliquez avec le bouton droit sur Modélisation de stratégie de groupe,
puis cliquez sur Assistant Modélisation de stratégie de groupe.
3. Dans la page Assistant Modélisation de stratégie de groupe, cliquez sur
Suivant.
4. Dans la page Sélection du contrôleur de domaine, cliquez sur Suivant.
5. Dans la page Sélection d'ordinateurs et d'utilisateurs, dans les sections
Informations sur l'utilisateur et Informations sur l'ordinateur, cliquez
sur Parcourir, sélectionnez votre domaine pour chaque section, puis cliquez
sur Suivant.
6. Dans chacune des pages suivantes de l'Assistant, cliquez sur Suivant pour
accepter les valeurs par défaut.
7. Dans la page Fin de l'Assistant Modélisation de stratégie de groupe,
cliquez sur Terminer.
8. Si une boîte de dialogue Internet Explorer s'affiche, cliquez sur Ajouter,

dans la boîte de dialogue Sites approuvés, cliquez sur Ajouter, puis cliquez
sur Fermer.
9. Affichez le rapport dans le volet de détails, puis fermez la console Gestion
de stratégie de groupe.
Leçon : Délégation du contrôle administratif de la


Introduction Vous pouvez utiliser la stratégie de groupe pour déléguer certaines tâches à
d'autres administrateurs. Par exemple, la création, la liaison et la modification
des objets Stratégie de groupe correspondent à des autorisations distinctes que
vous pouvez déléguer séparément. La console Gestion de stratégie de groupe
simplifie la gestion des autorisations en combinant les autorisations de bas
niveau sur un objet et en les gérant comme une seule unité. Utilisez la console
Gestion de stratégie de groupe pour déléguer le contrôle administratif des objets
Stratégie de groupe, la stratégie de groupe pour un site, un domaine ou une
unité d'organisation, les filtres WMI.
! expliquer le fonctionnement de la délégation des objets Stratégie de groupe ;
! expliquer le fonctionnement de la délégation de la stratégie de groupe pour
un site, un domaine ou une unité d'organisation ;
! expliquer le fonctionnement de la délégation des filtres WMI ;
! déléguer le contrôle administratif pour la gestion des liaisons de stratégie de
groupe ;
! déléguer le contrôle administratif pour la création et la modification des
Délégation des objets Stratégie de groupe

Introduction Vous pouvez déléguer la capacité de créer des objets Stratégie de groupe dans
un domaine et d'affecter des autorisations sur un objet Stratégie de groupe
individuel à l'aide de la console Gestion de stratégie de groupe.
Déléguer la capacité Par défaut, la capacité de créer des objets Stratégie de groupe est attribuée au
de créer des objets groupe Propriétaires créateurs de la stratégie de groupe. Vous pouvez cependant
Stratégie de groupe déléguer ce pouvoir à tout groupe ou utilisateur de deux façons différentes :
! Ajouter le groupe ou l'utilisateur au groupe Propriétaires créateurs de la
stratégie de groupe. Il s'agit de la première méthode, disponible avant la
! Attribuer explicitement au groupe ou à l'utilisateur l'autorisation de créer
des objets Stratégie de groupe. Cette méthode est disponible uniquement via
la console Gestion de stratégie de groupe.
À quel moment utiliser Dans le cas d'utilisateurs et de groupes du domaine, utilisez le groupe
le groupe Propriétaires Propriétaires créateurs de la stratégie de groupe pour affecter des autorisations
créateurs de la stratégie de création d'un objet Stratégie de groupe. Ce groupe étant un groupe global du
de groupe domaine, il ne peut pas contenir de membres extérieurs au domaine. Si des
utilisateurs externes au domaine ont besoin de pouvoir créer des objets Stratégie
de groupe, procédez comme suit :
1. Créez un nouveau groupe local du domaine dans le domaine.
2. Affectez à ce groupe l'autorisation de créer des objets Stratégie de groupe
dans le domaine.
3. Ajoutez à ce groupe des utilisateurs de domaine externes.
Comparaison des deux Les autorisations sont identiques, que vous ajoutiez un utilisateur au groupe
méthodes de délégation Propriétaires créateurs de la stratégie de groupe ou que vous affectiez les
autorisations utilisateur pour la création d'objets Stratégie de groupe
directement à l'aide de la console Gestion de stratégie de groupe. Les
utilisateurs peuvent créer des objets Stratégie de groupe dans le domaine et
disposer d'un contrôle total sur ces objets, mais ils n'ont pas d'autorisation sur
les objets Stratégie de groupe créés par d'autres utilisateurs.
Accorder à un utilisateur la possibilité de créer des objets Stratégie de groupe
dans le domaine ne signifie pas qu'il peut lier ces objets à un site, un domaine
ou une unité d'organisation.
Déléguer des Vous pouvez également gérer les autorisations sur l'objet Stratégie de groupe au
autorisations sur un niveau des tâches. Les cinq catégories suivantes sont des autorisations Autoriser
objet Stratégie de sur un objet Stratégie de groupe.
groupe individuel
! Lecture
! Modifier les paramètres
! Modifier les paramètres, supprimer, modifier la sécurité
! Lire (à partir du filtrage de sécurité)
! Paramètres personnalisés
Remarque Pour plus d'informations sur la délégation du contrôle administratif

de la stratégie de groupe, reportez-vous à la rubrique « Délégation des objets
Stratégie de groupe » de la page d'annexe du module 5sur le CD-ROM du
stagiaire.
Délégation de la stratégie de groupe pour un site, un domaine ou

une unité d'organisation

Introduction La délégation de la stratégie de groupe pour un site, un domaine ou une unité
d'organisation inclut la délégation de la capacité à lier des objets Stratégie de
groupe et la délégation des autorisations pour la Modélisation de stratégie de
groupe et les Résultats de stratégie de groupe.
Déléguer la capacité de La console Gestion de stratégie de groupe utilise une autorisation unique,
lier des objets Stratégie appelée Lier les objets GPO, pour gérer les attributs gPLink et gPOptions. Vous
de groupe appliquez les paramètres d'un objet Stratégie de groupe à des utilisateurs et des
ordinateurs en liant l'objet Stratégie de groupe (qu'il s'agisse d'un enfant direct
ou indirectement par héritage) à un site, un domaine ou une unité d'organisation
qui contient les objets utilisateur ou ordinateur.
L'autorisation Lier les objets GPO est spécifique à ce site, ce domaine ou à une
unité d'organisation. L'autorisation équivaut à des autorisations Lire et Écrire sur
les attributs gPLink et gPOptions du site, du domaine ou de l'unité d'organisation.
Déléguer des Vous pouvez utiliser la Modélisation de stratégie de groupe pour simuler
autorisations pour un ensemble de stratégies pour des objets d'un domaine ou d'une unité
la Modélisation de d'organisation, ou bien vous pouvez la déléguer à d'autres utilisateurs ou
stratégie de groupe groupes. Cette délégation affecte à l'utilisateur ou au groupe l'autorisation
Générer Jeu de stratégie résultant (Planification), laquelle est disponible dans
toute forêt dotée du schéma Windows Server 2003.
La console Gestion de stratégie de groupe simplifie la gestion de cette
autorisation en la faisant figurer sous l'onglet Délégation de tout domaine ou
unité d'organisation. L'administrateur peut sélectionner Lancer des analyses de
modélisation de stratégie de groupe, puis sélectionner les propriétés Nom,
S'applique à, Paramètre et Hérité pour les délégations.
Déléguer des Vous pouvez utiliser les Résultats de stratégie de groupe pour lire les données
autorisations pour les d'enregistrement RSoP pour des objets du domaine ou de l'unité d'organisation.
Résultats de stratégie Comme dans le cas de la Gestion de stratégie de groupe, vous pouvez déléguer
de groupe cette autorisation à d'autres utilisateurs ou groupes. Les autorisations sont
déléguées sur un domaine ou une unité d'organisation. Les utilisateurs disposant
de cette autorisation peuvent lire les données des Résultats de stratégie de
groupe pour tout objet de ce conteneur. Cette délégation affecte également à
l'utilisateur ou au groupe l'autorisation Générer Jeu de stratégie résultant
(Enregistrement), laquelle est disponible dans toute forêt dotée du schéma
Windows Server 2003.
La console Gestion de stratégie de groupe simplifie la gestion de cette
autorisation en la faisant figurer sous l'onglet Délégation du domaine ou de
l'unité d'organisation. L'administrateur peut sélectionner Lire les données du
résultat de la stratégie, puis sélectionner les utilisateurs et groupes auxquels
accorder cette autorisation.
Délégation de filtres WMI

Introduction Vous pouvez déléguer la capacité de créer des filtres WMI dans un domaine et
affecter des autorisations sur ces filtres.
Déléguer la capacité de Vous créez des filtres WMI dans le conteneur Filtres WMI de la console
créer des filtres WMI Gestion de stratégie de groupe. Lorsque vous créez un nouveau filtre WMI,
Active Directory stocke celui-ci dans le conteneur WMIPolicy du conteneur
System du domaine. Les autorisations sur le conteneur WMIPolicy déterminent
les autorisations d'un utilisateur pour créer, modifier et supprimer des
filtres WMI.
Il existe deux autorisations de création de filtres WMI :
! Propriétaire créateur : permet à l'utilisateur de créer de nouveaux filtres
WMI dans le domaine. N'affecte pas à l'utilisateur des autorisations sur les
filtres WMI créés par d'autres utilisateurs.
! Contrôle total : permet à l'utilisateur de créer des filtres WMI et d'affecter
un contrôle total sur tous les filtres WMI du domaine, y compris les
nouveaux filtres créés par l'utilisateur après que l'autorisation a été accordée.
Déléguer des Vous pouvez utiliser la console Gestion de stratégie de groupe pour déléguer
autorisations sur des autorisations sur un filtre WMI particulier. Vous pouvez affecter deux
un filtre WMI autorisations différentes à un utilisateur ou un groupe :
! Modifier : autorise l'utilisateur ou le groupe à modifier le filtre WMI.
! Contrôle total : autorise l'utilisateur ou le groupe à modifier, supprimer et
modifier la sécurité sur le filtre WMI.
Comment déléguer le contrôle administratif de la gestion des

liaisons de stratégie de groupe

Introduction Vous pouvez déléguer la capacité de gérer les liaisons de stratégie de groupe en
sélectionnant Gérer les liaisons de stratégie de groupe dans l'Assistant
Délégation de contrôle, afin de permettre à un utilisateur de lier ou de
désactiver des liaisons d'objets Stratégie de groupe.
Procédure Pour déléguer le contrôle administratif de la gestion des liaisons de stratégie de
groupe, procédez comme suit :
1. Ouvrez la console Gestion de stratégie de groupe.
2. Naviguez jusqu'à la forêt et au domaine où vous voulez déléguer le contrôle
administratif de la gestion des liaisons de stratégie de groupe, puis cliquez
sur la liaison.
3. Dans le volet de détails, sous l'onglet Délégation, cliquez sur Ajouter.
4. Dans la boîte de dialogue Sélectionnez Utilisateur, Ordinateur ou
Groupe, dans la zone Entrez le nom de l'objet à sélectionner (exemples),
indiquez l'entité de sécurité, cliquez sur Vérifier les noms, puis sur OK.
5. Dans la boîte de dialogue Ajouter un utilisateur ou un groupe, dans la
zone Autorisations, sélectionnez l'autorisation appropriée, puis cliquez
sur OK.
Remarque Si vous préférez la flexibilité de la boîte de dialogue Propriétés,

celle-ci est toujours disponible dans la console Gestion de stratégie de groupe :
cliquez sur Avancées sous l'onglet Délégation.
Comment déléguer le contrôle administratif pour la création et la

modification d'objets Stratégie de groupe

Introduction Utilisez l'Assistant Délégation de contrôle pour déléguer le contrôle
administratif pour la création et la modification d'objets Stratégie de groupe.
Procédure de délégation Pour déléguer le contrôle administratif pour la création d'objets Stratégie de
du contrôle administratif groupe, procédez comme suit :
pour la création d'objets
Stratégie de groupe 1. Ouvrez la console Gestion de stratégie de groupe.
2. Naviguez jusqu'à la forêt et au domaine dans lequel vous voulez déléguer le
contrôle administratif pour la création d'objets Stratégie de groupe, puis
cliquez su Objets de stratégie de groupe.
Procédure de délégation Pour déléguer le contrôle administratif pour la modification d'objets Stratégie
du contrôle administratif de groupe, procédez comme suit :
pour la modification
d'objets Stratégie de 1. Ouvrez la console Gestion de stratégie de groupe.
groupe
2. Naviguez jusqu'à la forêt et au domaine dans lequel vous voulez déléguer le
contrôle administratif pour la modification d'objets Stratégie de groupe, puis
cliquez sur la liaison.
sur OK.
Application pratique : Délégation du contrôle administratif de la


Objectifs Dans cette application pratique, vous allez ajouter le compte de l'administrateur
adjoint au groupe Propriétaires créateurs de la stratégie de groupe, puis lui
déléguer la capacité de gérer les liaisons de stratégie de groupe.
Scénario Vous avez décidé de déléguer à un administrateur adjoint l'administration de
la stratégie de groupe pour les unités d'organisation Accounting, Accounts
Payable (créances) et Accounts Receivable (dettes). Cette personne sera
responsable de la création et de la suppression de liaisons d'objets Stratégie
de groupe, de la création de nouveaux objets Stratégie de groupe et de la
modification des objets Stratégie de groupe existants. Elle gérera également
les autres objets des unités d'organisation.
! Déléguer à un utilisateur le contrôle administratif de la stratégie
de groupe
en tant que.
2. Développez successivement Forêt, Domaines, Votre_Domaine, Objets de
stratégie de groupe, puis cliquez sur GPO_pratique.
3. Sous l'onglet Délégation, ajoutez Nwtradersx\Nom_OrdinateurUser à la
liste avec les autorisations Modifier les paramètres, supprimer modifier
la sécurité, puis cliquez sur OK.
4. Dans la console Gestion de stratégie de groupe, cliquez sur Votre_Domaine,
puis dans le volet de détails, cliquez sur la liaison GPO_pratique.
Groupe, dans la zone Entrez le nom de l'objet à sélectionner, entrez
Nwtradersx\Nom_OrdinateurUser, cliquez sur Vérifier les noms, puis
sur OK.

sur OK.
Leçon : Planification d'une stratégie de groupe pour

l'entreprise

Introduction Lorsque vous planifiez une structure Active Directory, créez un plan pour
l'héritage des objets Stratégie de groupe, l'administration et le déploiement qui
offre la gestion de stratégie de groupe la plus efficace possible pour votre
organisation.
Envisagez également la façon dont vous allez implémenter la stratégie de
groupe pour l'organisation. Afin que votre plan offre simplicité d'utilisation et
d'administration, veillez à prendre en considération la délégation d'autorisation,
la séparation des tâches d'administration, le choix d'une administration
centralisée ou décentralisée, ainsi que la flexibilité de conception.
! expliquer les instructions de planification des objets Stratégie de groupe ;
! expliquer les instructions de détermination de l'héritage des objets Stratégie
de groupe ;
! expliquer les instructions de détermination d'une stratégie de groupe pour
les sites ;
! expliquer les instructions de planification de l'administration des objets
Stratégie de groupe ;
! expliquer les instructions de déploiement des objets Stratégie de groupe.
Instructions de planification des objets Stratégie de groupe

Introduction Créez des objets Stratégie de groupe de façon à offrir une simplicité d'utilisation
et de gestion optimale, notamment via l'utilisation de l'héritage et des liaisons
multiples.
Instructions Appliquez les instructions suivantes pour planifier les objets Stratégie de
groupe :
! Appliquez les paramètres de stratégie de groupe au plus haut niveau. De
cette façon, vous bénéficiez de l'héritage de stratégie de groupe. Déterminez
les paramètres communs des objets Stratégie de groupe pour le plus grand
conteneur, en commençant par le domaine, puis en liant l'objet Stratégie de
groupe de ce conteneur.
! Diminuez le nombre des objets Stratégie de groupe. Réduisez ce nombre en
utilisant plusieurs liaisons au lieu de créer plusieurs objets Stratégie de
groupe identiques. Essayez de lier un objet Stratégie de groupe au plus
grand conteneur possible, afin d'éviter de créer plusieurs liaisons du même
objet à un niveau plus bas.
! Créez des objets Stratégie de groupe spécialisés. Utilisez ces objets
Stratégie de groupe pour appliquer des paramètres uniques si nécessaire.
Les objets Stratégie de groupe à un niveau supérieur n'appliqueront pas les
paramètres de ces objets Stratégie de groupe spécialisés.
! Désactivez les paramètres de configuration de l'ordinateur ou de
l'utilisateur. Lorsque vous créez un objet Stratégie de groupe destiné à
contenir les paramètres de l'un de ces deux niveaux (utilisateur ou
ordinateur), désactivez l'autre zone. Cela permet d'améliorer les
performances d'application des objets Stratégie de groupe lors de la
connexion de l'utilisateur et empêche l'application accidentelle des
paramètres à l'autre zone.
Instructions pour déterminer l'héritage des objets Stratégie

de groupe

Introduction L'héritage des objets Stratégie de groupe tient une place importante dans
l'implémentation de la stratégie de groupe d'une entreprise. C'est pourquoi vous
devez décider à l'avance d'appliquer la stratégie de groupe à tout ou partie des
utilisateurs et ordinateurs.
Instructions Appliquez les instructions suivantes pour déterminer l'héritage des objets
! Utilisez l'option Appliqué (Ne pas passer outre) uniquement lorsqu'elle est
requise. Utilisez cette option uniquement pour les objets Stratégie de groupe
que vous voulez absolument appliquer, par exemple les paramètres de
sécurité exigés par l'entreprise. Assurez-vous que ces objets Stratégie de
groupe contiendront uniquement ces paramètres importants.
! Utilisez l'option Blocage de l'héritage avec modération. Ce paramètre
complique la résolution des problèmes et l'administration des objets
! Utilisez le filtrage de sécurité en cas de besoin uniquement. Utilisez le
filtrage de sécurité lorsque des paramètres s'appliquent uniquement à un
groupe de sécurité particulier dans un conteneur. Limitez le nombre de
filtres de sécurité en créant et en liant des objets Stratégie de groupe au
niveau approprié.
Instructions pour déterminer une stratégie de groupe pour les sites

Introduction Vous pouvez lier des objets Stratégie de groupe à un site, de façon à appliquer
des paramètres à l'ensemble des ordinateurs et utilisateurs se trouvant
physiquement sur ce site. Lorsque la stratégie de groupe est définie au niveau
du site, elle n'affecte pas les utilisateurs itinérants sur ce site s'ils ont accès au
réseau à partir d'un autre site.
Instructions Appliquez les instructions suivantes pour déterminer une stratégie de groupe
pour des sites :
! Appliquez un objet Stratégie de groupe à un site uniquement si les
paramètres sont spécifiques au site et non au domaine. La résolution des
problèmes de paramètres de stratégie de groupe liés au site peut s'avérer
compliquée.
! Créez des objets Stratégie de groupe dans le domaine qui comporte le plus
grand nombre de contrôleurs de domaine sur ce site. Un contrôleur de
domaine du domaine contenant l'objet Stratégie de groupe lié au site est
contacté avant l'application de l'objet, quel que soit le domaine auquel
appartient l'utilisateur ou l'ordinateur.
Instructions de planification de l'administration des objets Stratégie

de groupe

Introduction Veillez à documenter les éléments suivants relatifs à votre stratégie de gestion
des objets Stratégie de groupe dans votre organisation.
Instructions Appliquez les instructions suivantes pour planifier l'administration des objets
Stratégie de groupe :
! Identifiez votre stratégie d'administration pour la gestion des objets
Stratégie de groupe. Déterminez quelles personnes vont créer et lier des
objets Stratégie de groupe dans votre organisation, et quelles personnes vont
mais ne pourront pas les créer. Déterminez également la personne qui va
gérer les objets Stratégie de groupe.
! Organisez les objets Stratégie de groupe en fonction de la maintenance
administrative. De cette façon, vous pourrez déléguer le contrôle des objets
Stratégie de groupe au groupe approprié et réduire le risque potentiel
qu'un administrateur remplace les modifications apportées par un autre
administrateur à un objet Stratégie de groupe donné. Vous pouvez, par
exemple, organiser la stratégie de groupe en fonction des catégories
d'administration suivantes :
• Gestion de la configuration des utilisateurs
• Gestion des données
• Distribution des logiciels
! Planifiez l'audit des objets Stratégie de groupe. Votre organisation peut
vous demander d'enregistrer les modifications apportées aux objets Stratégie
de groupe ainsi que leur utilisation, afin que vous puissiez vérifier que
Active Directory applique correctement les paramètres.
Instructions de déploiement des objets Stratégie de groupe

Introduction Lorsque vous planifiez l'implémentation de la stratégie de groupe, veillez à
tester et à documenter votre stratégie de groupe.
Instructions Appliquez les instructions suivantes pour déployer des objets Stratégie
de groupe :
! Testez les paramètres de stratégie de groupe. Testez les résultats des
objets Stratégie de groupe dans différentes situations. Bon nombre des
organisations de moyenne et grande taille créent une version miniature de
leur environnement de production pour l'utiliser comme « banc d'essai ».
Dans les petites entreprises, qui ne disposent pas des mêmes ressources,
implémentez la stratégie de groupe dans l'environnement de production en
dehors des heures de pointe, et mettez en place une stratégie de régression
afin de corriger tout problème qui surviendrait. Les stratégies de test
incluent :
• L'ouverture de session en tant qu'utilisateur représentatif sur des stations
de travail représentatives, afin de vérifier que les paramètres de stratégie
de groupe prévus ont bien été appliqués et qu'aucun conflit d'héritage ne
se produit. Vous pouvez utiliser l'Assistant Modélisation de stratégie de
groupe et l'Assistant Résultats de stratégie de groupe pour déterminer
quels paramètres de stratégie de groupe ont été appliqués et à partir de
quels objets Stratégie de groupe.
• L'ouverture de session dans toutes les conditions envisageables, afin de
vous assurer que les paramètres de stratégie de groupe sont appliqués de
façon homogène.
• Le test des ordinateurs portables en les connectant au réseau depuis les
différents sites sur lesquels les utilisateurs sont susceptibles d'ouvrir une
session.
! Documentez le plan de stratégie de groupe. Conservez toujours la liste

détaillée de tous les objets Stratégie de groupe, afin de facilement résoudre
les problèmes et gérer la stratégie de groupe. Pensez à inclure les
informations suivantes dans votre liste :
• Le nom et la fonction de chaque objet Stratégie de groupe.
• Les paramètres de stratégie de groupe de chaque objet Stratégie de
groupe.
• Les liaisons d'objets Stratégie de groupe à un site, un domaine ou une
unité d'organisation.
• Tout paramètre spécial appliqué à l'objet Stratégie de groupe (Appliqué,
désactivation partielle ou totale, par exemple).
Application pratique : Implémentation d'une stratégie de groupe

Emplacement de fichier Pour commencer la présentation Implémentation d'une stratégie de groupe,
ouvrez la page Web sur le CD-ROM des stagiaires, cliquez sur Multimédia,
puis sur le titre de la présentation. N'ouvrez pas cette présentation avant d'y être
invité par l'instructeur.
Objectif Dans cette application pratique, vous allez déterminer les effets de l'application
de certains paramètres de stratégie de groupe et de l'héritage des objets Stratégie
de groupe.
Instructions La présentation Implémentation d'une stratégie de groupe inclut des exercices
de type QCM et glisser-déplacer destinés à tester vos connaissances. Lisez les
instructions et commencez la présentation sous l'onglet Effets des paramètres
Atelier A : Implémentation d'une stratégie de groupe

Objectifs À la fin de cet atelier, vous serez à même d'effectuer les tâches suivantes :
! créer et configurer des objets Stratégie de groupe ;
! lier des objets Stratégie de groupe ;
! vérifier les paramètres de stratégie de groupe.
Conditions préalables Avant de travailler sur cet atelier, vous devez :

! connaître la console Gestion de stratégie de groupe ;
! connaître l'Éditeur d'objets de stratégie de groupe et l'Assistant Modélisation
de stratégie de groupe.
Durée approximative
de cet atelier :
75 minutes
Exercice 1
Création et configuration d'objets Stratégie de groupe
Dans cet exercice, vous allez créer une unité d'organisation pour le service Comptabilité et séparer
les unités d'organisation pour les groupes Créances et Dettes au sein du service Comptabilité. Vous
allez ensuite créer et configurer des objets Stratégie de groupe pour les groupes Créances et Dettes.
Vous allez effectuer ces tâches sur votre domaine de la forêt.
Scénario
Northwind Traders souhaite un contrôle strict des stratégies utilisées par le service Comptabilité.
Vous devez vous assurer que ce service utilise certains paramètres globaux de l'objet Stratégie de
groupe de l'entreprise. Vous allez créer un objet Stratégie de groupe standard Accounting pour
supprimer la commande Exécuter du menu Démarrer et supprimer la commande Arrêter des
utilisateurs et ordinateurs. Les règles de l'entreprise exigent que les mots de passe soient
réinitialisés tous les 30 jours et qu'ils comportent au moins huit caractères. Chaque mot de passe
doit répondre à ces exigences. Northwind Traders souhaite également implémenter un historique
des mots de passe, afin que les employés ne puissent pas réutiliser les dix derniers mots de passe.
Le service Comptabilité souhaite une station de travail pour tous les utilisateurs de chaque
département de l'organisation. Le groupe Créances a besoin de désactiver la fonctionnalité
Ajouter ou supprimer des programmes du Panneau de configuration. Le groupe Dettes dispose
d'un environnement informatique ouvert qui nécessite que les utilisateurs ouvrent parfois une
session sur d'autres ordinateurs. Pour cette raison, Northwind Traders souhaite désactiver la
fonctionnalité de verrouillage des ordinateurs.
Tâches Instructions spécifiques
1. Créer la structure à trois a. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser

unités d'organisation. (Nom_Ordinateur désignant le nom de l'ordinateur sur lequel vous
travaillez) avec le mot de passe P@ssw0rd, si vous n'êtes pas déjà
connecté.
b. Utilisez la commande Exécuter en tant que pour ouvrir la
console Utilisateurs et ordinateurs Active Directory. Utilisez
Votre_Domaine\Administrateur comme nom d'utilisateur et le mot
de passe P@ssw0rd, puis créez les unités d'organisation suivantes :
• Accounting
• Accounts Receivable
• Accounts Payable
2. Créer l'objet Stratégie de a. Créez un nouvel objet Stratégie de groupe.

groupe Accounting et b. Liez l'objet Stratégie de groupe à l'unité d'organisation Accounting.
vérifier que les paramètres
clés sont propagés à c. Configurez les paramètres de stratégie de groupe suivants :
l'ensemble des utilisateurs • Supprimer le menu Exécuter du menu Démarrer
dans Accounting. • Supprimer et empêcher l'accès à la commande Arrêter
• Appliqué
3. Copier l'objet Stratégie de a. Copiez l'objet Stratégie de groupe Accounting.

groupe Accounting et lui b. Donnez le nom de Accounts Receivable à la copie.
donner le nom de Accounts
Receivable.
4. Configurer l'objet Stratégie " Modifiez l'objet Stratégie de groupe Accounts Receivable pour définir
de groupe Accounts les stratégies sur la valeur suivante :
Receivable. • Supprimer l'application Ajouter ou supprimer des
programmes
5. Copier l'objet Stratégie de a. Copiez l'objet Stratégie de groupe Accounting.

groupe Accounting et lui b. Donnez le nom de Accounts Payable à la copie.
donnez le nom de Accounts
Payable.
6. Configurez l'objet Stratégie " Modifiez l'objet Stratégie de groupe Accounts Payable pour définir les
de groupe Accounts stratégies sur la valeur suivante :
Payable. • Désactiver le verrouillage de l'ordinateur (le chemin
d'accès à cette option est Configuration utilisateur\Modèles
d'administration\Système\Options Ctrl+Alt+Suppr).
Exercice 2
Liaison d'objets Stratégie de groupe
Dans cet exercice, vous allez lier des objets Stratégie de groupe à l'unité d'organisation appropriée.
Une fois les objets liés, vous pourrez appliquer des stratégies au niveau ordinateur ou utilisateur.
" Lier les objets Stratégie de " Dans la console Gestion de stratégie de groupe, liez les unités
groupe Accounts Receivable d'organisation suivantes à l'objet Stratégie de groupe approprié :
et Accounts Payable à l'unité • Accounts Receivable
d'organisation appropriée.
• Accounts Payable
Exercice 3
Vérification des paramètres de stratégie de groupe
Dans cet exercice, vous allez utiliser l'Assistant Modélisation de stratégie de groupe pour vérifier
les paramètres de stratégie de groupe que vous avez configurés dans les exercices précédents.
1. Utiliser l'Assistant a. Dans la console Gestion de stratégie de groupe, ouvrez l'Assistant

Modélisation de stratégie Modélisation de stratégie de groupe.
de groupe pour vérifier les b. Acceptez les valeurs par défaut pour chaque unité d'organisation
objets Stratégie de groupe Accounting.
Accounting.
2. Passer en revue les résultats a. Affichez les trois résultats de modélisation que vous avez créés à
de l'Assistant Modélisation l'étape précédente.
de stratégie de groupe pour b. Passez les paramètres en revue pour vous assurer de leur homogénéité.
vérifier les paramètres de

Implementation de Strategie de Groupe PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Implementation de Strategie de Groupe PDF

Titre original :

Transféré par

Droits d'auteur :

Formats disponibles

Module 5 :

 2003 Microsoft Corporation. Tous droits réservés.

Important Il est recommandé d'utiliser PowerPoint 2002 ou une version

Comment animer ce module

Remarque Certaines rubriques font référence à des informations

Leçon : Création et configuration d'objets Stratégie de groupe

Leçon : Configuration des fréquences d'actualisation et des

Leçon : Gestion des objets Stratégie de groupe

Leçon : Vérification et résolution des problèmes liés à la stratégie

Leçon : Délégation du contrôle administratif de la stratégie de

Leçon : Planification d'une stratégie de groupe pour l'entreprise

Atelier A : Implémentation d'une stratégie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Leçon : Création et configuration d'objets Stratégie

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Présentation multimédia : Introduction aux stratégies de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Modèles d'administration Paramètres basés sur le Registre permettant de configurer

Redirection de dossiers Paramètres permettant de stocker des dossiers de profils

Remarque Pour plus d'informations sur la création et la liaison d'objets

Composants d'un objet Stratégie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Le nom du dossier du modèle Stratégie de groupe est l'identificateur unique

Remarque Pour plus d'informations sur le modèle Stratégie de groupe,

Pourquoi spécifier un contrôleur de domaine pour la gestion des

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Important Si plusieurs administrateurs gèrent un objet Stratégie de groupe

Comment spécifier un contrôleur de domaine pour la gestion des

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Définition des filtres WMI

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Remarque Pour plus d'informations sur les filtres WMI, reportez-vous à la

Comment filtrer des paramètres de stratégie de groupe à l'aide de

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Dans cet exemple, la valeur 3 de DriveType correspond à un disque dur. Les

Remarque Pour plus d'informations sur les filtres WMI, reportez-vous à la

Définition du traitement par boucle de rappel

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Comment configurer le mode de traitement par boucle de rappel de

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Application pratique : Création et configuration d'objets Stratégie

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

8. Dans la page Fin de l'exécution de l'Assistant Installation du logiciel

Leçon : Configuration des fréquences d'actualisation et

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

À quel moment la stratégie de groupe est-elle appliquée ?

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Remarque Vous pouvez régler la valeur du délai d'attente en configurant le

5. L'utilisateur appuie sur la combinaison de touches CTRL-ALT-SUPPR pour

Remarque Pour savoir quand la stratégie de groupe est appliquée et obtenir un

Comment affecter des paramètres de script de stratégie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Important Vous ne pouvez pas effectuer cette tâche à l'aide de la

3. Ajoutez les paramètres de script nécessaires, puis cliquez sur OK.

Remarque Pour plus d'informations sur la création d'un script en langage

Comment configurer les fréquences d'actualisation des

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Traitement de la stratégie du Actif Actif Non

Traitement de la stratégie de Inactif Actif Oui

Remarque Pour plus d'informations sur l'algorithme utilisé par la stratégie de

Comment configurer les fréquences d'actualisation des contrôleurs

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR