Académique Documents
Professionnel Documents
Culture Documents
Quentin Personeni
SupporTech INSA .NET
INSA de Lyon
Publication : Juillet 2004
Résumé
Cet article décrit la méthode pour créer ses propres stratégies en écrivant ses propres modèles
d’administration (.adm). Il s’adresse aux administrateurs de domaine Active Directory sous
Windows 2000 Server ou Windows Server 2003 qui souhaitent appliquer, par stratégies (GPO),
d’autres paramètres que ceux proposés par les modèles d’administration standards.
« Créer sa propre stratégie de groupe (GPO) » – Libre Blanc
« Créer sa propre stratégie de groupe (GPO) » – Livre Blanc
Sommaire
Sommaire.......................................................................................................................................3
Introduction...................................................................................................................................4
Stratégies et préférences............................................................................................................5
Exemple .................................................................................................................................10
Commentaires...........................................................................................................................13
CLASS.......................................................................................................................................14
CATEGORY..............................................................................................................................14
POLICY.....................................................................................................................................16
Conclusion..................................................................................................................................20
Page 3 / 20
« Créer sa propre stratégie de groupe (GPO) » – Livre Blanc
Introduction
Dans un domaine Active Directory, les stratégies de groupe (GPO) constituent le moyen le plus
sûr et le plus efficace d’appliquer des paramètres aux objets d’un Site, d’un Domaine ou d’une
Unité Organisationnelle (OU).
• Installation de logiciel
• Paramètres de Sécurité
Les stratégies basées sur des valeurs de registre permettent à un administrateur de forcer des
paramètres Utilisateurs ou Machines. Les utilisateurs ne peuvent ensuite pas changer ces
paramètres. Ce document concerne uniquement ce type de stratégie et détaille les points
suivants :
Etre capable de développer ses propres paramètres de stratégie peut être utile dans les cas
suivants :
• Appliquer des stratégies qui ne sont pas disponibles dans les modèles d’administration
disponibles par défaut
• Appliquer des valeurs de registre quelconques (valeurs autres que des valeurs de
stratégie)
• Mieux comprendre le fonctionnement des stratégies basées sur des valeurs de registre
Page 4 / 20
« Créer sa propre stratégie de groupe (GPO) » – Livre Blanc
Il existe deux classes de stratégies : les stratégies utilisateurs et les stratégies ordinateurs. Ces
paramètres sont stockés dans la base de registre aux emplacements suivants :
Stratégies ordinateurs :
• HKLM\Software\Policies (Emplacement conseillé)
Stratégies utilisateurs :
• HKCU\Software\Policies (Emplacement conseillé)
• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
Les droits positionnés sur ces emplacements sont tels qu’un utilisateur standard ne pourra pas
éditer les valeur appliquées par la stratégie. Les clés sont créées à l’application de la stratégie. Si
une GPO est désactivée, la clé associée est supprimée.
Stratégies et préférences
Les préférences et les stratégies peuvent toutes les deux être implémentées en utilisant des clés
de registre. Les préférences et les stratégies servent toutes deux à appliquer un paramétrage.
Elles peuvent être utilisées séparément ou en même temps.
Les préférences sont des paramètres appliqués par l’utilisateur ou par Windows lors de
l’installation d’un logiciel. Les clés de registre associé à ces préférences ne sont pas situées aux
emplacements cités précédemment. Ces paramètres peuvent également être changés par
l’utilisateur en utilisant l’interface homme machine du logiciel concerné, ou de Windows s’il s’agit
de préférences de Windows. Par exemple, l’utilisateur pourra changer le papier peint de son
bureau, ou changer désactiver la vérification automatique d’orthographe dans Word.
Les paramètres appliqués par stratégies sont généralement mis en place par l’administrateur et
sont prioritaires sur les préférences. Il peut s’agir de paramètres identiques à ceux applicables
par préférences. Par exemple l’administrateur pourra imposer par GPO l’utilisation d’un certain
papier peint sur le bureau de tous les utilisateurs d’une Unité Organisationnelle, dans ce cas les
préférences concernant le papier peint ayant été appliquées par les utilisateurs seront ignorées.
Les paramétrages appliqués par stratégies sont donc prioritaires sur les préférences mais ne les
écrasent pas : les paramètres de préférences persistent dans la base de registre car elles
utilisent des clés de registre différentes. Si on reprend l’exemple précédent : dès que
Page 5 / 20
« Créer sa propre stratégie de groupe (GPO) » – Livre Blanc
l’administrateur retirera la stratégie qui force le papier peint du bureau, les préférences des
utilisateurs seront restaurées et ils retrouverons leur bureau tel qu’ils l’avaient paramétrés avant
l’application de la stratégie.
La plupart des applications compatibles avec les GPO offrent la possibilité d’appliquer des
paramètres par préférence ou par stratégie. Voici ci-dessous un tableau qui résume tous les
scénarios possibles lorsqu’un paramètre est applicable des deux façons.
Lorsqu’un clic sur un paramètre est fait, une boite dialogue standard permettant de configurer le
paramètre s’affiche.
Cette boîte de dialogue comporte deux onglets, le deuxième contient une explication détaillant
l’effet de ce paramètre et éventuellement les interaction avec d’autre paramètres de stratégie. Le
Page 6 / 20
« Créer sa propre stratégie de groupe (GPO) » – Livre Blanc
premier est composé d’une partie invariante quelque soit le paramètre à configuré : cette partie
permet de choisir trois options :
• Non configuré : le paramètre peut être appliqué si une GPO provenant d’un niveau
supérieure est appliquée.
Pour plus d’information sur l’application des stratégies consultez le livre blanc : Windows
2000 Group Policy White Paper
La partie pouvant varier d’un paramètre à l’autre est une interface permettant de configurer le
paramètre. Cette interface est décrite dans le fichier .adm correspondant, ce qui sera vu dans la
partie suivante.
• HKCU\Software\Policies
Cependant l’administrateur pourra trouver utile d’appliquer des valeurs de registres par
stratégies à d’autres emplacements que ceux cités précédemment. La méthode couramment
utilisée auparavant était de rédiger des fichiers de base de registre .reg et de les appliquer
avec un script de connexion. L’administrateur, en utilisant des modèles d’administration
pourra en tirer les avantages suivants :
• Rapidité pour changer une valeur : une fois votre modèle développé, le changement des
valeurs se fait par l’interface graphique.
Page 7 / 20
« Créer sa propre stratégie de groupe (GPO) » – Livre Blanc
Dans le cadre de cette utilisation, il est tout de même important de bien comprendre ces
points :
• Lorsque ce type de valeur est appliqué par GPO et la GPO est ensuite désactivé, les
paramètres, eux restent en place. Il est donc impossible de supprimer les valeur
positionnée de cette façon (il est quand même possible de les écrasée).
• Suivant l’emplacement des paramètres, il est possible que l’utilisateur est les droit
nécessaire pour modifier ce paramètre (jusqu’à la prochaine application de la stratégie
qui écrasera ses réglages.
• Par défaut, les modèles d’administration implémentant des valeurs de registre situés à
d’autres emplacements que ceux cité précédemment ne sont pas visibles dans la
console d’édition des stratégies. Pour les rendre visibles :
3. Dans la fenêtre qui s’affiche décochez l’option : Afficher uniquement les paramètre de
stratégie pouvant être entièrement gérés
Lorsqu’un modèle d’administration est ajouté par la console gpedit, la syntaxe du fichier est
validée puis ce fichier est copié. Ce fichier se retrouve ensuite dans SYSVOL à
l’emplacement suivant :
<repertoire de windows>\SYSVOL\sysvol\<votre domaine>\Policies\{<SID de l’OU>}\Adm
Si un fichier .adm est changé, une copie se trouve dans ce répertoire, mais attention à ne
modifier pas celui qui est dans SYSVOL. Lorsqu’une modification doit être apportée au fichier
.adm, il faut éditer une copie de ce fichier (qu’il est possible de stocker n’importe où) puis
l’importer dans la console gpedit selon la procédure décrite plus haut. Ce fichier viendra alors
remplacer la version précédente stockée dans SYSVOL et une fenêtre standard de copie de
fichier doit s’afficher :
Page 8 / 20
« Créer sa propre stratégie de groupe (GPO) » – Livre Blanc
Bien sûr, si le fichier doit être remplacé, il faut que ce dernier porte le même nom que la
version précédente.
Etant donné que tous les modèles d’administration sont stockés dans SYSVOL, ils seront
répliqués sur tous les contrôleurs de domaine grâce au Service de réplication de fichiers qui
se déclenche a chaque changement ou périodiquement tout comme le service de réplication
de l’annuaire Active Directory. Pour plus d’information sur le FRS (File Replication Service)
consultez cette page : http://support.microsoft.com/default.aspx?scid=kb;en-us;323247
Page 9 / 20
« Créer sa propre stratégie de groupe (GPO) » – Livre Blanc
En rédigeant le fichier .adm suivant avec un éditeur de texte tel que le Bloc Notes :
CLASS MACHINE
CATEGORY !!OutlookExpressCategorie
KEYNAME "Software\Microsoft\Outlook Express"
POLICY !!DisableHttpMail
EXPLAIN !!DisableHttpMail_Explain
VALUENAME "HTTP Mail Enabled"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY
Page 10 / 20
« Créer sa propre stratégie de groupe (GPO) » – Livre Blanc
END CATEGORY
[strings]
OutlookExpressCategorie="Reglages Outlook Express [exemple]"
DisableHttpMail="Descativer les comptes mail HTTP"
DisableHttpMail_Explain="Permet d'empecher l'utilisation de compte mail HTTP
dans Outlook 6.0"
Charger ensuite ce fichier selon la procédure décrite dans la section précédente. Les nouveaux
items doivent apparaître dans la console d’édition de stratégie :
Page 11 / 20
« Créer sa propre stratégie de groupe (GPO) » – Livre Blanc
Il est ensuite possible d’activer cette option pour désactiver les comptes mail HTTP dans Outlook
Express :
• Si activé est sélectionné, la valeur
« HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Outlook Express\Http mail enabled » sera
mise à 1.
Une fois ce paramètre activé, il est possible de constater après application des GPO que la fenêtre
d’ajout de compte d’Outlook Express a changé : l’option compte HTTP a disparue :
Page 12 / 20
« Créer sa propre stratégie de groupe (GPO) » – Livre Blanc
• Commentaire
• Chaînes de caractère
• CLASS
• CATEGORY
• POLICY
• PART
Les parties marquées en rouge constituent les éléments nécessaires pour que le fichier .adm ait
une syntaxe valide :
CLASS MACHINE
CATEGORY !!OutlookExpressCategorie //nom de la catégorie
KEYNAME "Software\Microsoft\Outlook Express" // la clé de registre
POLICY !!DisableHttpMail // nom de la policy
EXPLAIN !!DisableHttpMail_Explain // affiche le texte explicatif
// dans l’onglet d’explication
VALUENAME "HTTP Mail Enabled" //valeur de registre à paramétrer
VALUEON NUMERIC 1 // indique que activé = 1
VALUEOFF NUMERIC 0 // et désactivé = 0
END POLICY
END CATEGORY
[strings]
OutlookExpressCategorie="Reglages Outlook Express [exemple]"
DisableHttpMail="Descativer les comptes mail HTTP"
DisableHttpMail_Explain="Permet d'empêcher l'utilisation de compte mail HTTP
dans Outlook 6.0"
Commentaires
Les commentaires sont importants dans un fichier .adm surtout si ce dernier doit être maintenu
par plusieurs personnes. Dans le langage .adm, un commentaire commence par le caractère (;)
ou les caractères (//)
Exemple
//commentaire
;encore un commentaire
CLASS MACHINE // à la fin d’une ligne valide
CATEGORY !!OutlookExpressCategorie
KEYNAME "Software\Microsoft\Outlook Express"
END CATEGORY
Page 13 / 20
« Créer sa propre stratégie de groupe (GPO) » – Livre Blanc
Chaînes de caractères
Il existe deux façons de définir une chaîne de caractères :
Les chaînes littérales défini entre les caractères des guillemets (") et les chaînes de caractère
contenu dans des variables. Dans ce cas il faut précéder le nom de variable par deux points
d'exclamation (!!), la valeur de cette variable sera ensuite définie dans la section [strings]
comme dans l'exemple suivant :
CLASS MACHINE
CATEGORY !!ChaineDefinieDansUneVariable
KEYNAME "Software\Microsoft\Outlook Express" //chaine litterale
END CATEGORY
[strings]
ChaineDefinieDansUneVariable="valeur de la variable"
Recommandation : il est recommandé de placer toutes les chaînes de caractère dans la section
[strings]. Cela permet de faciliter la traduction.
CLASS
Cet élément est le premier élément d'un fichier .adm. Il permet de spécifier dans quel nœud
(Paramètre Ordinateur ou Paramètre Utilisateur) va apparaître la stratégie dans l'éditeur de GPO.
Syntaxe
nom
Défini le type CLASS cela doit être MACHINE ou USER.
Exemple
CLASS MACHINE
CLASS USER
NB : Un fichier .adm peut contenir plusieurs CLASS USER et MACHINE, les stratégies seront
réparties dans les nœuds correspondants lors du chargement du fichier .adm.
CATEGORY
Après avoir déterminé la CLASS utilisateur ou ordinateur pour cette stratégie. Vous pouvez
utiliser des CATEGORY pour créer des noeuds dans lesquels seront organisés vos paramètres
de stratégie.
Syntaxe
Page 14 / 20
« Créer sa propre stratégie de groupe (GPO) » – Livre Blanc
CATEGORY !!nom
KEYNAME nom de la clé
[plusieurs blocs POLICY possible]
END CATEGORY
nom
Chaîne de caractère indiquant le nom de la catégorie tel qu'il apparaîtra dans l'arborescence
des modèles d'administration dans l'éditeur de GPO.
Nom de la clé
Optionel
Le nom de la clé de registre qui sera utilisée. Si cette clé est spécifié toutes les sous-
catégories utiliserons ce nom de clé a moins qu'elle ne procure leur prore nom de clé de
registre.
Ne préfixé pas le nom de clé de HKEY_LOCAL_MACHINE ou de HKEY_CURRENT_USER
c'est l'instruction CLASS qui déterminera lequel des deux doit être utilisé.
Exemple
CLASS USER
CATEGORY !!Parent
KEYNAME "Software\Policies\System"
; <Mettre une POLICY ici>
CATEGORY !!Enfant
; <Mettre une POLICY ici>
END CATEGORY
END CATEGORY
[strings]
Parent="Noeud parent"
Enfant="Noeud enfant"
Page 15 / 20
« Créer sa propre stratégie de groupe (GPO) » – Livre Blanc
POLICY
Pour définir les paramètres de stratégie qu'un utilisateur pourra modifier, il faut utiliser le mot clé
POLICY. Une POLICY ainsi que tous les contrôles qui lui sont associés sont affiché dans une boîte de
dialogue.
Syntaxe
POLICY nom
[KEYNAME nom de la clé]
EXPLAIN texte d'explication
VALUENAME nom de la valeur
[plusieur blocs PART possible]
END POLICY
nom
Nom de la clé
Optionnel
Ne pas préfixer le nom de clé de HKEY_LOCAL_MACHINE ou de HKEY_CURRENT_USER
c'est l'instruction CLASS qui déterminera quelle clé doit être utilisée.
Texte d'explication
C'est le texte de description du paramètre de stratégie tel qu'il apparaîtra dans l'onglet
Expliquer.
Nom de la valeur
Exemple
CLASS MACHINE
CATEGORY !!OutlookExpressCategorie
KEYNAME "Software\Microsoft\Outlook Express"
POLICY !!DisableHttpMail
EXPLAIN !!DisableHttpMail_Explain
VALUENAME "HTTP Mail Enabled"
Page 16 / 20
« Créer sa propre stratégie de groupe (GPO) » – Livre Blanc
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
PART !!TexteAstuce TEXT
END PART
END POLICY
END CATEGORY
[strings]
OutlookExpressCategorie="Reglages Outlook Express [exemple]"
DisableHttpMail="Descativer les comptes mail HTTP"
DisableHttpMail_Explain="Permet d'empecher l'utilisation de compte mail HTTP
dans Outlook 6.0"
TexteAstuce="Activer cette option pour désactiver les comptes mail http"
Page 17 / 20
« Créer sa propre stratégie de groupe (GPO) » – Livre Blanc
PART
Il est possible d’utiliser des PART pour construire une interface utilisateur simple qui va permettre à
l'administrateur de donner plus d'information pour le paramètre de stratégie.
Syntaxe
nom
type
LISTBOX Affiche une liste avec des boutons Ajouter et Supprimer. C'est le
seul PART qui peut gérer plusieurs valeurs dans une clé.
EDITTEXT Affiche une zone de texte éditable qui permet d'ajouter du texte
alphanumérique stocké dans le registre avec le type REG_SZ ou
REG_EXPAND_SZ.
NUMERIC Affiche une zone de texte numérique. La valeur est enregistrée dans
le registre au format REG_DWORD.
nom de la clé
Optionnel
Ne pas préfixer le nom de clé de HKEY_LOCAL_MACHINE ou de HKEY_CURRENT_USER
c'est l'instruction CLASS qui déterminera quelle clé doit être utilisée.
Nom de la valeur
Page 18 / 20
« Créer sa propre stratégie de groupe (GPO) » – Livre Blanc
registre de type REG_DWORD à 1. Il est possible de spécifier d'autre valeur que les valeurs
par défaut en utilisant les mots clés VALUEON et VALUEOFF utilisez ces mots clés de la
façon suivante :
VALUEON on value (ex : VALUEON 1)
VALUEOFF off value (ex : VALUEOFF 3)
Page 19 / 20
« Créer sa propre stratégie de groupe (GPO) » – Livre Blanc
Conclusion
Ce livre blanc a présenté les stratégies basées sur des valeurs de registre. Vous savez
maintenant appliquer des valeurs de registre par GPO et développer vos propres modèles
d'administrations. Vous savez également construire des interfaces simples qui vont permettre de
simplifier et de rendre plus intuitives les modifications de ces paramètres de stratégie.
Page 20 / 20