gestion de parcs dordinateurs inf-1017. contenu du cours 4 stratégies de groupe –composant dune...

GESTION DE PARCS D’ORDINATEURS

INF-1017

Contenu du cours 4• Stratégies de groupe

– Composant d’une stratégie de groupe• Objets stratégies de groupe

– Gestion des stratégies de groupe• Accès à une stratégie de groupe

• Ordre d’héritage

• Annulation de l’héritage

• Définir l’étendue d’une GPO

– Création d’un objet stratégie de groupe (GPO)• Filtrage des GPO avec les ACL

• Exemple de GPO: Mots de passe complexes


– Éditeur de GPO (paramètres de configuration)• Recherche de liens de GPO

• Actualisation de la stratégie de groupe

• Spécifier des scripts avec des stratégies de groupe

– Stratégie de groupe et redirection de dossier– Paramètres de sécurité– Modèles d’administration

• Restreindre Internet Explorer

• Empêcher l’installation ou l’exécution des logiciels non autorisés


– Définir la stratégie de mot de passe et verrouillage de compte

– Dépannage des stratégies de groupe• Exécution d’une requête RSoP

• Mode planification RSoP

• Mode journalisation

• LECTURES: Chapitre 9 (WIN SERVER 2003)

• Notes de cours (site ftp UQTR)

STRATÉGIE DE GROUPE

• Stratégie de groupe (GPO)– Les GPO permettent de configurer et gérer des

ordinateurs et des utilisateurs. – Les GPO peuvent être appliquées à un domaine complet,

aux UO ou à des groupes d’utilisateurs ou d’ordinateurs.– Les GPO peuvent utilisées pour par exemple:

• Déployer des application à grande échelle

• Définir divers paramètres de configuration de l’environnement de travail d’utilisateurs

• Prévenir l’installation défendue de programmes ou d’applications


• Stratégie de groupe (GPO)– Les GPO sont catégorisées en trois groupes distinct:

User, Computer, Administrative Template– GPO pour des utilisateurs (exemples):

• Comportements spécifiques du OS

• Paramètres du bureau

• Paramètres de sécurité

• Assigner et publier des options d’applications

• Paramètres d’applications

• Options de redirection de fichiers

• Scripts divers (logon, logout)

– Ces GPO sont appliquées au logon


• Stratégie de groupe (GPO)– GPO pour des ordinateurs (exemples):

• Comportements spécifiques du OS

• Comportements du bureau

• Paramètres de sécurité

• Options d’applications

• Paramètres d’applications

• Scripts divers (strartup, shutdown)

– Ces GPO sont appliquées lors du démarrage du OS


• Stratégie de groupe (GPO)– GPO Administrative template

• Plusieurs fichiers template (.adm) appelés administrative template fournissent des informations stratégiques sur chaque item dans le dossier Administrative Template.

• Les Administrative Template comportent aussi des paramètres du registre pour les items du dossier User Configuration et Computer Configuration.


• Composant d’une stratégie de groupe– La stratégie de groupe peut s’appliquer à un domaine ou

à aucun domaine (stratégies de sécurité locales) et est constituée de plusieurs composantes configurables:

• Modèles d’administration: Fournissent des informations de stratégie pour les éléments qui apparaissent sous le dossier Modèles d’administrations. Ce dossier est présent dans l’arborescence de l’Éditeur d’objet de Stratégie de groupe. Ces politiques affectent l’interface utilisateur, les outils disponibles et les configurations du bureau.

• Paramètres de sécurité: Configure la sécurité des utilisateurs, des ordinateurs et des domaines. Limitent l’accès des utilisateurs aux GPO systèmes et comptes utilisateurs.


• Composant d’une stratégie de groupe– La stratégie de groupe est constituée de plusieurs

composantes configurables:• Scripts: Précise les scripts d’arrêt et de démarrage des

ordinateurs ainsi que les scripts d’ouverture et de fermeture de session

• Redirection de dossiers: Positionne les dossiers spéciaux (dossiers dans les profils d’utilisateurs: ex. menu Démarrer et le Bureau) tels que Mes Documents pour qu’il soient stockés dans un emplacement centralisé ou spécifie les dossiers d’application sur le réseau

• Logiciel: Attribue les applications aux utilisateurs par publication de logiciels sur le réseau


• Composant d’une stratégie de groupe– Objets stratégie de groupe

• Les paramètres de la stratégie de groupe sont stockés dans un objet stratégie de groupe (GPO)

• Les GPO sont stockées au niveau du domaine et sont associés à un objet AD, un site, un domaine, un contrôleur de domaine ou une OU

• Plusieurs GPO peuvent s’appliquer à un domaine, DC, OU

• Une GPO peut être liée à plusieurs sites, domaines, DCs, OUs


• Gestion des Stratégies de groupe (GPO)– Les GPO sont héritées et cumulatives. Lorsqu’une GPO

est associée à un conteneur AD cette GPO est aussi appliquée à tous les ordinateurs et comptes utilisateurs du conteneur

– WINDOWS SERVER 2003 applique le modèle LSDOU pour l’application de l’héritage. L’ordre d’application des GPO et leur héritage suit l’ordre suivant: Local Computer (L) -> Site (S) -> Domain (D) -> Organizational unit (OU)

– Accès à une stratégie de groupe• Il est possible de créer et/ou modifier les GPO selon le type de

stratégie de groupe que vous voulez mettre en oeuvre


• Gestion des Stratégies de groupe– Accès à (application d’) une stratégie de groupe


• Gestion des stratégies de groupe– Ordre d’héritage


• Gestion des stratégies de groupe– Ordre d’héritage

• Règles générales

GPO Conteneur parent

Conteneur fils Conteneur fils


• Gestion des Stratégies de groupe– Ordre d’héritage

• Règles générales– Une GPO parent s’applique aux fils

– Par contre, si une GPO spécifique est appliquée au fils et qu’elle contredit celle du parent seule celle du fils s’applique

– Si les GPOs ne se contredisent pas elles peuvent être toutes les deux mises en oeuvre


• Gestion des Stratégies de groupe– L’ordre d’héritage des GPO


• Gestion des Stratégies de groupe– Exemple d’héritage des GPO


• Gestion des Stratégies de groupe– Exemple de blocage de l’héritage des GPO

No Override


• Gestion des Stratégies de groupe– Forcer l’héritage

• Marche à suivre pour positionner l’option Ne pas passer outre au niveau d’un conteneur parent

– Ouvrez l’objet GPO à administrer

– Cliquez-droit sur la GPO et sélectionnez Ne pas passer outre (No override) dans la menu contextuel (force l’application des GPO)

– Cliquez OK

– Annulation de l’héritage• Une seconde possibilité est de cocher la case à cocher Bloquer

l’héritage de stratégies dans la boîte de dialogue Propriétés de GPO


• Gestion des Stratégies de groupe– Forcer l’héritage (enforced)


• Gestion des Stratégies de groupe– Annuler l’héritage

X


• Gestion des Stratégies de groupe– Modification de l’héritage

• Création d’une GPO au niveau du domaine

qui installe l’antivirus avec l’option

No Override activée

• Création d’une GPO au niveau du domaine

qui installe la suite OFFICE

• Au niveau de l’OU Payroll, activer l’option

Block Policy Inheritance

• Modifier (filtrer) le DACL du GPO

(accounting application) pour que

l’application de la GPO soit refuser

(DENY) au groupe de machines des

administrateurs de l’OU Payroll


• Gestion des stratégies de groupe– Définir l’étendue d’une GPO

• Pour établir l’étendue d’une GPO, il faut créer des groupes de sécurité et attribuer uniquement les permissions Lire et Appliquer la stratégie de groupe aux groupes auxquels s’applique la GPO

• Pour paramétrer les accès aux GPO:– Ouvrez la GPO à administrer avec l’Éditeur de Stratégies de groupe

– Cliquez-droit sur la GPO et sélectionnez Propriétés

– Cliquez sur l’onglet Sécurité

– Ajouter ou supprimez des groupes ou modifiez des paramètres, cliquez sur OK autant de fois qu’il y a de fenêtres d’ouvertes


• Gestion des stratégies de groupe– Définir l’étendue d’une GPO

• Paramétrage de l’étendue d’une GPO

STRATÉGIE DE GROUPE• Gestion des stratégies de groupe

– Définir l’étendue d’une GPO• Paramétrage des stratégies des groupes de sécurité


• Création d’un objet stratégie de groupe– Étapes de configuration d’une GPO

• Démarrez Utilisateurs et ordinateurs AD

• Cliquez-droit sur l’objet pour lequel vous désirez créer une GPO et sélectionnez Propriétés dans le menu contextuel

• Cliquez sur l’onglet Stratégies de groupe puis sur Ajouter

• Saisissez le nom de la nouvelle GPO et choisissez un des boutons suivants:

– Ajouter: Pour ajouter un lien à la nouvelle stratégie

– Modifier: Pour ouvrir la nouvelle GPO avec l’Éditeur de Stratégie de groupe

– Options: Positionne l’option Ne pas passer outre ou désactive la GPO


• Création d’un objet stratégie de groupe– Étapes de configuration du GPO

• Saisissez le nom du nouveau GPO et choisissez un des boutons suivants:

– Supprimer: Supprime la GPO ou la retire de la liste (reste dans AD mais n’est plus appliquée)

– Propriétés: Paramètre le filtrage de la GPO à l’aide des groupes de sécurité

• Cliquez sur OK pour terminer


• Création d’un objet stratégie de groupe– Propriétés de la GPO par défaut du domaine


• Création d’un objet stratégie de groupe– Liste des autorisations du GPO


• Création d’un objet stratégie de groupe– Changement de la priorité des GPO (ordre de mise en œuvre)


• Création d’un objet stratégie de groupe– Ajouter une GPO par liaison


• Création d’un objet stratégie de groupe– Filtrage des GPO avec les ACL

• Les groupes Admins du domaine et Administrateurs possèdent l’autorisation Lire et Écrire

• Le groupe Utilisateurs authentifiés possède les autorisations Lire et Appliquer la stratégie de groupe

• Si vous créez par exemple une GPO pour restreindre des paramètres du Bureau mais vous ne voulez pas que cette GP s’applique à tous. Cette GP s’applique aux Utilisateurs authentifiés (tous sauf les invités), ce qui veut dire que les groupes Admins du domaine et Administrateurs reçoivent les paramètres de cette GP

• Pour éviter que ces deux groupes ne récupèrent cette GP, cochez la case Refuser vis-à-vis l’autorisation Appliquer la stratégie de groupe



• ACL d’une GPO avec le groupe Utilisateurs authentifiés



• ACL d’un GPO sans le groupe Utilisateurs authentifiés


• Création d’un objet stratégie de groupe– Exemple de GPO: Mots de passe complexes

• Rappel sur ce qui pour MicroSoft est considéré comme un mot de passe complexe (fort):

– Au moins six caractères de long

– Contient 3/4 types de caractères (Lettres majuscules, minuscules, nombres ou caractères spéciaux)

– Ne contient pas votre nom d’utilisateur

• Activation de la stratégie Le mot de passe doit respecter des exigences de complexité



• Étapes d’activation– Ouvrez la console Utilisateurs et ordinateurs AD

– Cliquez-droit sur l’icône représentant votre annuaire dans le volet gauche, sélectionnez Propriétés. Sélectionnez ensuite l’onglet Stratégie de groupe

– Créez une nouvelle GPO, appelé par exemple, Stratégie Mots de passe complexes et cliquez ensuite sur le bouton Modifier pour ouvrir l’Éditeur d’objets de stratégie de groupe

– Ouvrez le nœud Configuration ordinateur. Cette stratégie affecte toute action sur l’ordinateur concerné (contrôleur de domaine)

– Ouvrez ensuite Paramètres Windows, puis Paramètres de sécurité. Ouvrez ensuite Stratégies de comptes, puis Stratégie de mot de passe



• Étapes d’activation– Dans le dossier Stratégie de mot de passe, double-cliquez sur l’entrée

Le mot de passe doit respecter des exigences de complexité

– Cochez la case Définir ce paramètre de stratégie

– Cliquez ensuite Activé

– Fermer l’Éditeur de GPO

• Déplacez ensuite cette nouvelle stratégie au-dessus de Default Domain Policy dans l’interface graphique (Onglet Stratégie de groupe). Il faut savoir que les GP sont appliquées du bas vers le haut et que Default Domain Policy désactive par défaut la stratégie des mots de passe forts


• Éditeur de GPO (paramètres de configuration)Stratégie de groupe

||---- Stratégie du domaine par défaut

||----Configuration de l’ordinateur| |----Paramètres du logiciel| |----Paramètres WINDOWS| |----Modèles d’administration|----Configuration de l’utilisateur| |----Paramètres du logiciel| |----Paramètres WINDOWS| |----Modèles d’administration


• Éditeur de GPO (paramètres de configuration)– Le nœud Configuration de l’ordinateur permet de personnaliser

les stratégies des ordinateurs du réseau• Les GP sont prises en compte au démarrage du système d’exploitation

• Les GP s’appliquent à tous les utilisateurs qui ouvrent une session sur cet ordinateur

– Ex: Forcer un environnement strict sur des machines localisées dans une salle spécifique

– Le nœud Configuration de l’utilisateur contient les paramètres permettant de personnaliser les environnements ou de configurer les GP des utilisateurs du réseau

• Les GP sont appliquées lors de l’ouverture de session sur le réseau


• Éditeur de GPO (paramètres de configuration)


• Éditeur de GPO (paramètres de configuration)– Recherche de liens de GPO

• Il est important de conserver une trace des liens entre les GPO et les conteneurs AD (domaines, OU)

• Pour déterminer les liens d’un GPO:– Ouvrez l’Éditeur de GPO et cliquez-droit sur la GPO

– Sélectionnez Propriétés dans le menu contextuel

– Cliquez sur l’onglet Liens puis sur Rechercher maintenant pour afficher la liste des liens vers cette GPO


• Éditeur de GPO (paramètres de configuration)– Actualisation de la GPO

• Les modifications des GPO sont immédiates mais ne sont pas propagées instantanément aux machines clientes (+/- 90 min). Les ordinateurs clients interrogent la GPO dans les situations suivantes:

– L’ordinateur démarre

– Un utilisateur ouvre une session

– Une application demande une actualisation

– Un utilisateur demande une actualisation

– Un intervalle d’actualisation de GPO est activé et le délai est écoulé

• Les DC rafraîchissent les GPO plus souvent.


• Éditeur de GPO (paramètres de configuration)– Actualisation de la GPO (Intervalle de rafraîchissement)

• Pour les GPO de machines clientes: Computer Configuration -> Administrative Templates -> System -> Group Policy -> Group Policy refresh interval for computers

• Pour la GPO Default Group Policy d’un DC: Computer Configuration -> Administrative Templates -> System -> Group Policy -> Group Policy refresh interval for domain controllers



• Pour les GPO de machines clientes



• Pour la GPO Default Group Policy d’un DC


• Éditeur de GPO (paramètres de configuration)– Spécifier des scripts avec des stratégies de groupe

• À partir des nœuds Configuration utilisateur ou Configuration ordinateur en utilisant le nœud Paramètres Windows, vous pouvez spécifier des scripts d’ouverture et de fermeture de session ainsi que des scripts de démarrage et d’arrêt

• En sélectionnant le nœud Paramètres Windows vous pouvez ensuite sélectionner le nœud Scripts qui vous permet de sélectionner en double-cliquant sur le type de script dans le volet de droite

• Cliquez Ajouter (Add) pour faire afficher la boîte de dialogue Ajouter un Script. Sélectionnez un nom de fichier. Ex. testscript.js pouvant avoir été créé par Notepad et contenant:

Wscript.echo(“Voici un script de LOGON“);

STRATÉGIE DE GROUPE• Éditeur de GPO (paramètres de configuration)

– Spécifier des scripts avec des stratégies de groupe• Scripts disponibles du nœud Configuration utilisateur


• Stratégie de groupe et redirection de dossier– Une des stratégies les plus utiles du nœud Configuration

utilisateur est celle qui permet d’amener les dossiers Application Data, Bureau, Menu Démarrer, ou Mes Documents à suivre l’utilisateur d’ordinateurs en ordinateurs

– Ces dossiers sont importants dans l’environnement de travail d’un utilisateur

• Application Data: Stocke des informations utilisateur spécifiques aux applications (ex: Internet Explorer)

• Bureau: Contient des dossiers importants et des raccourcis• Menu Démarrer: Groupes de programmes et raccourcis vers

des programmes• Mes Documents: Emplacement par défaut des fichiers


• Stratégie de groupe et redirection de dossier– Pour définir un emplacement réseau pour le dossier Mes

Documents:• Ouvrez l’Éditeur de stratégie de groupe

• Accédez à Configuration utilisateur/Paramètres Windows/Redirection de dossiers/Mes Documents

• Cliquez-droit sur le dossier Mes Documents et choisissez Propriétés dans le menu contextuel

• Choisissez l’option De base dans la liste déroulante pour spécifier un emplacement unique pour le dossier Mes Documents à partager par tous les utilisateurs

• Indiquez simplement l’emplacement réseau du dossier cible ou parcourez le réseau pour le localiser


• Stratégie de groupe et redirection de dossier– Stratégie de redirection du dossier Mes Documents des utilisateurs d’un groupe

(Bureau d’études) vers le partage DocumentsCentraux du serveur xirius-essais avec l’option De base ou Avancé: Créer un dossier pour chaque utilisateur sous le chemin racine


• Stratégie de groupe et redirection de dossier– Paramètres de redirection pour le dossier Mes Documents


• Paramètres de sécurité– Lorsque vous voulez renforcer la sécurité vous devez le

plus possible effectuer des modifications standardisées– La majorité des paramètres de sécurité se trouvent dans

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité, par exemple:

• Stratégies de comptes: Restrictions de mot de passe, verrouillage de compte

• Système de fichier: Crée des modèles de sécurité pour les autorisation sur des fichiers ou dossiers

• Stratégie de restriction logicielle: Définit les restrictions liées aux logiciels qui s’exécutent sur un système. Empêche que des logiciels non approuvés (ex: virus) s’exécute sur un système


• Modèles d’administration


• Modèles d’administration– La section Modèles d’administration de l’Éditeur

d’objets de stratégies de groupe réunis un grand nombre d’options de configuration, plus ou moins organisées, dans le but d’alléger la tâche de l’administrateur, pour l’aider à gérer ses réseaux et ses utilisateurs

– Ex: Restreindre Internet Explorer• Paramètres utiles:

– Pour empêcher les utilisateurs de faire n’importe quoi avec les zones de sécurité et les paramètres de proxy

» Activez les paramètres pour les zones de sécurité et le proxy sous Configuration ordinateur/Modèles d’administration/Composants Windows/Internet Explorer et ceci pour tous les utilisateurs



– Ex: Restreindre Internet Explorer• Paramètres utiles:

– Pour empêcher de télécharger du contenu sur leur poste de travail

» Activez la stratégie Désactiver l’ajout de planifications pour les pages hors connexion sous Configuration utilisateur/Modèles d’administration/Composants Windows/Internet Explorer/ Page hors connexion

– Pour empêcher les utilisateurs de modifier les pages Sécurité, Connexions ou Avancé d’Internet Explorer

» Désactivez l’accès à ces pages sous Configuration utilisateur/…/Internet Explorer/Panneau de configuration de Internet



– Restreindre Internet Explorer• Paramètres utiles:

– Pour empêcher de télécharger des logiciels à partir du WEB

» Désactivez l’option Enregistrer ce programme sur disque sous Configuration utilisateur/…/Internet Explorer/Menus du navigateur

» Les utilisateurs peuvent par contre installer le logiciel sans l’enregistrer


• Modèles d’administration– Empêcher l’installation ou l’exécution des logiciels

non autorisés• Pour empêcher les utilisateurs d’installer des logiciels à partir

d’un CD-ROM ou une disquette– Activez la stratégie Éviter l’utilisation de la source média amovible

pour toutes les installations sous Configuration utilisateur/Modèles d’administration/Composants Windows/Windows Installer

– Activez aussi la stratégie Masquer l’option Ajouter un programme à partir d’un CD-ROM ou d’une disquette dans Configuration utilisateur/Modèles d’administration/Panneau de configuration/Ajouter ou supprimer des programmes

– Pour éviter que les utilisateurs contournent ces restrictions, Désactivez l’accès à l’invite de commandes dans Configuration utilisateur/Modèles d’administration/Système


• Modèles d’administration– Empêcher l’installation ou l’exécution des logiciels

non autorisés• Pour autoriser/empêcher des utilisateurs d’exécuter des

applications Windows – Activez la stratégie Exécuter seulement les applications Windows

autorisées sous Configuration utilisateur/Modèles d’administration/Système

– Vous devez par contre dresser la liste des applications qui peuvent être lancées de l’Explorateur Windows

– Vous pourriez aussi au même endroit, activer la stratégie N’exécutez pas les applications Windows spécifiées

– Vous devez alors dresser la liste des applications refusées


• Modèles d’administration– Empêcher l’installation ou l’exécution des logiciels non autorisés

• Pour autoriser/empêcher des utilisateurs d’exécuter des applications Windows

STRATÉGIE DE GROUPE• Modèles d’administration

– Exemple de standardisation du bureau• Enlever l’option RUN du menu Start

– Activez la stratégie Enlever le menu Exécuter du menu Démarrer sous Configuration utilisateur/Modèles d’administration/Menu Démarrer et barre de tâches

• Désactiver l’accès au panneau de contrôle– Activez la stratégie Empêcher l’accès au panneau de contrôle sous Configuration

utilisateur/Modèles d’administration/Panneau de contrôle• Cacher l’icône Mon voisinage réseau sur le bureau

– Activez la stratégie Cacher l’icône Mon voisinage réseau sur le bureau sous Configuration utilisateur/Modèles d’administration/Bureau

• Enlever Connexions réseau du menu Démarrer– Activez la stratégie Enlever Connexions réseau du menu Démarrer sous

Configuration utilisateur/Modèles d’administration/Menu Démarrer et barre de tâches• Activer Enlever « Connecter un Lecteur Réseau » et « Déconnecter un

Lecteur Réseau »– Activez la stratégie Enlever Connexions réseau du menu Démarrer sous

Configuration utilisateur/Modèles d’administration/Composantes WINDOWS/Windows Explorer


• Définir la stratégie de mot de passe et verrouillage de compte– Les paramètres de ces stratégies sont situés sous

Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies de comptes

– La stratégie de mot de passe inclut les options:• Conserver l’historique des mots de passe, pour spécifier le

nombre de mots de passe uniques consécutifs requis

• Durée de vie maximale du mot de passe (intervalle typique de 30 à 90 jours)

• Durée de vie minimale du mot de passe

• Longueur minimale du mot de passe (typiquement 7-8 caractères)


• Définir la stratégie de mot de passe et verrouillage de compte– La stratégie de mot de passe inclut les options:

• Le mot de passe doit respecter des exigences de complexité

• Enregistrer les mots de passe en utilisant un cryptage réversible

• Durée du verrouillage des comptes

• Seuil de verrouillage des comptes (# d’essais infructueux)

• Réinitialiser le compteur de verrouillages du compte après


• Définir une GPO qui empêche le verrouillage d’un ordinateur (LOCK)– Création d’une OU (Engineering) attachée au domaine

Entcert2.com, auquel est ajouté un utilisateur.

– Création d’une autre OU (Sustaining) attachée à l’UO Engineering, auquel est ajouté un utilisateur.

– Sélectionnez la OU Engineering, Properties -> Group Policy -> New (Engineering GPO)

– Cliquez Edit et sélectionnez User Configuration -> Administrative Templates -> System -> CTRL + ALT + DEL options. Double-Cliquez Remove Lock Computer

– Sélectionnez Enabled dans la fenêtre de dialogue Remote Lock Computer Properties.


• Définir une GPO qui empêche le verrouillage d’un ordinateur (LOCK)– Création de 2 OU: Engineering et Sustained


• Définir une GPO qui empêche le verrouillage d’un ordinateur (LOCK)– Création d’une GPO (Engineering GPO)


• Définir une GPO qui empêche le verrouillage d’un ordinateur (LOCK)– Remote Lock Computer Properties (Enabled)


• Dépannage des stratégies de groupe– L’outil jeu de stratégie résultant (Resultant Set of Policy)

regroupe des informations sur toutes les stratégies existantes pour déterminer les GPO effectives et l’ordre de leurs applications

– Les RSoP possède deux modes:• Journalisation: Indique les stratégies appliquées à un

utilisateur et permet de détecter les GPO à supprimer ou à réparer

• Planification: Construit un scénario d’événements permettant de tester les effets d’une nouvelle GPO ou la priorité d’une GPO


• Dépannage des stratégies de groupe– Exécution d’une requête RSoP

• Une requête RSoP peut s’exécuter sur un site, un domaine, un compte utilisateur, compte d’ordinateur, une OU

• Pour exécuter une requête sur un domaine, un ordinateur, un utilisateur ou une OU

– Ouvrez l’outil Utilisateur et ordinateur AD

– Cliquez-droit sur l’objet à interroger, sélectionnez Toutes les tâches et choisissez Jeu de stratégie résultant (planification) ou Jeu de stratégie résultant (journalisation)

– L’assistant RSoP démarre


• Dépannage des stratégies de groupe– Mode planification RSoP

• Permet la simulation des effets d’une modification de votre système

• Si vous envisagez de modifier une GPO (ex: déplacer, ajouter, supprimer un groupe), RSoP vous en décrit les conséquences

• Dans la fenêtre Sélection d’ordinateurs et d’utilisateurs, utilisez Parcourir pour sélectionner l’utilisateur, l’ordinateur, ou le conteneur à analyser et cliquez sur Suivant



• La fenêtre Sélection d’ordinateurs et d’utilisateurs

STRATÉGIE DE GROUPE• Dépannage des stratégies de groupe

– Mode planification RSoP• Affichage des choix par l’assistant RSoP



• Console des résultats RSoP



• Propriétés de Configuration utilisateur (information sur l’erreur)



• Options de planification de l’assistant RSoP– Connexion réseau lent: Certaines GP ne s’appliquent pas à une

connexion lente ou à une connexion à distance. Permet de simuler une connexion lente

– Traitement en boucle: Si vous devez modifier la GP de l’utilisateur en fonction de l’ordinateur sur lequel il ouvre une session. Le traitement en boucle simule l’application des GP à chaque utilisateur qui ouvre une session sur un ordinateur contrôlé par des paramètres de stratégie utilisateur alternés

– Nom de site: Permet de tester le démarrage ou l’ouverture de session sur un sous-réseau différent

– Groupe de sécurité: Simule le résultat des GP en fonction des modifications des appartenances à un groupe de sécurité

– Filtres WMI pour utilisateurs: Relie les filtres WMI (Windows Management Instrumentation) pour générer une stratégie basée sur des informations sélectionnées (ex: les logiciels installés)


• Dépannage des stratégies de groupe– Mode journalisation

• Ce mode est utiliser pour déterminer les stratégies effectives d’un utilisateur ou d’un ordinateur

• Indiquez l’ordinateur sur lequel vous voulez exécuter la requête RSoP et l’utilisateur