Créer sa propre stratégie de groupe (gpo)



Yüklə 85 Kb.
tarix01.11.2017
ölçüsü85 Kb.


Créer sa propre stratégie de groupe (GPO)





Quentin Personeni

SupporTech INSA .NET

INSA de Lyon

Publication : Juillet 2004

Résumé

Cet article décrit la méthode pour créer ses propres stratégies en écrivant ses propres modèles d’administration (.adm). Il s’adresse aux administrateurs de domaine Active Directory sous Windows 2000 Server ou Windows Server 2003 qui souhaitent appliquer, par stratégies (GPO), d’autres paramètres que ceux proposés par les modèles d’administration standards.


Sommaire


Sommaire 3

Introduction 4

Présentation des stratégie basées sur des valeurs de registre 5

Stratégies et préférences 5

Différences entre stratégie et préférence 5

Utilisation des Modèles d’administration 6

Modèles d’administration personnalisés 7

Utilisation de fichier .adm pour appliquer des clés de registres quelconques 7

Gestion des versions et déploiement 8

Développer ses fichiers .adm 10

Exemple 10

Structure d’un fichier .adm 13

Commentaires 13

Chaînes de caractères 14

CLASS 14


Syntaxe 14

Exemple 14

CATEGORY 14

Syntaxe 14

Exemple 15

POLICY 16

Syntaxe 16

Exemple 16

PART 18

Syntaxe 18



Conclusion 20


Introduction


Dans un domaine Active Directory, les stratégies de groupe (GPO) constituent le moyen le plus sûr et le plus efficace d’appliquer des paramètres aux objets d’un Site, d’un Domaine ou d’une Unité Organisationnelle (OU).

Une stratégie de groupe comprend les composants suivants :



  • Modèle d’administration : Application de valeurs de registre.

  • Installation de logiciel 

  • Scripts : script d’ouverture/fermeture de session utilisateur, ou de démarrage/arrêt d’ordinateurs.

  • Paramètres de Sécurité

  • Maintenance d’Internet Explorer : Administration d’Internet Explorer.

  • Redirection de dossier : redirection des dossiers vers des emplacements réseaux.

Les stratégies basées sur des valeurs de registre permettent à un administrateur de forcer des paramètres Utilisateurs ou Machines. Les utilisateurs ne peuvent ensuite pas changer ces paramètres. Ce document concerne uniquement ce type de stratégie et détaille les points suivants :

  • Présentation des stratégies basées sur des valeurs de registre.

  • Utilisation des modèles d’administration

  • Développement de fichiers .adm.




    Etre capable de développer ses propres paramètres de stratégie peut être utile dans les cas suivants :

  • Appliquer des stratégies qui ne sont pas disponibles dans les modèles d’administration disponibles par défaut

  • Appliquer des valeurs de registre quelconques (valeurs autres que des valeurs de stratégie)

  • Ajouter le support des stratégies de groupe aux applications développées en interne

  • Mieux comprendre le fonctionnement des stratégies basées sur des valeurs de registre


Présentation des stratégie basées sur des valeurs de registre


Les stratégies basées sur des valeurs de registre sont les plus courantes et les plus simples à mettre en œuvre. Pour les configurer, il est possible d’utiliser :

  • Du côté serveur : le composant logiciel enfichable d’édition de stratégies : gpedit.msc, dans la section modèles d’administration

  • Sur un poste client avec l’éditeur de base de registre regedit.exe

Il existe deux classes de stratégies : les stratégies utilisateurs et les stratégies ordinateurs. Ces paramètres sont stockés dans la base de registre aux emplacements suivants :

Stratégies ordinateurs :



  • HKLM\Software\Policies (Emplacement conseillé)

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Policies (obsolète, à éviter)

Stratégies utilisateurs :

  • HKCU\Software\Policies (Emplacement conseillé)

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies

Les droits positionnés sur ces emplacements sont tels qu’un utilisateur standard ne pourra pas éditer les valeur appliquées par la stratégie. Les clés sont créées à l’application de la stratégie. Si une GPO est désactivée, la clé associée est supprimée.

Stratégies et préférences


Les préférences et les stratégies peuvent toutes les deux être implémentées en utilisant des clés de registre. Les préférences et les stratégies servent toutes deux à appliquer un paramétrage. Elles peuvent être utilisées séparément ou en même temps.

Différences entre stratégie et préférence


Les préférences sont des paramètres appliqués par l’utilisateur ou par Windows lors de l’installation d’un logiciel. Les clés de registre associé à ces préférences ne sont pas situées aux emplacements cités précédemment. Ces paramètres peuvent également être changés par l’utilisateur en utilisant l’interface homme machine du logiciel concerné, ou de Windows s’il s’agit de préférences de Windows. Par exemple, l’utilisateur pourra changer le papier peint de son bureau, ou changer désactiver la vérification automatique d’orthographe dans Word.

Les paramètres appliqués par stratégies sont généralement mis en place par l’administrateur et sont prioritaires sur les préférences. Il peut s’agir de paramètres identiques à ceux applicables par préférences. Par exemple l’administrateur pourra imposer par GPO l’utilisation d’un certain papier peint sur le bureau de tous les utilisateurs d’une Unité Organisationnelle, dans ce cas les préférences concernant le papier peint ayant été appliquées par les utilisateurs seront ignorées. Les paramétrages appliqués par stratégies sont donc prioritaires sur les préférences mais ne les écrasent pas : les paramètres de préférences persistent dans la base de registre car elles utilisent des clés de registre différentes. Si on reprend l’exemple précédent : dès que l’administrateur retirera la stratégie qui force le papier peint du bureau, les préférences des utilisateurs seront restaurées et ils retrouverons leur bureau tel qu’ils l’avaient paramétrés avant l’application de la stratégie.

La plupart des applications compatibles avec les GPO offrent la possibilité d’appliquer des paramètres par préférence ou par stratégie. Voici ci-dessous un tableau qui résume tous les scénarios possibles lorsqu’un paramètre est applicable des deux façons.


Scénario

Préférence présente

Stratégie présente

Est appliquée

1

Non

Non

Valeur par défaut

2

Oui

Non

Préférence

3

Non

Oui

Stratégie

4

Oui

Oui

Stratégie


Utilisation des Modèles d’administration


Pour charger un fichier modèle d’administration (.adm) :

  1. Charger le composant logiciel enfichable d’édition de GPO

  • En ligne de commande, taper : GPEDIT.msc

  • Dans “Paramètre Ordinateur” ou Paramètre Utilisateurs”, faire un clic droit sur Modèles d’administration.

  1. Dans le menu contextuel qui apparaît, choisir Ajout/Suppression de modèle.

  2. Un fenêtre permettant d’ajouter ou de supprimer des fichiers .adm apparaît. Cliquer sur Ajouter.

  3. Choisir le fichier à ajouter.

  4. Cliquer sur Ouvrir.

  5. Si le fichier .adm est correctement chargé, la fenêtre retourne à l’étape 4. C’est terminé.

  6. Si le fichier .adm contient des erreurs, une fenêtre décrivant ces erreurs sera affichée. Dans ce cas :

  • Noter les erreurs, cliquer ensuite sur OK.

  • La fenêtre retourne à l’étape 4, mais le fichier contenant des erreurs figure quand même dans la liste.

  • Sélectionner le composant et le supprimer.

  • Fermer la fenêtre.

Lorsqu’un clic sur un paramètre est fait, une boite dialogue standard permettant de configurer le paramètre s’affiche.

Cette boîte de dialogue comporte deux onglets, le deuxième contient une explication détaillant l’effet de ce paramètre et éventuellement les interaction avec d’autre paramètres de stratégie. Le premier est composé d’une partie invariante quelque soit le paramètre à configuré : cette partie permet de choisir trois options :



  • Activé : le paramètre est activé et sera appliqué lorsque la stratégie s’applique

  • Désactivé : le paramètre ne sera pas appliqué

  • Non configuré : le paramètre peut être appliqué si une GPO provenant d’un niveau supérieure est appliquée.

Exemple : Dans une unité organisationnelle, la stratégie masquant l’icône du « Poste de Travail » sur le bureau est non configuré. Au niveau de tout le domaine une stratégie masquant l’icône du « Poste de Travail » sur le bureau est Activé. Pour ce paramètre et dans l’unité organisationnelle, c’est la stratégie du domaine qui s’appliquera.

Pour plus d’information sur l’application des stratégies consultez le livre blanc : Windows 2000 Group Policy White Paper

La partie pouvant varier d’un paramètre à l’autre est une interface permettant de configurer le paramètre. Cette interface est décrite dans le fichier .adm correspondant, ce qui sera vu dans la partie suivante.

Modèles d’administration personnalisés


Il est possible d’écrire ses propres modèles d’administration en écrivant des fichiers au format .adm. Le langage .adm sera détaillé dans la partie suivante. Si un développeur vient de créer une application qui supporte les stratégies, il est alors conseillé de fournir avec l’application un fichier .adm qui permettra aux administrateurs de configurer l’application après son déploiement. Un administrateur peut aussi rédiger ses propres fichiers .adm afin d’appliquer aux utilisateurs certaines valeurs de registre.

Utilisation de fichier .adm pour appliquer des clés de registres quelconques


Les stratégies servent principalement à appliquer des valeurs de registre aux emplacements réservés aux stratégies :

  • HKLM\Software\Policies

  • HKCU\Software\Policies

    Cependant l’administrateur pourra trouver utile d’appliquer des valeurs de registres par stratégies à d’autres emplacements que ceux cités précédemment. La méthode couramment utilisée auparavant était de rédiger des fichiers de base de registre .reg et de les appliquer avec un script de connexion. L’administrateur, en utilisant des modèles d’administration pourra en tirer les avantages suivants :



  • Gestion des paramètres centralisée dans la console gpedit

  • Rapidité pour changer une valeur : une fois votre modèle développé, le changement des valeurs se fait par l’interface graphique.

  • Application des paramètres rapide et garantie : contrairement à l’utilisation de script de connexion, il n’est plus nécessaire d’attendre que les utilisateurs se reconnectent, les paramètre sont appliqué lorsque les GPO sont rafraîchies.

    Dans le cadre de cette utilisation, il est tout de même important de bien comprendre ces points :



  • Lorsque ce type de valeur est appliqué par GPO et la GPO est ensuite désactivé, les paramètres, eux restent en place. Il est donc impossible de supprimer les valeur positionnée de cette façon (il est quand même possible de les écrasée).

  • Suivant l’emplacement des paramètres, il est possible que l’utilisateur est les droit nécessaire pour modifier ce paramètre (jusqu’à la prochaine application de la stratégie qui écrasera ses réglages.

  • Par défaut, les modèles d’administration implémentant des valeurs de registre situés à d’autres emplacements que ceux cité précédemment ne sont pas visibles dans la console d’édition des stratégies. Pour les rendre visibles :

  1. Dans la console gpedit.msc, cliquez sur Modèle d’administration

  2. Cliquez sur le menu affichage, puis sur filtrage.

  3. Dans la fenêtre qui s’affiche décochez l’option : Afficher uniquement les paramètre de stratégie pouvant être entièrement gérés

Gestion des versions et déploiement


    Lorsqu’un modèle d’administration est ajouté par la console gpedit, la syntaxe du fichier est validée puis ce fichier est copié. Ce fichier se retrouve ensuite dans SYSVOL à l’emplacement suivant :

\SYSVOL\sysvol\\Policies\{}\Adm

    Si un fichier .adm est changé, une copie se trouve dans ce répertoire, mais attention à ne modifier pas celui qui est dans SYSVOL. Lorsqu’une modification doit être apportée au fichier .adm, il faut éditer une copie de ce fichier (qu’il est possible de stocker n’importe où) puis l’importer dans la console gpedit selon la procédure décrite plus haut. Ce fichier viendra alors remplacer la version précédente stockée dans SYSVOL et une fenêtre standard de copie de fichier doit s’afficher :



    Bien sûr, si le fichier doit être remplacé, il faut que ce dernier porte le même nom que la version précédente.

    Etant donné que tous les modèles d’administration sont stockés dans SYSVOL, ils seront répliqués sur tous les contrôleurs de domaine grâce au Service de réplication de fichiers qui se déclenche a chaque changement ou périodiquement tout comme le service de réplication de l’annuaire Active Directory. Pour plus d’information sur le FRS (File Replication Service) consultez cette page : http://support.microsoft.com/default.aspx?scid=kb;en-us;323247


Développer ses fichiers .adm

Exemple


Prenons l’exemple de Outlook Express 6, une valeur de registre permet de désactiver l’option de compte de messagerie HTTP. Ce réglage est accessible à l’emplacement :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Outlook Express, la variable est de type DWORD et son nom est « HTTP Mail Enabled » lorsqu’il est a 1, un utilisateur pourra ajouter un compte de messagerie HTTP, si il est à 0, l’utilisateur ne pourra pas.

Voici la fenêtre concernée par ce paramètre dans sa valeur par défaut :

En rédigeant le fichier .adm suivant avec un éditeur de texte tel que le Bloc Notes :

CLASS MACHINE

CATEGORY !!OutlookExpressCategorie

KEYNAME "Software\Microsoft\Outlook Express"

POLICY !!DisableHttpMail

EXPLAIN !!DisableHttpMail_Explain

VALUENAME "HTTP Mail Enabled"

VALUEON NUMERIC 1

VALUEOFF NUMERIC 0

END POLICY

END CATEGORY

[strings]

OutlookExpressCategorie="Reglages Outlook Express [exemple]"

DisableHttpMail="Descativer les comptes mail HTTP"

DisableHttpMail_Explain="Permet d'empecher l'utilisation de compte mail HTTP dans Outlook 6.0"

Charger ensuite ce fichier selon la procédure décrite dans la section précédente. Les nouveaux items doivent apparaître dans la console d’édition de stratégie :

Il est ensuite possible d’activer cette option pour désactiver les comptes mail HTTP dans Outlook Express :



  • Si activé est sélectionné, la valeur « HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Outlook Express\Http mail enabled » sera mise à 1.

  • Si desactivé est sélectionné, la valeur « HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Outlook Express\Http mail enabled » sera mise à 0.

  • Sinon rien ne se passera.

Une fois ce paramètre activé, il est possible de constater après application des GPO que la fenêtre d’ajout de compte d’Outlook Express a changé : l’option compte HTTP a disparue :





Structure d’un fichier .adm


Un fichier .adm peut contenir les éléments suivants :

  • Commentaire

  • Chaînes de caractère

  • CLASS

  • CATEGORY

  • POLICY

  • PART

Les parties marquées en rouge constituent les éléments nécessaires pour que le fichier .adm ait une syntaxe valide :

CLASS MACHINE

CATEGORY !!OutlookExpressCategorie //nom de la catégorie

KEYNAME "Software\Microsoft\Outlook Express" // la clé de registre

POLICY !!DisableHttpMail // nom de la policy

EXPLAIN !!DisableHttpMail_Explain // affiche le texte explicatif

// dans l’onglet d’explication

VALUENAME "HTTP Mail Enabled" //valeur de registre à paramétrer

VALUEON NUMERIC 1 // indique que activé = 1

VALUEOFF NUMERIC 0 // et désactivé = 0

END POLICY

END CATEGORY

[strings]

OutlookExpressCategorie="Reglages Outlook Express [exemple]"

DisableHttpMail="Descativer les comptes mail HTTP"

DisableHttpMail_Explain="Permet d'empêcher l'utilisation de compte mail HTTP dans Outlook 6.0"


Commentaires


Les commentaires sont importants dans un fichier .adm surtout si ce dernier doit être maintenu par plusieurs personnes. Dans le langage .adm, un commentaire commence par le caractère (;) ou les caractères (//)

Exemple


//commentaire

;encore un commentaire

CLASS MACHINE // à la fin d’une ligne valide

CATEGORY !!OutlookExpressCategorie

KEYNAME "Software\Microsoft\Outlook Express"

END CATEGORY

Chaînes de caractères


Il existe deux façons de définir une chaîne de caractères :

Les chaînes littérales défini entre les caractères des guillemets (") et les chaînes de caractère contenu dans des variables. Dans ce cas il faut précéder le nom de variable par deux points d'exclamation (!!), la valeur de cette variable sera ensuite définie dans la section [strings] comme dans l'exemple suivant :

CLASS MACHINE

CATEGORY !!ChaineDefinieDansUneVariable

KEYNAME "Software\Microsoft\Outlook Express" //chaine litterale

END CATEGORY



[strings]

ChaineDefinieDansUneVariable="valeur de la variable"

Recommandation : il est recommandé de placer toutes les chaînes de caractère dans la section [strings]. Cela permet de faciliter la traduction.

CLASS


Cet élément est le premier élément d'un fichier .adm. Il permet de spécifier dans quel nœud (Paramètre Ordinateur ou Paramètre Utilisateur) va apparaître la stratégie dans l'éditeur de GPO.

Syntaxe


Syntaxe de l'élément CLASS

CLASS nom
nom

Défini le type CLASS cela doit être MACHINE ou USER.


Exemple


CLASS MACHINE
CLASS USER

NB : Un fichier .adm peut contenir plusieurs CLASS USER et MACHINE, les stratégies seront réparties dans les nœuds correspondants lors du chargement du fichier .adm.


CATEGORY


Après avoir déterminé la CLASS utilisateur ou ordinateur pour cette stratégie. Vous pouvez utiliser des CATEGORY pour créer des noeuds dans lesquels seront organisés vos paramètres de stratégie.

NB : Imbriquer des CATEGORY pour mieux organiser vos paramètres de stratégies.


Syntaxe


Syntaxe d'une CATEGORY
CATEGORY !!nom

KEYNAME nom de la clé

[plusieurs blocs POLICY possible]

END CATEGORY
nom

Chaîne de caractère indiquant le nom de la catégorie tel qu'il apparaîtra dans l'arborescence des modèles d'administration dans l'éditeur de GPO.


Nom de la clé

Optionel


Le nom de la clé de registre qui sera utilisée. Si cette clé est spécifié toutes les sous-catégories utiliserons ce nom de clé a moins qu'elle ne procure leur prore nom de clé de registre.

Ne préfixé pas le nom de clé de HKEY_LOCAL_MACHINE ou de HKEY_CURRENT_USER c'est l'instruction CLASS qui déterminera lequel des deux doit être utilisé.


Plusieurs blocs POLICY possibles

Une catégorie peut contenir zéro ou plusieurs blocs POLICY.


Exemple


CLASS USER
CATEGORY !!Parent

KEYNAME "Software\Policies\System"

;

CATEGORY !!Enfant

;

END CATEGORY

END CATEGORY

[strings]

Parent="Noeud parent"

Enfant="Noeud enfant"



POLICY


Pour définir les paramètres de stratégie qu'un utilisateur pourra modifier, il faut utiliser le mot clé POLICY. Une POLICY ainsi que tous les contrôles qui lui sont associés sont affiché dans une boîte de dialogue.

Syntaxe


POLICY nom

[KEYNAME nom de la clé]



EXPLAIN texte d'explication

VALUENAME nom de la valeur

[plusieur blocs PART possible]



END POLICY
nom

Le nom du paramètre de stratégie tel qu'il apparaîtra dans l'éditeur de GPO.


Nom de la clé

Optionnel

Ne pas préfixer le nom de clé de HKEY_LOCAL_MACHINE ou de HKEY_CURRENT_USER c'est l'instruction CLASS qui déterminera quelle clé doit être utilisée.
Texte d'explication

C'est le texte de description du paramètre de stratégie tel qu'il apparaîtra dans l'onglet Expliquer.


Nom de la valeur

Nom de la valeur de registre à modifier. Actionner cette stratégie positionne la valeur de registre de type REG_DWORD à 1. Il est possible de spécifier d'autre valeur que les valeurs par défaut en utilisant les mots clés VALUEON et VALUEOFF. Il faut utiliser ces mots clés de la façon suivante :



VALUEON on value (ex : VALUEON 1)

VALUEOFF off value (ex : VALUEOFF 3)

Plusieurs blocs part possible

Zéro ou plusieurs blocs PART.


Exemple


CLASS MACHINE

CATEGORY !!OutlookExpressCategorie

KEYNAME "Software\Microsoft\Outlook Express"

POLICY !!DisableHttpMail

EXPLAIN !!DisableHttpMail_Explain

VALUENAME "HTTP Mail Enabled"

VALUEON NUMERIC 1

VALUEOFF NUMERIC 0

PART !!TexteAstuce TEXT

END PART


END POLICY

END CATEGORY

[strings]

OutlookExpressCategorie="Reglages Outlook Express [exemple]"

DisableHttpMail="Descativer les comptes mail HTTP"

DisableHttpMail_Explain="Permet d'empecher l'utilisation de compte mail HTTP dans Outlook 6.0"

TexteAstuce="Activer cette option pour désactiver les comptes mail http"




PART


Il est possible d’utiliser des PART pour construire une interface utilisateur simple qui va permettre à l'administrateur de donner plus d'information pour le paramètre de stratégie.

Syntaxe



PART nom type

Donneés dépendante du type

[KEYNAME nom de la clé]



VALUENAME nom de la valeur

END PART
nom

Nom du PART tel qu'il apparaîtra dans l'éditeur de GPO.


type

  • Un type de PART qui peut être un de ces types :

CHECKBOX

Affiche un case à cocher (check box). La valeur de registre sera du type REG_DWORD. 0 si la case n'est pas cochée, autre chose dans le cas contraire.

COMBOBOX

Affiche une combo box

DROPDOWNLIST

Affiche une combo box en forme de liste déroulante. L'utilisateur pourra choisir uniquement une des propositions

LISTBOX

Affiche une liste avec des boutons Ajouter et Supprimer. C'est le seul PART qui peut gérer plusieurs valeurs dans une clé.

EDITTEXT

Affiche une zone de texte éditable qui permet d'ajouter du texte alphanumérique stocké dans le registre avec le type REG_SZ ou REG_EXPAND_SZ.

TEXT

Affiche juste une ligne de texte statique

NUMERIC

Affiche une zone de texte numérique. La valeur est enregistrée dans le registre au format REG_DWORD.


Données dépendantes du type

Information qui dépendent du type de PART.


nom de la clé

Optionnel

Ne pas préfixer le nom de clé de HKEY_LOCAL_MACHINE ou de HKEY_CURRENT_USER c'est l'instruction CLASS qui déterminera quelle clé doit être utilisée.
Nom de la valeur

Nom de la valeur de registre à modifier. Actionner cette stratégie positionne la valeur de registre de type REG_DWORD à 1. Il est possible de spécifier d'autre valeur que les valeurs par défaut en utilisant les mots clés VALUEON et VALUEOFF utilisez ces mots clés de la façon suivante :



VALUEON on value (ex : VALUEON 1)

VALUEOFF off value (ex : VALUEOFF 3)



Conclusion


Ce livre blanc a présenté les stratégies basées sur des valeurs de registre. Vous savez maintenant appliquer des valeurs de registre par GPO et développer vos propres modèles d'administrations. Vous savez également construire des interfaces simples qui vont permettre de simplifier et de rendre plus intuitives les modifications de ces paramètres de stratégie.

Dostları ilə paylaş:


Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©muhaz.org 2017
rəhbərliyinə müraciət

    Ana səhifə