Créer sa propre stratégie de groupe (GPO)
Quentin Personeni
SupporTech INSA .NET
INSA de Lyon
Publication : Juillet 2004
Résumé
Cet article décrit la méthode pour créer ses propres stratégies en écrivant ses propres modèles d’administration (.adm). Il s’adresse aux administrateurs de domaine Active Directory sous Windows 2000 Server ou Windows Server 2003 qui souhaitent appliquer, par stratégies (GPO), d’autres paramètres que ceux proposés par les modèles d’administration standards.
Sommaire
Sommaire 3
Introduction 4
Présentation des stratégie basées sur des valeurs de registre 5
Stratégies et préférences 5
Différences entre stratégie et préférence 5
Utilisation des Modèles d’administration 6
Modèles d’administration personnalisés 7
Utilisation de fichier .adm pour appliquer des clés de registres quelconques 7
Gestion des versions et déploiement 8
Développer ses fichiers .adm 10
Exemple 10
Structure d’un fichier .adm 13
Commentaires 13
Chaînes de caractères 14
CLASS 14
Syntaxe 14
Exemple 14
CATEGORY 14
Syntaxe 14
Exemple 15
POLICY 16
Syntaxe 16
Exemple 16
PART 18
Syntaxe 18
Conclusion 20
Introduction
Dans un domaine Active Directory, les stratégies de groupe (GPO) constituent le moyen le plus sûr et le plus efficace d’appliquer des paramètres aux objets d’un Site, d’un Domaine ou d’une Unité Organisationnelle (OU).
Une stratégie de groupe comprend les composants suivants :
-
Modèle d’administration : Application de valeurs de registre.
-
Installation de logiciel
-
Scripts : script d’ouverture/fermeture de session utilisateur, ou de démarrage/arrêt d’ordinateurs.
-
Paramètres de Sécurité
-
Maintenance d’Internet Explorer : Administration d’Internet Explorer.
-
Redirection de dossier : redirection des dossiers vers des emplacements réseaux.
Les stratégies basées sur des valeurs de registre permettent à un administrateur de forcer des paramètres Utilisateurs ou Machines. Les utilisateurs ne peuvent ensuite pas changer ces paramètres. Ce document concerne uniquement ce type de stratégie et détaille les points suivants :
-
Présentation des stratégies basées sur des valeurs de registre.
-
Utilisation des modèles d’administration
-
Développement de fichiers .adm.
Etre capable de développer ses propres paramètres de stratégie peut être utile dans les cas suivants :
-
Appliquer des stratégies qui ne sont pas disponibles dans les modèles d’administration disponibles par défaut
-
Appliquer des valeurs de registre quelconques (valeurs autres que des valeurs de stratégie)
-
Ajouter le support des stratégies de groupe aux applications développées en interne
-
Mieux comprendre le fonctionnement des stratégies basées sur des valeurs de registre
Présentation des stratégie basées sur des valeurs de registre
Les stratégies basées sur des valeurs de registre sont les plus courantes et les plus simples à mettre en œuvre. Pour les configurer, il est possible d’utiliser :
-
Du côté serveur : le composant logiciel enfichable d’édition de stratégies : gpedit.msc, dans la section modèles d’administration
-
Sur un poste client avec l’éditeur de base de registre regedit.exe
Il existe deux classes de stratégies : les stratégies utilisateurs et les stratégies ordinateurs. Ces paramètres sont stockés dans la base de registre aux emplacements suivants :
Stratégies ordinateurs :
-
HKLM\Software\Policies (Emplacement conseillé)
-
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies (obsolète, à éviter)
Stratégies utilisateurs :
-
HKCU\Software\Policies (Emplacement conseillé)
-
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
Les droits positionnés sur ces emplacements sont tels qu’un utilisateur standard ne pourra pas éditer les valeur appliquées par la stratégie. Les clés sont créées à l’application de la stratégie. Si une GPO est désactivée, la clé associée est supprimée.
Stratégies et préférences
Les préférences et les stratégies peuvent toutes les deux être implémentées en utilisant des clés de registre. Les préférences et les stratégies servent toutes deux à appliquer un paramétrage. Elles peuvent être utilisées séparément ou en même temps.
Différences entre stratégie et préférence
Les préférences sont des paramètres appliqués par l’utilisateur ou par Windows lors de l’installation d’un logiciel. Les clés de registre associé à ces préférences ne sont pas situées aux emplacements cités précédemment. Ces paramètres peuvent également être changés par l’utilisateur en utilisant l’interface homme machine du logiciel concerné, ou de Windows s’il s’agit de préférences de Windows. Par exemple, l’utilisateur pourra changer le papier peint de son bureau, ou changer désactiver la vérification automatique d’orthographe dans Word.
Les paramètres appliqués par stratégies sont généralement mis en place par l’administrateur et sont prioritaires sur les préférences. Il peut s’agir de paramètres identiques à ceux applicables par préférences. Par exemple l’administrateur pourra imposer par GPO l’utilisation d’un certain papier peint sur le bureau de tous les utilisateurs d’une Unité Organisationnelle, dans ce cas les préférences concernant le papier peint ayant été appliquées par les utilisateurs seront ignorées. Les paramétrages appliqués par stratégies sont donc prioritaires sur les préférences mais ne les écrasent pas : les paramètres de préférences persistent dans la base de registre car elles utilisent des clés de registre différentes. Si on reprend l’exemple précédent : dès que l’administrateur retirera la stratégie qui force le papier peint du bureau, les préférences des utilisateurs seront restaurées et ils retrouverons leur bureau tel qu’ils l’avaient paramétrés avant l’application de la stratégie.
La plupart des applications compatibles avec les GPO offrent la possibilité d’appliquer des paramètres par préférence ou par stratégie. Voici ci-dessous un tableau qui résume tous les scénarios possibles lorsqu’un paramètre est applicable des deux façons.
-
Scénario
|
Préférence présente
|
Stratégie présente
|
Est appliquée
|
1
|
Non
|
Non
|
Valeur par défaut
|
2
|
Oui
|
Non
|
Préférence
|
3
|
Non
|
Oui
|
Stratégie
|
4
|
Oui
|
Oui
|
Stratégie
|
Utilisation des Modèles d’administration
Pour charger un fichier modèle d’administration (.adm) :
-
Charger le composant logiciel enfichable d’édition de GPO
-
En ligne de commande, taper : GPEDIT.msc
-
Dans “Paramètre Ordinateur” ou Paramètre Utilisateurs”, faire un clic droit sur Modèles d’administration.
-
Dans le menu contextuel qui apparaît, choisir Ajout/Suppression de modèle.
-
Un fenêtre permettant d’ajouter ou de supprimer des fichiers .adm apparaît. Cliquer sur Ajouter.
-
Choisir le fichier à ajouter.
-
Cliquer sur Ouvrir.
-
Si le fichier .adm est correctement chargé, la fenêtre retourne à l’étape 4. C’est terminé.
-
Si le fichier .adm contient des erreurs, une fenêtre décrivant ces erreurs sera affichée. Dans ce cas :
-
Noter les erreurs, cliquer ensuite sur OK.
-
La fenêtre retourne à l’étape 4, mais le fichier contenant des erreurs figure quand même dans la liste.
-
Sélectionner le composant et le supprimer.
-
Fermer la fenêtre.
Lorsqu’un clic sur un paramètre est fait, une boite dialogue standard permettant de configurer le paramètre s’affiche.
Cette boîte de dialogue comporte deux onglets, le deuxième contient une explication détaillant l’effet de ce paramètre et éventuellement les interaction avec d’autre paramètres de stratégie. Le premier est composé d’une partie invariante quelque soit le paramètre à configuré : cette partie permet de choisir trois options :
-
Activé : le paramètre est activé et sera appliqué lorsque la stratégie s’applique
-
Désactivé : le paramètre ne sera pas appliqué
-
Non configuré : le paramètre peut être appliqué si une GPO provenant d’un niveau supérieure est appliquée.
Exemple : Dans une unité organisationnelle, la stratégie masquant l’icône du « Poste de Travail » sur le bureau est non configuré. Au niveau de tout le domaine une stratégie masquant l’icône du « Poste de Travail » sur le bureau est Activé. Pour ce paramètre et dans l’unité organisationnelle, c’est la stratégie du domaine qui s’appliquera.
Pour plus d’information sur l’application des stratégies consultez le livre blanc : Windows 2000 Group Policy White Paper
La partie pouvant varier d’un paramètre à l’autre est une interface permettant de configurer le paramètre. Cette interface est décrite dans le fichier .adm correspondant, ce qui sera vu dans la partie suivante.
Modèles d’administration personnalisés
Il est possible d’écrire ses propres modèles d’administration en écrivant des fichiers au format .adm. Le langage .adm sera détaillé dans la partie suivante. Si un développeur vient de créer une application qui supporte les stratégies, il est alors conseillé de fournir avec l’application un fichier .adm qui permettra aux administrateurs de configurer l’application après son déploiement. Un administrateur peut aussi rédiger ses propres fichiers .adm afin d’appliquer aux utilisateurs certaines valeurs de registre.
Utilisation de fichier .adm pour appliquer des clés de registres quelconques
Les stratégies servent principalement à appliquer des valeurs de registre aux emplacements réservés aux stratégies :
-
HKLM\Software\Policies
-
HKCU\Software\Policies
Cependant l’administrateur pourra trouver utile d’appliquer des valeurs de registres par stratégies à d’autres emplacements que ceux cités précédemment. La méthode couramment utilisée auparavant était de rédiger des fichiers de base de registre .reg et de les appliquer avec un script de connexion. L’administrateur, en utilisant des modèles d’administration pourra en tirer les avantages suivants :
-
Gestion des paramètres centralisée dans la console gpedit
-
Rapidité pour changer une valeur : une fois votre modèle développé, le changement des valeurs se fait par l’interface graphique.
-
Application des paramètres rapide et garantie : contrairement à l’utilisation de script de connexion, il n’est plus nécessaire d’attendre que les utilisateurs se reconnectent, les paramètre sont appliqué lorsque les GPO sont rafraîchies.
Dans le cadre de cette utilisation, il est tout de même important de bien comprendre ces points :
-
Lorsque ce type de valeur est appliqué par GPO et la GPO est ensuite désactivé, les paramètres, eux restent en place. Il est donc impossible de supprimer les valeur positionnée de cette façon (il est quand même possible de les écrasée).
-
Suivant l’emplacement des paramètres, il est possible que l’utilisateur est les droit nécessaire pour modifier ce paramètre (jusqu’à la prochaine application de la stratégie qui écrasera ses réglages.
-
Par défaut, les modèles d’administration implémentant des valeurs de registre situés à d’autres emplacements que ceux cité précédemment ne sont pas visibles dans la console d’édition des stratégies. Pour les rendre visibles :
-
Dans la console gpedit.msc, cliquez sur Modèle d’administration
-
Cliquez sur le menu affichage, puis sur filtrage.
-
Dans la fenêtre qui s’affiche décochez l’option : Afficher uniquement les paramètre de stratégie pouvant être entièrement gérés
Gestion des versions et déploiement
Lorsqu’un modèle d’administration est ajouté par la console gpedit, la syntaxe du fichier est validée puis ce fichier est copié. Ce fichier se retrouve ensuite dans SYSVOL à l’emplacement suivant :
\SYSVOL\sysvol\\Policies\{}\Adm
Si un fichier .adm est changé, une copie se trouve dans ce répertoire, mais attention à ne modifier pas celui qui est dans SYSVOL. Lorsqu’une modification doit être apportée au fichier .adm, il faut éditer une copie de ce fichier (qu’il est possible de stocker n’importe où) puis l’importer dans la console gpedit selon la procédure décrite plus haut. Ce fichier viendra alors remplacer la version précédente stockée dans SYSVOL et une fenêtre standard de copie de fichier doit s’afficher :
Bien sûr, si le fichier doit être remplacé, il faut que ce dernier porte le même nom que la version précédente.
Etant donné que tous les modèles d’administration sont stockés dans SYSVOL, ils seront répliqués sur tous les contrôleurs de domaine grâce au Service de réplication de fichiers qui se déclenche a chaque changement ou périodiquement tout comme le service de réplication de l’annuaire Active Directory. Pour plus d’information sur le FRS (File Replication Service) consultez cette page : http://support.microsoft.com/default.aspx?scid=kb;en-us;323247
Développer ses fichiers .adm Exemple
Prenons l’exemple de Outlook Express 6, une valeur de registre permet de désactiver l’option de compte de messagerie HTTP. Ce réglage est accessible à l’emplacement :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Outlook Express, la variable est de type DWORD et son nom est « HTTP Mail Enabled » lorsqu’il est a 1, un utilisateur pourra ajouter un compte de messagerie HTTP, si il est à 0, l’utilisateur ne pourra pas.
Voici la fenêtre concernée par ce paramètre dans sa valeur par défaut :
En rédigeant le fichier .adm suivant avec un éditeur de texte tel que le Bloc Notes :
CLASS MACHINE
CATEGORY !!OutlookExpressCategorie
KEYNAME "Software\Microsoft\Outlook Express"
POLICY !!DisableHttpMail
EXPLAIN !!DisableHttpMail_Explain
VALUENAME "HTTP Mail Enabled"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY
END CATEGORY
[strings]
OutlookExpressCategorie="Reglages Outlook Express [exemple]"
DisableHttpMail="Descativer les comptes mail HTTP"
DisableHttpMail_Explain="Permet d'empecher l'utilisation de compte mail HTTP dans Outlook 6.0"
Charger ensuite ce fichier selon la procédure décrite dans la section précédente. Les nouveaux items doivent apparaître dans la console d’édition de stratégie :
Il est ensuite possible d’activer cette option pour désactiver les comptes mail HTTP dans Outlook Express :
-
Si activé est sélectionné, la valeur « HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Outlook Express\Http mail enabled » sera mise à 1.
-
Si desactivé est sélectionné, la valeur « HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Outlook Express\Http mail enabled » sera mise à 0.
-
Sinon rien ne se passera.
Une fois ce paramètre activé, il est possible de constater après application des GPO que la fenêtre d’ajout de compte d’Outlook Express a changé : l’option compte HTTP a disparue :
Structure d’un fichier .adm
Un fichier .adm peut contenir les éléments suivants :
-
Commentaire
-
Chaînes de caractère
-
CLASS
-
CATEGORY
-
POLICY
-
PART
Les parties marquées en rouge constituent les éléments nécessaires pour que le fichier .adm ait une syntaxe valide :
CLASS MACHINE
CATEGORY !!OutlookExpressCategorie //nom de la catégorie
KEYNAME "Software\Microsoft\Outlook Express" // la clé de registre
POLICY !!DisableHttpMail // nom de la policy
EXPLAIN !!DisableHttpMail_Explain // affiche le texte explicatif
// dans l’onglet d’explication
VALUENAME "HTTP Mail Enabled" //valeur de registre à paramétrer
VALUEON NUMERIC 1 // indique que activé = 1
VALUEOFF NUMERIC 0 // et désactivé = 0
END POLICY
END CATEGORY
[strings]
OutlookExpressCategorie="Reglages Outlook Express [exemple]"
DisableHttpMail="Descativer les comptes mail HTTP"
DisableHttpMail_Explain="Permet d'empêcher l'utilisation de compte mail HTTP dans Outlook 6.0"
Commentaires
Les commentaires sont importants dans un fichier .adm surtout si ce dernier doit être maintenu par plusieurs personnes. Dans le langage .adm, un commentaire commence par le caractère (;) ou les caractères (//)
Exemple
//commentaire
;encore un commentaire
CLASS MACHINE // à la fin d’une ligne valide
CATEGORY !!OutlookExpressCategorie
KEYNAME "Software\Microsoft\Outlook Express"
END CATEGORY
Chaînes de caractères
Il existe deux façons de définir une chaîne de caractères :
Les chaînes littérales défini entre les caractères des guillemets (") et les chaînes de caractère contenu dans des variables. Dans ce cas il faut précéder le nom de variable par deux points d'exclamation (!!), la valeur de cette variable sera ensuite définie dans la section [strings] comme dans l'exemple suivant :
CLASS MACHINE
CATEGORY !!ChaineDefinieDansUneVariable
KEYNAME "Software\Microsoft\Outlook Express" //chaine litterale
END CATEGORY
[strings]
ChaineDefinieDansUneVariable="valeur de la variable"
Recommandation : il est recommandé de placer toutes les chaînes de caractère dans la section [strings]. Cela permet de faciliter la traduction.
CLASS
Cet élément est le premier élément d'un fichier .adm. Il permet de spécifier dans quel nœud (Paramètre Ordinateur ou Paramètre Utilisateur) va apparaître la stratégie dans l'éditeur de GPO.
Syntaxe
Syntaxe de l'élément CLASS
CLASS nom
nom
Défini le type CLASS cela doit être MACHINE ou USER.
Exemple
CLASS MACHINE
CLASS USER
NB : Un fichier .adm peut contenir plusieurs CLASS USER et MACHINE, les stratégies seront réparties dans les nœuds correspondants lors du chargement du fichier .adm.
CATEGORY
Après avoir déterminé la CLASS utilisateur ou ordinateur pour cette stratégie. Vous pouvez utiliser des CATEGORY pour créer des noeuds dans lesquels seront organisés vos paramètres de stratégie.
NB : Imbriquer des CATEGORY pour mieux organiser vos paramètres de stratégies.
Syntaxe
Syntaxe d'une CATEGORY
CATEGORY !!nom
KEYNAME nom de la clé
[plusieurs blocs POLICY possible]
END CATEGORY
nom
Chaîne de caractère indiquant le nom de la catégorie tel qu'il apparaîtra dans l'arborescence des modèles d'administration dans l'éditeur de GPO.
Nom de la clé
Optionel
Le nom de la clé de registre qui sera utilisée. Si cette clé est spécifié toutes les sous-catégories utiliserons ce nom de clé a moins qu'elle ne procure leur prore nom de clé de registre.
Ne préfixé pas le nom de clé de HKEY_LOCAL_MACHINE ou de HKEY_CURRENT_USER c'est l'instruction CLASS qui déterminera lequel des deux doit être utilisé.
Plusieurs blocs POLICY possibles
Une catégorie peut contenir zéro ou plusieurs blocs POLICY.
Exemple
CLASS USER
CATEGORY !!Parent
KEYNAME "Software\Policies\System"
;
CATEGORY !!Enfant
;
END CATEGORY
END CATEGORY
[strings]
Parent="Noeud parent"
Enfant="Noeud enfant"
POLICY
Pour définir les paramètres de stratégie qu'un utilisateur pourra modifier, il faut utiliser le mot clé POLICY. Une POLICY ainsi que tous les contrôles qui lui sont associés sont affiché dans une boîte de dialogue.
Syntaxe
POLICY nom
[KEYNAME nom de la clé]
EXPLAIN texte d'explication
VALUENAME nom de la valeur
[plusieur blocs PART possible]
END POLICY
nom
Le nom du paramètre de stratégie tel qu'il apparaîtra dans l'éditeur de GPO.
Nom de la clé
Optionnel
Ne pas préfixer le nom de clé de HKEY_LOCAL_MACHINE ou de HKEY_CURRENT_USER c'est l'instruction CLASS qui déterminera quelle clé doit être utilisée.
Texte d'explication
C'est le texte de description du paramètre de stratégie tel qu'il apparaîtra dans l'onglet Expliquer.
Nom de la valeur
Nom de la valeur de registre à modifier. Actionner cette stratégie positionne la valeur de registre de type REG_DWORD à 1. Il est possible de spécifier d'autre valeur que les valeurs par défaut en utilisant les mots clés VALUEON et VALUEOFF. Il faut utiliser ces mots clés de la façon suivante :
VALUEON on value (ex : VALUEON 1)
VALUEOFF off value (ex : VALUEOFF 3)
Plusieurs blocs part possible
Zéro ou plusieurs blocs PART.
Exemple
CLASS MACHINE
CATEGORY !!OutlookExpressCategorie
KEYNAME "Software\Microsoft\Outlook Express"
POLICY !!DisableHttpMail
EXPLAIN !!DisableHttpMail_Explain
VALUENAME "HTTP Mail Enabled"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
PART !!TexteAstuce TEXT
END PART
END POLICY
END CATEGORY
[strings]
OutlookExpressCategorie="Reglages Outlook Express [exemple]"
DisableHttpMail="Descativer les comptes mail HTTP"
DisableHttpMail_Explain="Permet d'empecher l'utilisation de compte mail HTTP dans Outlook 6.0"
TexteAstuce="Activer cette option pour désactiver les comptes mail http"
PART
Il est possible d’utiliser des PART pour construire une interface utilisateur simple qui va permettre à l'administrateur de donner plus d'information pour le paramètre de stratégie.
Syntaxe
PART nom type
Donneés dépendante du type
[KEYNAME nom de la clé]
VALUENAME nom de la valeur
END PART
nom
Nom du PART tel qu'il apparaîtra dans l'éditeur de GPO.
type
-
Un type de PART qui peut être un de ces types :
-
CHECKBOX
|
Affiche un case à cocher (check box). La valeur de registre sera du type REG_DWORD. 0 si la case n'est pas cochée, autre chose dans le cas contraire.
|
COMBOBOX
|
Affiche une combo box
|
DROPDOWNLIST
|
Affiche une combo box en forme de liste déroulante. L'utilisateur pourra choisir uniquement une des propositions
|
LISTBOX
|
Affiche une liste avec des boutons Ajouter et Supprimer. C'est le seul PART qui peut gérer plusieurs valeurs dans une clé.
|
EDITTEXT
|
Affiche une zone de texte éditable qui permet d'ajouter du texte alphanumérique stocké dans le registre avec le type REG_SZ ou REG_EXPAND_SZ.
|
TEXT
|
Affiche juste une ligne de texte statique
|
NUMERIC
|
Affiche une zone de texte numérique. La valeur est enregistrée dans le registre au format REG_DWORD.
|
Données dépendantes du type
Information qui dépendent du type de PART.
nom de la clé
Optionnel
Ne pas préfixer le nom de clé de HKEY_LOCAL_MACHINE ou de HKEY_CURRENT_USER c'est l'instruction CLASS qui déterminera quelle clé doit être utilisée.
Nom de la valeur
Nom de la valeur de registre à modifier. Actionner cette stratégie positionne la valeur de registre de type REG_DWORD à 1. Il est possible de spécifier d'autre valeur que les valeurs par défaut en utilisant les mots clés VALUEON et VALUEOFF utilisez ces mots clés de la façon suivante :
VALUEON on value (ex : VALUEON 1)
VALUEOFF off value (ex : VALUEOFF 3)
Conclusion
Ce livre blanc a présenté les stratégies basées sur des valeurs de registre. Vous savez maintenant appliquer des valeurs de registre par GPO et développer vos propres modèles d'administrations. Vous savez également construire des interfaces simples qui vont permettre de simplifier et de rendre plus intuitives les modifications de ces paramètres de stratégie.
Dostları ilə paylaş: |