Maîtriser les stratégies de groupe

par Kathy Ivens - Mis en ligne le 22/02/06 - Publié en Octobre 2004

L’administration d’un environnement Windows est une tâche ardue. Des fonctions comme les stratégies de groupe, qui permettent aux administrateurs de contrôler les clients d’un domaine (ordinateurs et utilisateurs), sont fort utiles. Mais nombreux sont les administrateurs qui n’appliquent les stratégies de sécurité qu’après que certains événements les y obligent. Exemple d’un tel événement : un utilisateur qui bouleverse complètement la configuration de l’ordinateur ou qui modifie un paramètre en entraînant des problèmes pour l’ensemble du domaine.Quand un administrateur applique des stratégies au coup par coup, il s’en suit souvent un magma de nombreuses stratégies. Un trop grand nombre de stratégies peut augmenter le temps de connexion des machines client, au grand dam des utilisateurs. Cela peut aussi entraîner des conflits de stratégie présentant une double inconvénient : certains utilisateurs ne peuvent pas effectuer correctement leur travail et d’autres peuvent effectuer, à tort, des tâches qui affectent le domaine. On établit alors à la hâte une stratégie de plus pour corriger l’erreur, ce qui ne fait qu’aggraver la situation.

On peut bien entendu établir des stratégies de manière parfaitement ordonnée. En anticipant et en faisant le nécessaire pour réduire le nombre de stratégies nécessaires, vous pouvez éviter beaucoup des pièges qui guettent les administrateurs dans l’application des stratégies.

Quand un ordinateur Windows Server 2003, Windows XP ou Windows 2000 qui est membre d’un domaine démarre, le système traite et applique les stratégies basées sur l’ordinateur, localement et au niveau du domaine. Ensuite, quand un utilisateur se connecte au domaine à partir de cet ordinateur, le système traite et applique les stratégies basées sur l’utilisateur locales et au niveau du domaine. Comme chaque stratégie demande un certain temps pour s’appliquer, les utilisateurs peuvent attendre un certain temps entre le moment où l’ordinateur démarre et celui où ils peuvent commencer à travailler. Ce délai est directement proportionnel au nombre de stratégies physiques (aussi appelées GPO - Group Policy Objects) associées au domaine, au site, ou à l’OU (organizational unit) que le système doit traiter. On peut réduire ce délai en appliquant un ou plusieurs des principes suivants :

• Appliquer des stratégies aux OU.
• Filtrer les stratégies d’après l’appartenance à certains groupes de sécurité.
• Désactiver les sections GPO inutilisées.
• Traiter les stratégies de manière asynchrone.

Appliquer les stratégies aux OU.
Si vous ajoutez des ordinateurs aux OU, vous pourrez appliquer les paramètres stratégiques avec plus de granularité, donc d’efficacité, que ne le permettent les stratégies concernant l’ensemble du domaine. Vous pouvez ainsi appliquer des GPO spécifiques à tous les membres d’une OU particulière et utiliser ces GPO comme condition d’appartenance pour joindre cette OU. L’application des GPO aux OU présente un autre avantage : on a moins besoin de traiter des GPO superflus. Pour créer un GPO pour une OU, procédez ainsi :

• Ouvrez le snap-in Microsoft Management Console (MMC) Active Directory Users and Computers.
• Faites un clic droit sur l’OU appropriée puis choisissez Properties dans le menu de contexte.
• Sélectionnez l’onglet Group Policy puis cliquez sur New.
• Entrez un nom décrivant le GPO dans la boîte de dialogue New Group Policy Object.
• Cliquez sur Edit puis sélectionnez le bouton radio Enabled pour valider la stratégie, comme le montre la figure 1.

Filtrer les stratégies en fonction de l’appartenance au groupe de sécurité.
Même si beaucoup de stratégies ne concernent pas un groupe de sécurité particulier, un administrateur peut néanmoins autoriser ou refuser des GPO d’après leur appartenance à un groupe de sécurité. D’ailleurs beaucoup de spécialistes dans ce domaine considèrent cette alternative au principe « appliquer les stratégies aux groupes », comme une méthode détournée qu’ils auraient aimé voir intégrer dans l’AD (Active Directory) par Microsoft. Pour filtrer les stratégies d’après l’appartenance au groupe de sécurité, procédez ainsi :

• Sélectionnez le GPO approprié dans le snap-in Active Directory Users and Computers puis cliquez sur Properties.
• Dans la boîte de dialogue Properties, sélectionnez l’onglet Security comme le montre la figure 2.
• Sélectionnez un groupe, puis sélectionnez l’option Allow pour Apply Group Policy permission, afin d’inclure ce groupe dans la stratégie, ou l’option Deny pour exclure le groupe. Répétez ces opérations pour les autres groupes que vous voulez filtrer pour cette stratégie particulière.

Par exemple, si vous créez une stratégie pour étendre les droits utilisateur, vous pouvez ne vouloir sélectionner l’option Allow pour l’Apply Group Policy permission que pour les groupes de sécurité administratifs. Si vous créez une stratégie pour restreindre les droits utilisateur, sélectionnez l’option Deny pour les groupes de sécurité administratifs (afin de préserver les droits des administrateurs) et choisissez Allow pour tous les autres administrateurs).

Désactiver les sections GPO non utilisées.
Tous les GPO ont une section Computer Configuration et une section User Configuration. Si la stratégie que vous voulez appliquer n’affecte que le profil ordinateur ou que le profil utilisateur, mais pas les deux, vous pouvez configurer le GPO de telle sorte que le système ne perde pas de temps à traiter la section inutilisée. Pour désactiver une section GPO inutilisée, procédez ainsi :

• Faites un clic droit sur le GPO approprié puis cliquez sur Properties.
• Sur l’onglet General, cochez la case Disable Computer Configuration settings ou la case Disable User Configuration settings, comme le montre la figure 3, puis cliquez sur Apply.
• Cliquez sur Yes quand Windows vous demande de confirmer votre action.

Traiter les stratégies de manière asynchrone.
Windows offre un moyen d’accélérer l’énumération des GPO pendant le démarrage de la machine et la connexion de l’utilisateur. Selon moi, cette fonction présente peu d’intérêt dans les entreprises qui appliquent plusieurs GPO, à la fois à l’ordinateur et à l’utilisateur. En revanche, si vous utilisateurs se plaignent du temps qu’ils passent à démarrer leurs ordinateurs et à se connecter au domaine, il est intéressant d’essayer cette fonction.

Quand Windows démarre, le système traite par défaut les paramètres de stratégie provenant de la section Computer Configuration de chaque GPO, de manière synchrone dans l’ordre suivant : Local Site, Domain, OU. Après avoir traité toutes les stratégies basées sur l’ordinateur, le système invite l’utilisateur à se connecter au domaine. Puis le système traite les stratégies basées sur l’utilisateur de manière synchrone, dans le même ordre qu’il a traité les stratégies basées sur l’ordinateur.

Pour accélérer le traitement des GPO et, par voie de conséquence, accélérer la connexion de l’utilisateur, vous pouvez ordonner à Windows d’appliquer les stratégies de manière asynchrone au lieu de synchrone. Ce mode asynchrone signifie que le système peut transférer et traiter les stratégies dans le désordre. Au point que les utilisateurs peuvent se connecter au domaine et disposer de l’ordinateur avant même que le système n’ait eu le temps d’appliquer tous les paramètres de stratégie. Et c’est là, on l’aura compris, que se situe le danger. Comme le système traite en dernier les stratégies d’OU, de nombreux administrateurs s’assurent que les stratégies « réelles » (c’est-à-dire celles qui supplantent les stratégies pour l’ensemble du domaine) se trouvent dans l’OU de l’ordinateur. Bien entendu, si l’on traite les stratégies de manière asynchrone, on perd cet avantage.

Si vous ne craignez pas les conflits de stratégie (par exemple, des stratégies d’OU en conflit avec des stratégies de domaine ou locales), vous pouvez appliquer les stratégies asynchrones, à titre d’expérience. Pour valider le traitement de stratégies asynchrones avec un GPO, procédez ainsi :

• Ouvrez le snap-in Active Directory Users and Computers.
• Faites un clic droit sur le listing du domaine, puis choisissez Properties dans le menu de contexte.
• Sélectionnez l’onglet Group Policy, sélectionnez le GPO que vous voulez utiliser pour valider le traitement asynchrone puis cliquez sur Edit.
• Dans le panneau de console, allez à Computer Configuration\Administrativ Templates\System\Group Policy.
• Dans le panneau Details, double-cliquez sur Apply Group Policy for computers asynchronously during startup, cliquez sur Enabled puis sur Apply.
• Dans le panneau Details, double-cliquez sur Apply Group Policy for users asynchronously during logon, cliquez sur Enabled puis sur Apply.
• Fermez toutes les boîtes de dialogue et le snap-in Active Directory Users and Computers pour sauvegarder vos changements.

Signalons au passage que vous n’êtes pas obligés de sélectionner les deux types de stratégie aux étapes 5 et 6 pour le traitement asynchrone : vous pouvez ne sélectionner que les stratégies basées sur l’ordinateur ou que les stratégies basées sur l’utilisateur.