Détecter les stratégies susceptibles de causer des ennuis

GPO, cette action ne remet pas tous les paramètres de cet utilisateur ou de cet ordinateur à leur état par défaut, si la stratégie a déjà été appliquée. Il n’existe pas de moyen simple permettant de « désactiver » les stratégies de groupe. Et c’est pourquoi il faut toujours tester rigoureusement tout changement lié aux stratégies de groupe, aussi minime soit-il, dans votre environnement utilisateur. Pour résoudre les problèmes liés aux stratégies de groupes avec les postes de travail de vos utilisateurs, la bonne méthode consiste à déterminer d’abord quels paramètres sont appliqués, puis à les isoler un par un jusqu’à ce que le problème disparaisse. Cette façon de procéder est certes fastidieuse et longue, mais il existe des outils et des techniques qui facilitent ce travail.

La première étape de la traque des problèmes liés aux stratégies de groupe consiste à exécuter un rapport RSoP (Resultant Set of Policy) sur le client en cause. Un tel rapport indique quels paramètres de stratégie sont appliqués au client et aide à cerner de plus près les causes possibles des problèmes. Les outils utilisables à cet effet peuvent varier selon la version d’OS utilisée. Si vos clients utilisent Windows 2000, par exemple, il vous faudra compter sur l’utilitaire ligne de commande gpresult. exe tiré du Microsoft Windows 2000 Resource Kit. Toutefois, Win2K ne supporte que des possibilités RSoP limitées et l’outil gpresult.exe ne produira pas de résultats complets pour des catégories telles que les stratégies de sécurité. Avec XP, vous disposez d’une plus grande variété d’outils. Le premier et le plus simple à utiliser est rsop.msc, que l’on trouve sur XP Professional. Cet outil fournit un rapport RSoP rapide – dans le format GPE (Group Policy Editor) familier – pour l’utilisateur actuellement connecté, comme le montre la figure 3.

Vous pouvez aussi utiliser GPMC (Group Policy Management Console) pour créer à distance un rapport RSoP sur un client XP. Group Policy Results Wizard de GPMC fournit un rapport basé sur HTML qui montre les stratégies utilisateur et ordinateur traitées et quels GPO les délivrent. Windows Server 2003 et XP incluent aussi une version plus complète de gpresult.exe qui fournit un mécanisme ligne de commande pour générer un rapport RSoP.

Après avoir généré un rapport RSoP pour vos paramètres de stratégie et quand vous connaissez les GPO concernés, il convient de réduire la liste. Mais, avant cela, il est important de connaître les mécanismes d’application des stratégies – et plus particulièrement des stratégies Administrative Template.