GPO multiples et Héritage

sous-réseaux d’un réseau
connectés par des liaisons à  grande vitesse.
Les sites créent des limites à  la réplication pour Active Directory. Comme le
montre l’écran 1, l’espace de noms des GPO est divisé en options Configuration
des ordinateurs et Configuration des utilisateurs. Seuls les utilisateurs et les
ordinateurs sont susceptibles d’avoir des GPO. On ne peut pas, par exemple, appliquer
un GPO à  un objet imprimante ou même à  un groupe d’utilisateurs. Pour
éditer une stratégie pour un domaine ou une OU, il existe plusieurs options.
A partir du snap-in Active Directory Users and Computers de la MMC, cliquez avec
le bouton droit sur un domaine ou une OU, choisissez Propriétés, puis sélectionnez
l’onglet Stratégie de groupe. Pour éditer des stratégies de sites, il faut charger
le snap-in Active Directory Sites and Services et cliquer avec le bouton droit
sur le site désiré pour atteindre le GPO.

Autre possibilité, allez au menu Démarrer, sélectionnez Exécuter et tapez mmc.exepour
démarrer la MMC. Choisissez le snap-in Console, Add/Remove et sélectionnez le
snap-in Group Policy, puis Browse. Dans la fenêtre qui s’affiche, vous verrez
alors tous les GPO définis dans votre domaine AD et pourrez choisir celui que
vous voulez éditer.

Le modèle d’héritage des GPO diffère nettement de l’approche des stratégies
de Zenworks de Novell

Plusieurs GPO peuvent s’appliquer à  un objet utilisateur ou à  un objet ordinateur,
selon la place qu’ils occupent dans l’espace de noms AD. Les GPO sont hérités
exactement comme le sont les autres objets et propriétés du domaine. Windows 2000
les traite de la manière suivante : il commence par traiter toute stratégie d’ordinateur
local existante, puis tous les GPO de sites définis, les GPO au niveau du domaine
et les GPO des OU. Microsoft utilise l’acronyme LSDOU pour cet ordre de priorité
(c’est-à -dire Local, Site, Domain, puis OU). Il est possible de définir plusieurs
GPO à  chaque niveau de cette hiérarchie. L’écran 2 montre trois GPO définis au
niveau du domaine dans un domaine AD baptisé pilot.

Pour afficher cette liste, démarrez le snap-in MMC Active Directory Users and
Computers, cliquez avec le bouton droit sur le domaine pilot, sélectionnez Propriétés
dans le menu contextuel, puis l’onglet Group Policy. Le GPO se trouvant en haut
de la liste (c’est-à -dire la stratégie de sécurité pour l’ensemble du domaine)
a la priorité la plus élevée ; Windows 2000 le traite donc en dernier. Comme il
est possible d’avoir des GPO à  quatre niveaux différents dans AD (y compris local)
et de définir autant de GPO que l’on veut à  chaque niveau, excepté le GPO local,
vous aurez des problèmes si vous ne gérez pas rigoureusement vos GPO.Le modèle
d’héritage des GPO diffère nettement de l’approche des stratégies de Zenworks
de Novell.
Dans Zenworks, si vous appliquez plusieurs policy packages à  différents
points de l’arbre NDS (Novell Directory Services), seul s’applique le plus proche
de l’objet utilisateur. Dans Windows 2000, si vous définissez quatre GPO à  différents
niveaux d’Active Directory, l’OS les traite au moyen de LSDOU et le résultat pour
l’utilisateur ou l’ordinateur revient à  accumuler ces quatre stratégies. De plus,
les paramètres définis dans un GPO annulent parfois ceux qui ont été définis dans
un autre GPO.
Les GPO d’AD permettent une délégation beaucoup plus granulaire du contrôle des
stratégies.

Par exemple, supposons que le département sécurité d’une entreprise soit chargé
de définir un GPO de sécurité au niveau des domaines qui soit applicable à  tous
les périphériques. Les GPO permettent de laisser le contrôle de l’installation
des logiciels au niveau des OU à  l’administrateur de cette OU. Dans le modèle
Zenworks, il faudrait dupliquer la stratégie que l’on veut appliquer à  chaque
niveau de l’arborescence. Zenworks n’oblige pas à  réfléchir à  la stratégie effective
reçue par chaque utilisateur en héritage des stratégies situées à  un niveau supérieur
de l’arborescence.

Pour contrôler davantage encore l’application des GPO, Microsoft a créé trois
paramètres permettant de limiter la complexité de l’héritage. Il est possible
de cocher une case au niveau de chaque conteneur – site, domaine et OU – pour
bloquer l’héritage des GPO de niveau supérieur. De même, sur chaque GPO, on peut
choisir des options de stratégie de domaines par défaut, comme le montre l’écran
3.
Pour aller à  cette boîte de dialogue, lancez le snap-in Active Directory Users
and Computers (ou Active Directory Sites and Services si vous modifiez un GPO
spécifique à  un site). Cliquez avec le bouton droit sur le domaine ou l’OU dans
lequel le GPO est défini, choisissez Propriétés dans le menu contextuel, puis
sélectionnez l’onglet Group Policy. Mettez en surbrillance l’entrée GPO dont vous
voulez modifier le comportement, et sélectionnez le bouton Options. Il existe
deux options pour désactiver le GPO : No Override (pas de substitution) ou bien
Disabled (désactivé). Dans le premier cas, le GPO continuera à  s’appliquer, même
si la case permettant de bloquer l’héritage est cochée.

Cette option est à  choisir si l’on veut qu’un GPO s’applique partout (par exemple
pour une stratégie de sécurité au niveau d’un domaine). Si un administrateur d’une
OU essaie de bloquer l’héritage de votre stratégie de sécurité, le GPO de sécurité
continuera à  s’appliquer. La case Disabled permet de désactiver complètement un
GPO. Choisissez cette option lorsque vous éditez un GPO pour empêcher les utilisateurs
de l’utiliser tant que l’on n’a pas terminé.

Seuls les objets utilisateur et ordinateur utilisent la stratégie de groupe