Outils et techniques

Partant du principe que les stratégies Administrative Template ne fournissent qu’un écran de fumée et pas de sécurité, le premier indice de l’origine d’un problème est fourni par ses messages d’erreur. Ainsi, des messages tels que Access Denied ou Permission Denied indiquent clairement qu’il s’agit plutôt d’un problème de sécurité que d’un problème de verrouillage de poste de travail, tandis que des messages d’erreur tels que celui de la figure 1 sont plus probablement liés à Administrative Template.

Si vous obtenez des messages moins clairs que ceux-là, certains outils permettent de cerner le problème. Mon outil favori pour traquer les éventuels problèmes liés à Administrative Template est regmon.exe gratuit de Sysinternals (http://www.sysinternals.com). Regmon permet de filtrer l’activité des registres par clé de registre. En utilisant Regmon pendant l’opération qui cause les problèmes, pour suivre l’activité des registres vers l’une des quatre sous-clés mentionnées précédemment, vous pouvez souvent détecter la stratégie qui cause le problème. La figure 4 montre comment Regmon m’a aidé à traquer une restriction de stratégie qui empêche Microsoft PowerPoint de s’exécuter. Bien que cet exemple soit simplifié à l’extrême (j’aurais parfaitement pu voir cette stratégie en utilisant les outils RSoP sans recourir à Regmon), il donne une idée de la manière dont on peut utiliser l’outil pour traquer une stratégie Administrative Template quand RSoP ne fait pas l’affaire.

Si le problème semble lié à une stratégie de sécurité, il faut essayer d’identifier celle-ci et l’annuler. On l’a vu, les stratégies de sécurité ont pour effet essentiellement de tatouer vos systèmes si vous supprimez le GPO sans supprimer d’abord le paramètre. Par conséquent, pour corriger un tel problème, il faut inverser explicitement le paramètre de sécurité spécifique. Si les règles de sécurité ne vous permettent pas de démanteler une stratégie de sécurité à l’échelle de l’entreprise, vous pouvez alors isoler quelques stations de travail pour tenter de résoudre le problème. Le meilleur moyen de partir dé zéro en matière de paramètres de sécurité consiste à utiliser le fichier modèle de sécurité setup security. inf pour ramener la sécurité Windows au niveau des paramètres de sécurité fournis à l’installation. Le fichier setup security.inf se trouve dans %windir%\security\templates sur tous les systèmes Windows standard. Vous pouvez vous servir de l’utilitaire secedit.exe pour appliquer ce modèle, ou bien importer le modèle dans le GPO local sur un ordinateur, en ouvrant GPE, en faisant un clic droit sur le noeud Computer Configuration\WindowsSettings\Security Settings et en choisissant Import Policy.

Après avoir ramené la sécurité à son état initial, vous pouvez retester l’application pour voir si elle fonctionne, puis réappliquer les stratégies de sécurité, paramètre par paramètre, jusqu’à trouver le paramètre coupable. Vous l’aurez compris, ce processus peut être extrêmement long et ne doit être envisagé que si vous ne pouvez pas traquer la stratégie fautive d’une autre manière. Mais, en dernier ressort, l’application de cette méthode sur une ou deux machines de test peut vous aider à déceler la source du problème.

En règle générale, pour tester des paramètres de stratégie, essayez de ne changer qu’un paramètre à la fois, puis testez- le avant de passer au suivant. Bien que cette façon de procéder ralentisse le déploiement de la stratégie, elle rend aussi le dépannage des paramètres de stratégie beaucoup plus facile qu’en pratiquant un grand nombre de changements à la fois.