Les comportements d'amélioration de performances comme la détection des liaisons lentes, les versions GPO, et le traitement asynchrone sont proposés dans XP et Win2K. Vous pouvez aussi régler délibérément un petit nombre d'autres paramètres pour réduire encore davantage l'overhead du traitement GPO.
Désactiver les paramètres inutilisés. Dans chaque GPO, on
peut définir
des paramètres qui s’appliquent aux ordinateurs ou aux utilisateurs. Mais il
n’est pas nécessaire de définir les deux
dans un GPO donné. Par conséquent,
la première et la plus simple démarche
pour améliorer la performance
consiste à désactiver les paramètres au
niveau ordinateur ou au niveau utilisateur
inutilisés d’un GPO. Supposons
qu’une station de travail détermine
pendant une initialisation qu’elle a
besoin de traiter quatre GPO, dont
deux seulement ont une policy au niveau
ordinateur définie. On peut marquer
les deux autres GPO comme
n’ayant pas de policy au niveau ordinateur.
De ce fait, les extensions côté
client de la station de travail ne prendront
pas la peine de rechercher les
paramètres au niveau ordinateur non
existants, ce qui allègera le cycle de
traitement.
Pour désactiver les paramètres au
niveau ordinateur ou utilisateur d’un
GPO, ouvrez le snap-in Active Directory
Users and Computers ou le snap-in
Active Directory Sites and Services,
faites un clic droit sur le conteneur auquel
le GPO est lié, puis choisissez
Properties dans le menu de contexte.
Allez à l’onglet Group Policy de la boîte
de dialogue Properties. Sélectionnez le
GPO et cliquez sur Properties pour ouvrir
la boîte de dialogue Policy
Properties du GPO. Utilisez les cases à
cocher dans la section Disable pour
désactiver les paramètres de configuration
ordinateur ou utilisateur inutilisés.
(On peut cocher les deux cases, mais
cela désactive le GPO.)
Définir un temps d’attente maximum.
Un autre moyen de garder la
maîtrise des temps de traitement GPO
consiste à instaurer un intervalle maximum
pour l’exécution des scripts. Les
GPO supportent les scripts de démarrage
et de fermeture de l’ordinateur
ainsi que les scripts de connexion et de
déconnexion de l’utilisateur. De tels
scripts peuvent se présenter sous une
forme quelconque de fichier batch
exécutable, ou de script WSH
(Windows Script Host). Comme l’on
peut appliquer des GPO multiples à un
utilisateur ou un ordinateur donné, on
pourrait avoir plusieurs scripts s’exécutant
l’un après l’autre. Mais des scripts
défectueux ou mal programmés pourraient
s’interrompre ou s’exécuter indéfiniment.
Ainsi, quand on utilise le
traitement GPO synchrone, les systèmes
XP et Win2K peuvent marquer
jusqu’à 10 minutes d’interruption, sans
qu’il soit facile de déterminer le problème.
Pour atténuer ce genre de problème,
on peut définir un temps maximum
d’exécution de tous les scripts.
Dans le pire des scénarios, un script
qui est interrompu ou piégé dans une
boucle sans fin ne s’exécutera que pendant
le temps indiqué. Soulignons toutefois
que le temps d’attente s’applique
au temps d’exécution total de
tous les scripts. Ainsi, si l’on a défini
des scripts de logon dans chacun des
10 GPO du domaine AD et si l’on définit
un temps d’attente de 60 secondes,
tous ces scripts doivent être complètement
exécutés dans les 60 secondes.
Pour fixer un intervalle de traitement
de script maximum, ouvrez le snap-in
Group Policy, passez par Computer
Configuration, Administrative
Templates, System, Logon (ou
Administrative Templates, System,
Scripts dans XP) et ouvrez la boîte de
dialogue Properties de la policy
Maximum wait time for Group Policy
scripts, illustrée figure 2. On peut activer
la policy et configurer le temps
d’attente sur l’onglet Policy.
Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.
