> Tech > Politiques de groupes

Politiques de groupes

Tech - Par iTPro - Publié le 24 juin 2010
email

  Pourquoi avons-nous créé un dossier spécial pour les GPO ? Parce que les GPO introduisaient un nouveau type de problèmes affectant notre structure OU. Par défaut, Win2K stocke les GPO dans AD - dans le contexte de nom de domaine à  LDAP://cn=Policies,cn=System,dc=domain (LDAP://cn=Policies,cn=System,dc=mycorp,dc=com, par exemple, pour le conteneur Group Policy

dans le domaine mycorp.com) – et stocke les fichiers
Group Policy dans le dossier \%system-root%\sysvol\domain\policies

(C:\winnt\sysvol\domain\policies,
par exemple). Les GPO ne sont pas rattachés aux OU mais résident dans le
système de fichiers et relient aux OU. Rappelons que Win2K réplique

automatiquement le dossier \sysvol sur chaque DC d’un domaine. La création
d’un grand nombre de GPO freine considérablement les performances sur

chaque DC qui réside dans le même domaine. Un grand nombre de GPO

n’affectera pas seulement le temps de logon de l’utilisateur, mais
augmentera aussi la quantité de données répliquées. Quand on modifie un
GPO, le FRS (File Replication Service) réplique tout le fichier – et pas

simplement les modifications – dans chaque DC du domaine.

  Un autre problème constaté concerne le retrait d’un GPO. Si

on supprime un lien de GPO sans supprimer le GPO, celui-ci reste dans le

dossier \sysvol – et le FRS le réplique sur chaque nouveau DC. (On ne peut

voir les GPO non liés que sur l’onglet All de la fenêtre Add a Group Policy

Object Link.) Si l’on ne consulte pas cette liste de temps en temps pour la

nettoyer, on risque de se retrouver avec des centaines de GPO inutilisés.

Chez Siemens PG, nous gérons les GPO de manière centralisée, en contrôlant

périodiquement les GPO non utilisés. On peut aussi obtenir un produit tiers

comme Full Armor d’United Business Machines (UBM) pour gérer les GPO.
Pour ne plus être encombrés par les GPO non utilisés, nous avons décidé
de refuser aux administrateurs locaux le droit de créer des GPO (par

exemple, en attribuant des paramètres desktop spécifiques aux

utilisateurs), sauf raison très légitime. Nous avons limité
l’appartenance au groupe Group Policy Creator Owners à  nos administrateurs
DCSP, lesquels approuvent, créent, gèrent et suppriment les GPO
dans le dossier Group Policies. A partir de ce dossier, les

administrateurs locaux peuvent ajouter un lien Group Policy à  un dossier
OU. Les administrateurs DCSP gèrent les GPO à  partir de la boîte de

dialogue Properties du dossier GroupPolicies, qui présente tous les GPO

disponibles dans le domaine.

Téléchargez gratuitement cette ressource

TOP 5 Modernisation & Sécurité des Postes Clients

TOP 5 Modernisation & Sécurité des Postes Clients

Pour aider les entreprises à allier les restrictions liées à la crise et la nécessaire modernisation de leurs outils pour gagner en réactivité, souplesse et sécurité, DIB-France lance une nouvelle offre « Cloud-In-One » combinant simplement IaaS et DaaS dans le Cloud, de façon augmentée.

Tech - Par iTPro - Publié le 24 juin 2010