Séquence d’application des Stratégies de groupe

de ne pas
changer les valeurs existantes (par exemple les paramètres précédemment définis
dans les GPO à  un autre niveau du conteneur) et n’affectent pas la configuration.
Plusieurs GPO peuvent s’appliquer à  un ordinateur ou à  un utilisateur, d’où le
risque, pour certains, de contenir des paramètres conflictuels. Lorsque la valeur
d’un paramètre est définie par plusieurs GPO, c’est le GPO appliqué en dernier
qui prend la préséance. Il faut donc bien comprendre la séquence d’application
des GPO de Windows 2000 que montre la Figure 1.

Lors de l’initialisation d’un ordinateur, Windows 2000 applique la partie
 » Configuration de l’ordinateur  » de la Stratégie de groupe

Lors de l’initialisation d’un ordinateur, Windows 2000 applique la partie  » Configuration
de l’ordinateur  » de la Stratégie de groupe. Il applique d’abord le GPO stocké
localement de l’ordinateur, puis, dans l’ordre, les GPO liés à  son site, les GPO
liés à  son domaine, et enfin, les GPO liés aux UO (par ordre descendant) qui contiennent
l’ordinateur. Lorsqu’un utilisateur se connecte, Windows 2000 applique la partie
 » Configuration de l’utilisateur  » de la Stratégie de groupe, en suivant la même
séquence que pour la Configuration de l’ordinateur, à  la différence près qu’il
base les GPO liés au domaine et aux UO sur le domaine du compte de l’utilisateur
et sur la branche de l’arborescence des UO, au lieu de l’emplacement prévu pour
l’ordinateur dans AD, comme le montre la Figure 2. La séquence d’application pour
les stratégies Configuration de l’utilisateur est, dans l’ordre, le GPO stocké
localement de l’ordinateur auquel l’utilisateur se connecte, puis les GPO liés
au site de l’ordinateur, les GPO liés au domaine de l’utilisateur, et enfin, les
GPO liés aux UO (par ordre décroissant) qui contiennent le compte de l’utilisateur.
Les GPO appliqués par Windows 2000 peuvent être affichés à  chaque étape de la
séquence.

Le GPO local de l’ordinateur. Chaque ordinateur stocke un GPO
localement. Lorsqu’un ordinateur s’initialise ou qu’un utilisateur se connecte,
Windows 2000 applique d’abord le GPO local de l’ordinateur. Lorsque ce dernier
n’est pas membre d’un domaine, Windows 2000 applique le GPO local et tous ses
paramètres entrent en vigueur. Lorsqu’il est membre d’un domaine, ce GPO devient
le moins influent, puisque tous les GPO liés à  AD appliqués par Windows 2000 peuvent
annuler le GPO local. Pour accéder à  la configuration du GPO local de l’ordinateur,
exécutez mmc.exe à  partir du menu Démarrer de Windows 2000, ajoutez le composant
enfichable Stratégie de groupe et sélectionnez Ordinateur local.

Les GPO liés au site. Lorsque l’ordinateur est membre d’un domaine,
Windows 2000 applique ensuite tous les GPO liés à  son site. (Les sites sont des
objets AD représentant la disposition physique d’un réseau. Les GPO liés aux sites
doivent être utilisés seulement lorsqu’il faut définir un paramètre (par exemple
un paramètre de réseau) spécifique à  la partie physique du réseau qui concerne
l’ordinateur. Pour afficher la liste des GPO d’un site, allez à  Outils d’administration,
Sites et services Active Directory. Cliquez droit sur un site, puis sur Propriétés
et sélectionnez l’onglet Stratégie de groupe. Windows 2000 ne comporte pas de
GPO liés aux sites précréés et les administrateurs définissent rarement des GPO
liés aux sites.

Les GPO liés au domaine. Windows 2000 applique ensuite tous les
GPO liés au domaine de l’ordinateur – ou de l’utilisateur, dans le cas d’une Configuration
de l’utilisateur. Les stratégies de groupe définies à  ce niveau s’appliquent à 
tous les ordinateurs et utilisateurs du domaine immédiat et annulent les GPO liés
au site et les GPO locaux. Les paramètres des GPO liés au domaine non configurés
ne changent pas les valeurs définies dans les GPO liés au site précédemment configurés.
Les domaines sont la limite de l’héritage des stratégies de groupe : Windows 2000
n’applique pas les GPO d’un domaine parent à  un domaine enfant. Pour afficher
une liste des GPO liés au domaine, allez à  Outils d’administration, Utilisateurs
et ordinateurs Active Directory. Cliquez à  droite sur le domaine de l’ordinateur
ou de l’utilisateur, cliquez sur Propriétés et sélectionnez l’onglet Stratégie
de groupe. Windows 2000 comporte un GPO lié aux domaines précréé : Stratégie de
domaine par défaut.

Les GPO liés aux UO. Enfin, Windows 2000 applique les GPO liés
à  toute UO contenant l’ordinateur – ou l’utilisateur, dans le cas d’une Configuration
de l’utilisateur. Si l’ordinateur ou l’utilisateur appartiennent à  plusieurs UO,
Windows 2000 applique les GPO liés par ordre descendant, de l’UO supérieure à 
l’UO inférieure. Comme le GPO appliqué en dernier annule ceux qui ont été appliqués
avant lui, les GPO liés à  l’UO inférieure annulent ceux qui sont liés aux UO supérieures,
chaque fois qu’ils définissent une valeur pour un même paramètre. (La Figure 3
montre les paramètres de configuration d’un ordinateur dans une UO enfant ; Windows
2000 appliquera à  l’ordinateur plusieurs GPO liés aux UO, ainsi qu’un GPO lié
au domaine). Pour afficher les GPO liés aux UO, cliquez à  droite sur l’UO, cliquez
sur Propriétés et sélectionnez l’onglet Stratégie de groupe.

Plusieurs liens de même niveau. Que se passe-t-il lorsque, à 
un même site, domaine ou UO, sont liés plusieurs GPO ? C’est la position relative
d’un GPO dans la liste des liens de GPO pour le site, le domaine ou l’UO qui détermine
sa priorité ; Windows 2000 applique les GPO de même niveau par ordre de priorité
du plus bas au plus haut. (le GPO ayant la priorité la plus élevée est appliqué
en dernier, de façon à  annuler tous les GPO appliqués auparavant). La Figure 4
montre l’onglet Stratégie de groupe d’une UO fictive baptisée Marketing. Le GPO
Nouvelles stratégies de Marketing a la priorité la plus basse, Windows 2000 l’applique
donc en premier et applique en dernier le GPO Stratégies de Marketing. Pour augmenter
ou diminuer la priorité d’un GPO, utilisez les boutons Vers le haut et Vers le
bas de l’onglet Stratégie de groupe pour repositionner le GPO dans la liste.

La véritable complexité des stratégies de groupe réside dans les options
disponibles pour contrôler ce processus

Il ne faut pas oublier qu’il existe une différence importante entre un GPO et
un lien avec un GPO. Lorsqu’un GPO est supprimé, Windows 2000 ne l’applique plus
en aucun cas. Lorsqu’un lien est supprimé, Windows 2000 continue à  l’appliquer
aux autres conteneurs AD auxquels celui-ci est lié. Imaginons un GPO comme un
document de stratégie de ressources humaines (RH) qui peut être affecté à  divers
départements d’une société. Lorsque la stratégie ne s’applique plus à  un département,
le document peut être supprimé seulement de ce département-là  (il s’agit, en fait,
de supprimer le lien avec le GPO).
Lorsque la stratégie n’est plus valide pour l’ensemble de l’entreprise, le document
peut être jeté (il s’agit, cette fois, de supprimer le GPO lui-même).Si un département
doit poursuivre la stratégie, mais avec quelques exceptions, il est possible de
créer un addendum et de l’attacher au document pour ce département (c’est-à -dire
créer un second GPO lié, ayant une priorité plus élevée que le GPO original).
Le processus d’application des GPO suivi par Windows 2000 est très simple. La
véritable complexité des stratégies de groupe réside dans les options disponibles
pour contrôler ce processus. Nous détaillerons ces options dans la 2ème partie
de cette série d’articles.