> Tech > Stratégie système et Stratégie de groupe

Stratégie système et Stratégie de groupe

Tech - Par iTPro - Publié le 24 juin 2010
email

La ligne de partage entre la Stratégie de groupe Windows 2000 et la Stratégie système de Windows NT 4.0, qui peut comprendre des stratégies d'ordinateurs et d'utilisateurs, est la suivante : Windows 2000 et Windows NT 4.0 appliquent la stratégie à  partir du domaine dans lequel se trouvent les comptes

Stratégie système et Stratégie de groupe

respectifs.
Dans le cas le plus simple, lorsque les comptes d’ordinateurs et d’utilisateurs
se trouvent dans un domaine Windows NT 4.0, les clients exécutant l’une ou l’autre
plate-forme appliquent les paramètres d’ordinateurs et d’utilisateurs du fichier
de la stratégie système Windows NT 4.0, ntconfig.pol. Lorsqu’ils se trouvent dans
un domaine Windows 2000, le système d’exploitation applique les paramètres de
Stratégie de groupe équivalents pour l’ordinateur et l’utilisateur. Lorsqu’un
compte d’ordinateur se trouve dans un domaine Windows NT 4.0 et que le compte
de l’utilisateur se trouve dans un domaine Windows 2000, le client reçoit de ntconfig.pol
les paramètres de stratégie de l’ordinateur et de la Stratégie de groupe Windows
2000, les paramètres d’utilisateur applicables. Dans le cas contraire, lorsque
le compte d’ordinateur se trouve dans un domaine Windows 2000 et le compte d’utilisateur
dans un domaine Windows NT 4.0, les paramètres de l’ordinateur viennent de la
Stratégie de groupe Windows 2000 et ceux de l’utilisateur de la stratégie système
de Windows NT 4.0.



Vous est-il jamais arrivé de définir une stratégie système, connecté à  un système
où la stratégie devrait s’appliquer, et de découvrir qu’elle ne se chargeait pas
? Certains fournisseurs de systèmes OEM livrent apparemment des systèmes Windows
2000 et Windows NT 4.0 avec un paramètre du registre qui désactive l’application
de la stratégie système. Dans ce cas, l’entrée du registre UpdateMode dans la
clé du registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Update est
sur 0. Si vous mettez UpdateMode sur 1 (Mode automatique), le système recherche
un fichier de stratégie système baptisé ntconfig.pol dans le partage Netlogon
du serveur chargé de l’authentification. Si vous mettez UpdateMode sur 2 (Mode
manuel), le système recherche le fichier de stratégie système dans l’emplacement
défini par l’entrée du registre qui l’accompagne, Networkpath.



Stratégie système qui ne migre pas. Pour des raisons de sécurité,
les administrateurs créent souvent une stratégie système Windows NT 4.0 qui empêche
l’ordinateur d’afficher le dernier nom d’utilisateur connecté. Le nom du dernier
utilisateur connecté peut aussi être supprimé dans Windows 2000, mais comme les
deux OS stockent ce paramètre dans différents emplacements du registre, Windows
2000 n’hérite pas de ce paramètre de stratégie système Windows NT 4.0. Pour désactiver
l’affichage du dernier utilisateur connecté dans Windows 2000, il faut modifier
manuellement le registre de chaque système. Comme le montre la Figure 6, Windows
2000 stocke ce paramètre de connexion dans le chemin du registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system.
L’entrée du registre est DontDisplayLastUserName du type REG_DWORD. Lorsqu’elle
a la valeur 0, Windows 2000 affiche le dernier nom d’utilisateur et quand elle
est sur 1, Windows 2000 supprime le nom d’utilisateur



Ce paramétrage disparaît aussi lors d’une migration de système NT 4.0 à  Windows
2000. La fonction peut être réactivée en effectuant l’édition du registre ci-dessus
ou en modifiant la stratégie du système local. Lancez la console MMC (Microsoft
Management Console) et ajoutez le composant enfichable Stratégie de groupe. La
MMC change le composant Stratégie de groupe en Stratégie d’ordinateur local, lorsqu’il
est chargé sur une station de travail ou un serveur qui n’est pas contrôleur de
domaine. Allez à  la clé Options de sécurité (Paramètres Windows, Stratégies locales)
et déroulez la sous-fenêtre de droite jusqu’à  l’option  » Ne pas afficher le dernier
nom d’utilisateur dans l’écran de connexion  » Cliquez à  droite sur cette entrée
et cochez la case Activer. Rebootez le système pour activer le changement.



Stratégie de groupe Windows 2000 et débogage de l’environnement.
Les problèmes d’environnement utilisateur peuvent être débogués dans Windows NT
4.0, si la version de débogage (build contrôlé) de userenv.dll est installée,
mais ce n’est pas très pratique, parce qu’il faut reconfigurer, arrêter et rebooter
pour activer les fonctions de débogage de la version de la build contrôlée de
la dll. Il est difficile de déboguer une couche après l’autre les paramètres effectués
avec la stratégie d’ordinateur, la stratégie d’utilisateur et les scripts de logon,
mais il n’existe pas de bonne technique pour déboguer les problèmes d’environnement
de Windows 2000.



Windows 2000 est doté d’une fonction intégrée de débogage de l’environnement et
il suffit d’ajouter une clé et deux entrées de valeurs. Cette fonction est très
utile quand il s’agit de résoudre des problèmes de Stratégie de groupe locaux
ou de domaines avec des ordinateurs et des utilisateurs, l’initialisation à  distance,
la gestion des applications, la stratégie IPSec etc.

Ouvrez un éditeur de registre, allez à  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT \CurrentVersion\, et ajoutez une nouvelle clé baptisée Diagnostics (qui n’est
pas installée par défaut). Lorsque vous y êtes invité, laissez la clé de classe
vide. Quatre entrées différentes peuvent être ajoutées à  la clé Diagnostics :
une pour demander à  Windows 2000 de consigner toute l’activité de l’environnement
de l’utilisateur, une autre pour lui indiquer de ne consigner que les événements
de la Stratégie de groupe, une pour indiquer à  Windows 2000 de consigner l’activité
d’initialisation à  distance, et la dernière pour lui indiquer de ne consigner
que les événements liés à  la gestion des applications.



Pour consigner tous les paramètres d’environnement et de stratégie de l’utilisateur
mis en oeuvre dans Windows 2000, lorsqu’un utilisateur se connecte, ajoutez l’entrée
RunDiagnosticLoggingGlobal du type REG_DWORD et donnez la valeur 1 à  la clé Diagnostics.
La Figure 7 montre l’entrée du registre nécessaire pour activer le débogage de
tous les événements. Pour activer la consignation des événements de la Stratégie
de groupe, ajoutez l’entrée RunDiagnosticLoggingGroupPolicy du type REG_DWORD
avec la valeur 1. Pour activer la consignation de l’activité d’initialisation
à  distance, ajoutez l’entrée RunDiagnosticLoggingIntelliMirror du type REG_DWORD
avec la valeur 1, et pour consigner les événements de gestion des applications,
ajoutez l’entrée RunDiagnosticLoggingAppDeploy du type REG_DWORD avec la valeur
1.



Déconnectez-vous et reconnectez-vous pour lire les copieux rapports du journal
des événements Applications indiquant ce qui ne va pas et où se posent les problèmes.
N’oubliez pas de supprimer la clé Diagnostics, une fois les problèmes résolus,
pour que le journal Applications ne se remplisse pas de messages de débogage.

Téléchargez gratuitement cette ressource

Protection des Données : 10 Best Practices

Protection des Données : 10 Best Practices

Le TOP 10 des meilleures pratiques, processus et solutions de sécurité pour mettre en œuvre une protection efficace des données et limiter au maximum les répercutions d’une violation de données.

Tech - Par iTPro - Publié le 24 juin 2010