Stratégies, préférences et paramètres orphelins

utilisateur. Les sous-clés par ordinateur sont HKEY_LOCAL_MACHINE\ Software\Policies et HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\ Policies. Les sous-clés par utilisateur sont HKEY_CURRENT_USER\Software\ Policies et HKEY_CURRENT_ USER\ Software\Microsoft\ Windows\CurrentVersion\ Policies.

Si un ordinateur ou un utilisateur a des entrées sous l’une de ces sous-clés dans le registre, l’ordinateur ou l’utilisateur en question reçoit un certain type de stratégie. A quelques exceptions près, les paramètres Administrative Template livrés actuellement avec Windows sont considérés comme des stratégies et écrivent leurs valeurs sous l’une de ces quatre sous-clés.

Microsoft permet également de créer des fichiers modèles .adm personnalisés qui permettent de spécifier des valeurs de registres pour des sous-clés autres que les quatre mentionnées ici. Les modèles personnalisés (appelés preferences) peuvent définir des valeurs sous n’importe quelle clé de registre. Les préférences sont pratiques quand on veut pouvoir définir une valeur de registre pour laquelle Microsoft n’a pas fourni de fichier .adm, comme pour des applications indépendantes des stratégies ou pour des paramètres système Windows qui n’appartiennent pas à l’une des quatre clés de stratégie indiquées ci-dessus. Par exemple, j’ai créé un fichier .adm personnalisé qui permet la journalisation des stratégies de groupe sur des systèmes Windows. Toutes les valeurs de registres qui activent la journalisation sont des préférences. Mais les préférences présentent l’inconvénient de ne pas être supprimées automatiquement si le GPO qui les a délivrées cesse de s’appliquer à l’ordinateur ou à l’utilisateur. Dans ce cas, le résultat est désigné sous le nom de tatouage et il sévissait avec les stratégies système dans NT 4.0 et Win9x.

Il est important d’être au courant des préférences, car elles peuvent causer des difficultés inextricables face à des problèmes liés à GPO. Comme les préférences ne sont pas supprimées avec le GPO, il faut définir explicitement une préférence comme Not Configured ou la désactiver avant de supprimer le GPO qui la met en oeuvre ; Supprimer le GPO sans désactiver d’abord la préférence risque d’engendrer des paramètres de stratégie tatoués.

Les stratégies que l’on voit dans GPE sous les sections Administrative Templates sont fonction des fichiers .adm que les GPO utilisent. Supposons que l’on ait édité un fichier .adm Microsoft pour ajouter un paramètre de préférence pour une valeur de registre que l’on veut imposer. Dans la prochaine release du service pack Windows, Microsoft met à jour ce fichier .adm et vos options de préférences sont perdues. Comme la stratégie a déjà été activée, ce paramètre est stocké dans le GPO. Toutefois, vous ne pouvez plus voir la préférence dans GPE et donc vous ne pouvez pas annuler le paramètre. Ce paramètre est alors orphelin. Dans un tel cas, il faudrait refaire votre préférence personnalisée dans le fichier .adm afin de pouvoir à nouveau la gérer. Une meilleure pratique consiste à toujours créer un fichier .adm séparé pour tous les paramètres de stratégie personnalisés et à ne pas éditer les fichiers Microsoft .adm.

Après avoir exécuté RSoP sur le client en cause, l’étape suivante consiste à identifier le paramètre de stratégie responsable du problème. Bien que vous puissiez très facilement essayer de supprimer tous les GPO qui s’appliquent à un utilisateur ou à un ordinateur donné et peut-être résoudre ainsi le problème immédiat, cette manoeuvre ne vous aidera pas à trouver le paramètre de stratégie responsable. De plus, si cette approche vaut pour les stratégies Administrative Template, comme mentionné ci-dessus, elle ne marchera pas pour les préférences. Pas plus d’ailleurs que pour les stratégies de sécurité, lesquelles tatouent aussi vos systèmes parce qu’elles ne disparaissent pas quand vous supprimez le GPO qui les délivre. Par conséquent, pour cerner l’origine du problème, il nous faudra quelques autres outils et techniques.