Comprendre les stratégies de groupe

Dans cette leçon, nous allons voir comment placer les stratégies de groupe afin que les paramètres soient appliqués correctement et nous allons voir aussi le système d’héritage.

Configuration et paramètres

Comment on peut le voir dans l’éditeur de gestion des stratégies de groupe, il y a deux configurations possibles qui sont :

  • Ordinateurs
  • Utilisateurs

Chaque configuration comporte des Stratégies et préférences qui sont composés de paramètre qui permettent de configurer des éléments.

Il existe des différences subtiles entres les stratégies et les préférences, la principale différence est : les préférences contrairement aux stratégies ne sont appliquées et peuvent être modifiées par l’utilisateur.

Les préférences sont également appelées GPP (Group Policy Preference).

Placement de la stratégie pour l’application des paramètres et configuration

En fonction des paramètres de configuration Ordinateurs ou Utilisateurs que l’on veut appliquer, il convient de placer la stratégie de groupe sur le bon conteneur (Racine ou OU) pour l’application sur les bons objets.

Les stratégies de groupe sont hérités sur les OU inférieures de la même façon que les droits NTFS.

Une stratégie placée à la racine du domaine sera appliqué à l’ensemble des objets.

Afin de comprendre le placement, nous allons prendre un exemple. La stratégie COURS AD, qui va configurer Windows Update, qui est un paramètre Ordinateur.

Maintenant, nous allons voir en fonction du placement à quels objets, la stratégie de groupe va être appliquée.

Exemple 1 : Stratégie liée à la racine :

Liée à la racine du domaine, la stratégie va être appliqué à l’ensemble des ordinateurs du domaine

Exemple 2 : Stratégie liée à l’OU Services :

Dans cette configuration, la stratégie de groupe sera appliquée à l’ensemble des ordinateurs présents dans l’OU Services et dans les sous OU.

Exemple 3 : Stratégie liée à l’OU Services/IT/Computers :

Dans cette configuration, la stratégie COURS AD qui est appliquée sur l’OU Services/IT/Computers (3-1) ne sera appliquée qu’aux ordinateurs de l’OU, dans l’exemple à l’ordinateur LAB-CLT3 (3-2).

Exemple 4 : Stratégie liée à l’OU Services/IT/Users :

Dans cette configuration (4-1), la stratégie ne sera pas appliquée, car aucun objet ordinateur se trouve dans l’OU (4-2) où la stratégie de groupe est liée.

Cet exemple permet de vous montrez qu’il faut lier la stratégie sur un conteneur en fonction de la configuration ordinateur ou utilisateur.

Dans de nombreux cas, quand les paramètres d’une stratégie de groupe ne sont pas appliqués ceci est dû à une erreur de liaison en fonction des paramètres.

Ordre de traitement et priorité

Que se passe t il si plusieurs stratégies de groupe modifie le même paramètre ?

C’est la stratégie qui aura l’ordre de liens le plus faible (1 étant le plus faible) qui sera prioritaire. Pour voir l’ordre d’application, il faut se placer sur le conteneur et aller sur l’onglet Objets de stratégie de groupe liés. Il est possible de modifier l’ordre d’application, en sélectionnant la stratégie et en modifiant l’ordre avec les flèches.

Les stratégies liées au plus proche de l’OU sont prioritaires sur les stratégies héritées, pour visualiser l’ordre de l’ensemble de stratégie, il faut se placer sur le conteneur et aller sur l’onglet Héritage de stratégie de groupe.

Bloquer l’héritage

Il est possible de casser l’héritage des stratégies de groupe sur OU, pour cela il faut faire un clic droit dessus cliquer sur Bloquer l’héritage. Une icône bleue avec un ! s’affiche sur l’unité d’organisation.

Les stratégies ayant l’option appliquée sont toujours héritées.

Stratégie « appliqué »

L’option « appliqué », qui est accessible en faisait un clic droit sur la stratégie de groupe permet de rendre cette stratégie prioritaire en lui donnant un point faible sur l’ensemble des stratégies de groupe et n’est pas sensible au blocage de l’héritage.

Une stratégie avec l’option « appliqué » à un cadenas sur son nom.

Exemple 1 : à gauche la stratégie Default Domain Policy n’est pas appliqué et on peut voir qu’elle a un ordre de lien à 2, une fois la stratégie « appliqué », image de droite on voit que le l’ordre de lien est à 1.

Exemple 2 : à gauche la stratégie Default Domain Policy n’est pas appliqué et l’héritage est bloquée sur l’unité d’organisation, on peut voir que la stratégie est absente. A droite la stratégie Default Domain Policy est « appliqué » et on peut voir que celle-ci est maintenant dans les stratégies avec un ordre de lien à 1.

Traitement par boucle de rappel – Loopback processing

Au début de la leçon, je vous ai expliqué, l’importance du placement de la stratégie de groupe à l’OU par rapport aux paramètres de configuration qui sont activées.

Il existe une exception à ce placement, qui permet d’appliquer des paramètres de configuration utilisateurs dans une unité d’organisation qui comporte des ordinateurs, qui est le traitement par boucle de rappel, qui va permettre d’appliquer la configuration utilisateurs à des ordinateurs.

Pour illustrer le Loopback processing, ci-dessous une configuration de stratégie de groupe qui n’a normalement aucun effet. Sur la droite on peut voir une stratégie de groupe avec des préférences utilisateurs qui mappe un lecteur et qui est liée à l’OU Services/IT/Computers qui contient un ordinateur. Dans cette configuration, quand un utilisateur va ouvrir une session, le lecteur P ne sera pas mappé, pour que cette stratégie fonctionne, il faudrait que l’utilisateur soit dans l’OU Services/IT/Computers.

Il faut activer le traitement par boucle de rappel à l’aide d’une stratégie de groupe qui doit avoir un ordre plus faible que les stratégies de configuration utilisateurs sur l’OU Services/IT/Computers. Avec cette configuration, les paramètres de configuration utilisateur seront appliqués.

Il existe deux modes de traitement :

  • Fusionner : applique les autres configurations utilisateurs présents en dehors de l’unité d’organisation de l’ordinateur.
  • Remplacer : applique seulement les paramètres des configurations utilisateurs lié à l’OU où se trouve l’ordinateur.

Les captures ci-dessous montrent les paramètres de la stratégie de groupe pour le traitement par boucle de rappel et son ordre d’exécution.

Traitement des stratégies de groupe sur les ordinateurs (synchrone / asynchrone)

Pour finir cette leçon, nous allons aborder le traitement des stratégies de groupe sur les ordinateurs.

Afin d’optimiser l’expérience utilisateur et réduire le délai d’ouverture de session, les stratégies de groupe sont traités de manière asynchrone, c’est-à-dire qu’elles sont exécutées après ouvertures de la session ce qui peut expliquer pourquoi les lecteurs réseaux ne sont pas disponible immédiatement.

Il existe des exceptions au traitement asynchrone :

  • Première ouverture de session de l’utilisateur sur l’ordinateur.
  • Redirection de dossiers, pour la première application le traitement doit être fait de manière synchrone.
  • Les sessions de bureau à distance sont traités de manière synchrone.

Toujours dans l’optimisation de l’expérience utilisateur un cache des stratégies de groupe est disponible sur l’ordinateur.

Le traitement asynchrone permet de gagner dans certaines configurations plusieurs minutes, les stratégies de mappage d’imprimantes peuvent prendre beaucoup de temps.

Le comportement synchrone / asynchrone peut être modifié à l’aide d’une stratégie de groupe.