Présentation de la règle de groupe Windows

La règle de groupe Windows est une extension des règles extensibles pour Windows 2000/XP et Active Directory. Il existe des recoupements au niveau des paramètres entre les règles de groupe Windows et les règles extensibles Desktop Management, comme sous Configuration utilisateur > Modèles d'administration. Pour plus d'informations sur les règles extensibles, reportez-vous à Règles utilisateur et règles d'ordinateur extensibles (ensembles Poste de travail et Utilisateur).

REMARQUE :  Vous ne devez pas configurer les règles de groupe sur un contrôleur de domaine Windows 2000 à l'aide de ConsoleOne. Pour modifier les règles de groupe via ConsoleOne, vous devez utiliser un poste de travail Windows 2000 pour modifier les règles de groupe Windows 2000 et un poste de travail Windows XP pour modifier les règles de groupe Windows XP.

Si un poste de travail est membre d'un domaine Active Directory, mais n'est pas connecté à ce domaine, les règles de groupe Windows contenues dans les ensembles Utilisateur et Poste de travail ne s'appliquent pas.

Pour les raisons suivantes, vous devez utiliser des chemins d'accès UNC plutôt que des unités assignées pour importer la règle dans Desktop Management :

• Les utilisateurs pourraient changer leurs scripts de login et modifier des assignations d'unité.
• Les objets Poste de travail sont souvent logués avant les utilisateurs. C'est pourquoi aucune assignation d'unité n'est disponible.

Les chemins d'accès UNC permettent de rechercher la règle aussi longtemps que le serveur est disponible.

Les règles de groupes ont largement changé depuis la version initiale de ZENworks for Desktops 3. Pour plus d'informations, reportez-vous aux sections suivantes :

• Règles de groupe cumulatives
• Vérification des révisions
• Caching des règles de groupe
• Paramètres persistants et temporaires
• Utilisation des règles de groupe sur les serveurs Terminal Server

Configuration de la règle de groupe Windows dans l'ensemble Utilisateur

1. Dans ConsoleOne, cliquez avec le bouton droit de la souris sur l'ensemble Utilisateur. Cliquez ensuite sur Propriétés, puis sur la page de plate-forme appropriée.

   Lors de la sélection de la page de plate-forme appropriée, tenez compte des éléments suivants :

   • Windows NT : Pour plus d'informations sur la prise en charge de la gestion de bureau sur la plate-forme Windows NT, reportez-vous à "Interoperability with Windows NT 4 Workstations (Interopérabilité avec les postes de travail Windows NT 4)" dans le manuel Novell ZENworks 6.5 Desktop Management Installation Guide (Guide d'installation de Novell ZENworks 6.5 Desktop Management).

   • Page de plate-forme Windows NT-2000-XP : Les paramètres de sécurité n'étant pas enregistrés de la même manière sur Windows 2000 et sur Windows XP, vous ne pouvez pas utiliser la page de plate-forme Windows NT-2000-XP pour modifier la règle de groupe Windows. Pour Windows 2000, les paramètres de sécurité sont enregistrés dans le fichier gpttml.inf, alors que pour Windows XP ils sont enregistrés dans le fichier xpsec.dat. Les deux fichiers se trouvent dans le répertoire \règles_de_groupe\machine\microsoft\windows nt\secedit.

     Dans ZENworks 6.5 SP1, l'option Modifier de la page de la plate-forme Windows NT-2000-XP a été désactivée ; vous devez utiliser la page spécifique à la plate-forme de votre choix pour modifier les règles de groupe.

2. Cochez la case située dans la colonne Activé de la règle de groupe Windows.

   La règle est alors sélectionnée et activée.

3. Cliquez sur Propriétés pour afficher la page Règles de groupe Windows.

   
   

4. Indiquez l'emplacement réseau pour les nouvelles règles de groupes ou les règles de groupes existantes.

   Assurez-vous que les utilisateurs disposent des droits appropriés pour accéder à cet emplacement réseau.

   Si vous utilisez une variable d'environnement dans le champ Emplacement réseau des règles de groupe existantes/nouvelles, vous devez d'abord définir la variable d'environnement sur le poste de travail de gestion où ConsoleOne est installé et sur tous les postes de travail qui reçoivent cette règle de groupe. Vous devez également quitter, puis redémarrer ConsoleOne pour que la variable soit reconnue.

5. (Conditionnel) Si vous souhaitez importer des règles de groupe à partir d'Active Directory, cliquez sur Importer la règle.

   Pour plus d'informations, reportez-vous à Importation de règles de groupe Windows (ensembles Utilisateur et Poste de travail).

6. (Conditionnel) Si vous souhaitez modifier des règles de groupe existantes, cliquez sur Modifier les règles.

   Pour plus d'informations, reportez-vous à Modification de règles de groupe Windows existantes (ensembles Utilisateur et Poste de travail).

7. (Facultatif) Cochez la case Les règles de groupe restent effectives lors du logout de l'utilisateur pour indiquer que les règles de groupe distribuées restent effectives sur le poste de travail local Windows une fois l'utilisateur délogué.

   IMPORTANT :   Nous vous déconseillons d'utiliser à la fois les paramètres Les règles de groupe restent effectives lors du logout de l'utilisateur et les paramètres Configuration de l'utilisateur du cache dans un environnement dans lequel les règles de groupe de l'utilisateur ont été appliquées à différents utilisateurs sur des postes de travail communs.

8. (Facultatif) Cochez la case Configuration de l'utilisateur du cache.

   Le caching des paramètres de configuration utilisateur est différent de l'option Les règles de groupe restent effectives lors du logout de l'utilisateur.

   L'option Les règles de groupe restent effectives lors du logout de l'utilisateur permet à l'administrateur de conserver les paramètres de règles de groupe du dernier utilisateur logué. L'inconvénient de cette approche est que tout utilisateur logué localement (poste de travail uniquement) reçoit également les paramètres de règles de groupe de la dernière personne loguée au réseau sur ce poste de travail. Si la dernière personne loguée au réseau sur un poste de travail particulier est l'administrateur, tout utilisateur qui se loguera ensuite localement recevra les paramètres de règle de l'administrateur.

   Pour éviter cette situation, vous pouvez activer la case Configuration de l'utilisateur du cache afin de mettre en cache les paramètres de chaque utilisateur.

   Avant d'activer le caching des paramètres dans la règle de groupe Windows de l'ensemble Utilisateur, tenez compte des éléments suivants :

   • La fonction Paramètres de l'utilisateur du cache fonctionne aussi bien avec NetWare qu'avec Windows comme système dorsal. Si vous utilisez un serveur Windows comme serveur dorsal, tenez compte des éléments suivants :
     • L'utilisateur doit être logué avec un compte utilisateur local et non un compte de domaine mis en cache. Les paramètres de règles de groupe Windows s'appliquent aux comptes de domaine tant que l'utilisateur reste logué à ce domaine. Lorsque l'utilisateur ne se logue pas au domaine, mais utilise un compte de domaine mis en cache, les paramètres de règles de groupe Windows de Desktop Management ne s'appliquent pas.
     • Si vous stockez les fichiers de règles de groupe sur un serveur Active Directory, le nom d'utilisateur et le mot de passe Active Directory doivent correspondre aux références eDirectory.
   • Les utilisateurs doivent posséder des comptes utilisateur locaux uniques. Les paramètres de règles de groupe Windows sont mis en cache dans le profil de l'utilisateur. Ainsi, les utilisateurs dont les règles de groupe Windows effectives sont différentes doivent également posséder des comptes utilisateur locaux différents.
   • Chaque utilisateur doit posséder un profil sur l'ordinateur dans lequel les paramètres sont mis en cache. Vous pouvez indiquer ce profil à l'aide des comptes utilisateur locaux ou des comptes DLU (Dynamic Local User - Utilisateur local dynamique), mais le compte ne peut pas être supprimé. Si la règle DLU supprime le compte utilisateur local (à l'aide d'un compte utilisateur temporaire ou d'un compte utilisateur temporaire mis en cache expiré), l'utilisateur ne peut pas se loguer localement.
   • Seuls les paramètres contenus dans le fichier \user\registry.pol sont mis en cache. Cela équivaut approximativement aux paramètres utilisateur de l'éditeur de règles de groupe, à l'exception des scripts d'ouverture et de fermeture de session (qui sont stockés dans le dossier Scripts sous \Utilisateur, et par conséquent non mis en cache).

   Lorsque vous cochez la case Configuration de l'utilisateur du cache, les paramètres de configuration utilisateur de chaque règle de groupe Windows effective sont stockés dans chaque profil local de l'utilisateur. Chaque fois qu'un utilisateur se logue localement, les paramètres utilisateur sont lus à partir de la copie mise en cache dans le fichier registry.pol contenu dans le profil de cet utilisateur et sont appliqués. Les seuls paramètres mis en cache sont ceux stockés dans le fichier registry.pol du dossier Utilisateur. Les autres paramètres, notamment les scripts d'ouverture et de fermeture de session, les paramètres matériels et les paramètres de sécurité, ne sont pas mis en cache.

   IMPORTANT :   Nous vous déconseillons d'utiliser à la fois les paramètres Les règles de groupe restent effectives lors du logout de l'utilisateur et les paramètres Configuration de l'utilisateur du cache dans un environnement dans lequel les règles de groupe de l'utilisateur ont été appliquées à différents utilisateurs sur des postes de travail communs.

9. Cochez les options souhaitées dans la zone Types de paramètres appliqués.

   Ces options permettent de distribuer les paramètres utilisateur, matériels et de sécurité de Windows à l'aide d'une règle utilisateur ou une règle de poste de travail. Cette option diffère de celle des versions antérieures dans lesquelles les paramètres utilisateur étaient distribués à l'aide des ensembles Utilisateur et les paramètres matériels et de sécurité à l'aide des ensembles Poste de travail.

   Configuration de l'utilisateur : Permet de forcer les paramètres sous Configuration de l'utilisateur avec la règle de groupe Windows.

   Configuration de l'ordinateur : Permet de forcer les paramètres sous Configuration de l'ordinateur (à l'exception des paramètres de sécurité) avec la règle de groupe Windows.

   Paramètres de sécurité : Permet de forcer les paramètres de sécurité Windows avec la règle de groupe Windows. Sélectionnez cette option pour appliquer tous les paramètres de sécurité sous Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité, y compris Règles de compte, Règles locales, Règles de clé publique et Règles de sécurité IP sur machine locale. Les règles ne peuvent pas être forcées une par une et elles ne sont pas cumulatives.

   REMARQUE :  Seuls les paramètres Configuration de l'utilisateur sous Types de paramètres appliqués s'appliquent aux serveurs Terminal Server. Les options Configuration de l'ordinateur et Paramètres de sécurité ne sont pas disponibles pour les serveurs Terminal Server.

10. Cliquez sur l'onglet Planification des règles > sélectionnez un type de planification :

       Planification de l'ensemble

       Événement

       Tous les jours

       Toutes les semaines

       Tous les mois

       Tous les ans

    Cliquez sur Paramètres avancés pour définir des paramètres supplémentaires tels que Achèvement, Erreur, Imitation, Priorité et Limite de temps. Pour plus d'informations sur chacun de ces paramètres, cliquez sur le bouton Aide de chaque page.

11. Cliquez sur OK pour enregistrer la règle.

12. Une fois toutes les règles configurées pour cet ensemble, suivez la procédure décrite sous Association de l'ensemble Utilisateur ou Poste de travail pour associer l'ensemble de règles.

Configuration de la règle de groupe Windows dans l'ensemble Poste de travail

1. Dans ConsoleOne, cliquez avec le bouton droit de la souris sur l'ensemble Poste de travail. Cliquez ensuite sur Propriétés, puis sur la page de la plate-forme appropriée.

   Lors de la sélection de la page de plate-forme appropriée, tenez compte des éléments suivants :

   • Windows NT : Pour plus d'informations sur la prise en charge de la gestion de bureau sur la plate-forme Windows NT, reportez-vous à "Interoperability with Windows NT 4 Workstations (Interopérabilité avec les postes de travail Windows NT 4)" dans le manuel Novell ZENworks 6.5 Desktop Management Installation Guide (Guide d'installation de Novell ZENworks 6.5 Desktop Management).

   • Page de plate-forme Windows NT-2000-XP : Les paramètres de sécurité n'étant pas enregistrés de la même manière sur Windows 2000 et sur Windows XP, vous ne pouvez pas utiliser la page de plate-forme Windows NT-2000-XP pour modifier la règle de groupe Windows. Pour Windows 2000, les paramètres de sécurité sont enregistrés dans le fichier gpttml.inf, alors que pour Windows XP ils sont enregistrés dans le fichier xpsec.dat. Les deux fichiers se trouvent dans le répertoire \règles_de_groupe\machine\microsoft\windows nt\secedit.

     Dans ZENworks 6.5 SP1, l'option Modifier de la page de la plate-forme Windows NT-2000-XP a été désactivée ; vous devez utiliser la page spécifique à la plate-forme de votre choix pour modifier les règles de groupe.

2. Cochez la case située dans la colonne Activé de la règle de groupe Windows.

   La règle est alors sélectionnée et activée.

3. Cliquez sur Propriétés pour afficher la page Règles de groupe Windows.

   
   

4. Indiquez l'emplacement réseau pour les nouvelles règles de groupes ou les règles de groupes existantes.

   Assurez-vous que les utilisateurs disposent des droits appropriés pour accéder à cet emplacement réseau.

   Si vous utilisez une variable d'environnement dans le champ Emplacement réseau des règles de groupe existantes/nouvelles, vous devez d'abord définir la variable d'environnement sur le poste de travail de gestion où ConsoleOne est installé et sur tous les postes de travail qui reçoivent cette règle de groupe. Vous devez également quitter, puis redémarrer ConsoleOne pour que la variable soit reconnue.

5. (Conditionnel) Si vous souhaitez importer des règles de groupe à partir d'Active Directory, cliquez sur Importer la règle.

   Pour plus d'informations, reportez-vous à Importation de règles de groupe Windows (ensembles Utilisateur et Poste de travail).

6. (Conditionnel) Si vous souhaitez modifier des règles de groupe existantes, cliquez sur Modifier les règles.

   Pour plus d'informations, reportez-vous à Modification de règles de groupe Windows existantes (ensembles Utilisateur et Poste de travail).

7. (Facultatif) Cochez la case Rendre les paramètres de postes de travail persistants.

   Sélectionnez cette option pour indiquer que tous les paramètres de poste de travail pris en charge par Desktop Management (paramètres utilisateur, matériels et de sécurité) de la règle de groupe Windows de l'ensemble Poste de travail peuvent rester effectifs (mis en cache) quelle que soit la connectivité du réseau.

   Avant d'activer le caching des paramètres dans la règle de groupe Windows de l'ensemble Poste de travail, tenez compte des éléments suivants :

   • La fonction Rendre les paramètres de postes de travail persistants fonctionne aussi bien avec NetWare qu'avec Windows comme système dorsal. Si vous utilisez un serveur Windows comme serveur dorsal et que vous stockez les fichiers de règles de groupe Windows sur un serveur Windows, le poste de travail doit appartenir à ce domaine.
   • Pour utiliser cette fonction, vous ne devez pas activer l'option Prise en charge de la fonction Loopback pour les règles de groupe dans la règle de groupe Windows associée à tous les postes de travail pour lesquels vous souhaitez mettre en cache des paramètres (mode Remplacement et mode Fusion compris). Si vous n'activez pas la prise en charge de la fonction Loopback, la configuration dans la règle de l'utilisateur est prioritaire par rapport à la configuration dans la règle de groupe Windows de l'ensemble Poste de travail en cas de conflit de paramètres.

   Si vous cochez la case Rendre les paramètres de postes de travail persistants, les paramètres des règles de groupe Windows effectives du poste de travail qui sont déjà stockés dans répertoire_windows\system32\group policy.wkscache s'appliquent, même si ce poste de travail ne peut pas se loguer au réseau en tant qu'objet Poste de travail (lorsque le poste de travail est déconnecté du réseau, par exemple).

8. Cochez les options souhaitées dans la zone Types de paramètres appliqués.

   Ces options permettent de distribuer les paramètres utilisateur, matériels et de sécurité de Windows à l'aide d'une règle utilisateur ou une règle de poste de travail. Cette option diffère de celle des versions antérieures dans lesquelles les paramètres utilisateur étaient distribués à l'aide des ensembles Utilisateur et les paramètres matériels et de sécurité à l'aide des ensembles Poste de travail.

   Configuration de l'utilisateur : Permet de forcer les paramètres sous Configuration de l'utilisateur avec la règle de groupe Windows.

   Configuration de l'ordinateur : Permet de forcer les paramètres sous Configuration de l'ordinateur (à l'exception des paramètres de sécurité) avec la règle de groupe Windows.

   Paramètres de sécurité : Permet de forcer les paramètres de sécurité Windows avec la règle de groupe Windows. Sélectionnez cette option pour appliquer tous les paramètres de sécurité sous Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité, y compris Règles de compte, Règles locales, Règles de clé publique et Règles de sécurité IP sur machine locale. Les règles ne peuvent pas être forcées une par une et elles ne sont pas cumulatives.

9. (Facultatif) Cochez la case Prise en charge de la fonction Loopback pour les règles de groupe, puis sélectionnez un mode.

   Lorsque vous activez cette option, les règles de l'ensemble Poste de travail ont la priorité sur les règles de l'ensemble Utilisateur. La prise en charge de la fonction Loopback propose deux modes, Remplacement et Fusion :

   Ne pas appliquer les paramètres de règle de l'utilisateur (mode Remplacement) : Activez cette option pour ignorer tous les paramètres de règle de l'utilisateur et appliquer les paramètres de règle du poste de travail.

   Appliquer les paramètres de règle du poste de travail en dernier (mode Fusion) : Activez cette option pour appliquer d'abord les paramètres de règle de l'utilisateur, puis les paramètres de règle du poste de travail. Cette option permet d'appliquer des paramètres utilisateur, mais en cas de conflit, ceux-ci sont remplacés par des paramètres de poste de travail. Les paramètres utilisateur qui ne provoquent pas de conflit restent appliqués.

10. Cliquez sur l'onglet Planification des règles > sélectionnez un type de planification :

       Planification de l'ensemble

       Événement

       Tous les jours

       Toutes les semaines

       Tous les mois

       Tous les ans

    Le chargement des fichiers du bureau Windows se terminant avant le chargement des paramètres de règles de groupe, certaines règles de groupe de l'ensemble Poste de travail peuvent se comporter de façon étrange si elles sont planifiées pour s'exécuter au moment où l'utilisateur se logue. En particulier, les modifications apportées aux paramètres du bureau (par exemple, masquer les Favoris réseau, masquer toutes les icônes du bureau, etc.) ne s'appliqueront pas et les programmes planifiés pour s'exécuter lorsque l'utilisateur se logue à l'aide d'un script de login ne se lanceront pas. Si l'utilisateur se délogue, puis se relogue, les paramètres s'afficheront correctement.

    Pour empêcher ce comportement, ne configurez pas les règles de groupe de l'ensemble Poste de travail pour qu'elles s'exécutent au moment où l'utilisateur se logue. Configurez-les pour une exécution au démarrage du système, quotidiennement ou régulièrement.

    Si vous configurez des règles de groupe pour qu'elles exécutent les scripts de démarrage et que vous planifiez ces règles pour qu'elles s'exécutent au démarrage du système, vous devez activer l'option Rendre les paramètres de postes de travail persistants au cours de l'Etape 7. Dans la mesure où Windows 2000/XP recherche et exécute les scripts de démarrage avant que Workstation Manager authentifie et applique les règles, les règles de groupe configurées pour lancer les scripts de démarrage peuvent ne pas être appliquées lorsqu'elles sont planifiées pour s'exécuter au démarrage du système. Si vous sélectionnez l'option Rendre les paramètres de postes de travail persistants, les paramètres de règle de groupe de l'ensemble Poste de travail (ainsi que les scripts de démarrage) sont mis en cache et pourront être appliqués correctement lors du prochain démarrage du système.

    Cliquez sur Paramètres avancés pour définir des paramètres supplémentaires tels que Achèvement, Erreur, Imitation, Priorité et Limite de temps. Pour plus d'informations sur chacun de ces paramètres, cliquez sur le bouton Aide de chaque page.

11. Cliquez sur OK pour enregistrer la règle.

12. Une fois toutes les règles configurées pour cet ensemble, suivez la procédure décrite sous Association de l'ensemble Utilisateur ou Poste de travail pour associer l'ensemble de règles.

Modification de règles de groupe Windows existantes (ensembles Utilisateur et Poste de travail)

1. Dans ConsoleOne, cliquez avec le bouton droit de la souris sur Ensemble utilisateur ou sur Ensemble Poste de travail. Cliquez ensuite sur Propriétés, puis sur la page de la plate-forme appropriée.

2. Cochez la case située dans la colonne Activé de la règle de groupe Windows.

   La règle est alors sélectionnée et activée.

3. Cliquez sur Propriétés pour afficher la page Règles de groupe Windows.

4. Indiquez l'emplacement réseau pour les nouvelles règles de groupes ou les règles de groupes existantes.

5. Cliquez sur Modifier les règles.

   Lorsque vous cliquez sur le bouton Modifier les règles, vous lancez l'éditeur de Microsoft Management Console. Cet outil vous permet de modifier une règle de l'ensemble Utilisateur ou de l'ensemble Poste de travail. Pour plus d'informations, cliquez sur Aide dans les boîtes de dialogue. Une fois la règle modifiée, cliquez sur le bouton Fermer.

   Lorsque vous modifiez des règles de groupe, vous devez tenir compte des points suivants :

   • Chemin de répertoire : Vérifiez que vous avez sélectionné le chemin de répertoire approprié, car vous pourriez détruire des données. Tous les fichiers contenus dans le répertoire sélectionné ainsi que dans les sous-répertoires Adm, Utilisateur et Machine sont supprimés avant que la règle de groupe Active Directory ne soit copiée dans ce répertoire.

   • Paramètres de sécurité qui ne peuvent pas être modifiés dans Windows XP : En raison des modifications de Windows XP, vous ne pouvez pas, actuellement, éditer les paramètres de sécurité Windows XP suivants à l'aide de Desktop Management :

     • Sous Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité > Règles de compte > Règle de mot de passe :

          Le mot de passe doit respecter des exigences de complexité
          Enregistrer le mot de passe en utilisant un codage réversible

     • Sous Paramètres de sécurité > Stratégies locales > Options de sécurité :

          Accès réseau : Permet la traduction de noms/SID anonymes
          Comptes : État de compte d'administrateur
          Comptes : État de compte d'invité

   • Vérification de la version du système d'exploitation et du niveau de Service Pack dans ZENworks 6.5 SP1 : De nouvelles fonctionnalités ont été ajoutées à ZENworks 6.5 SP1 afin que, sur toutes les plates-formes utilisables pour modifier des règles de groupe (Windows 2000, Windows XP et Windows Server 2003), la version du système d'exploitation et le niveau du Service Pack soient vérifiés lors de la modification de règles de groupe. Par exemple, si vous tentez de modifier sur un poste de travail Windows XP SP2 une règle de groupe qui a été créée sur un poste de travail Windows XP SP1 ou version antérieure, ZENworks 6.5 SP1 affiche une boîte de dialogue d'avertissement. Inversement, ZENworks 6.5 SP1 ne vous permet pas non plus de modifier sur un poste de travail Windows XP ou Windows XP SP1 une règle de groupe qui a été créée sur un poste de travail Windows XP SP2.

   • Désactivation de paramètres de règles de groupe à l'aide de ZENworks 6.5 SP1 : Dans ZENworks 6.5 Support Pack 1 (SP1), une nouvelle fonctionnalité a été ajoutée afin de vous permettre de désactiver certains paramètres de règles de groupe sans empêcher de futures modifications de la règle.

     Dans les versions précédentes de ZENworks, la désactivation de certains paramètres désactivait également l'Éditeur de règles de groupe, empêchant toute modification ultérieure de cette règle. Ces paramètres sont les suivants (le nombre de paramètres peut varier selon le système d'exploitation et le niveau de Service Pack) :

     • Sous Configuration de l'utilisateur > Modèles d'administration > Composants Windows > Microsoft Management Console :

          Empêcher l'utilisateur de passer en mode auteur
          Restreindre les utilisateurs à la liste des composants logiciels enfichables explicitement autorisés

     • Sous Configuration de l'utilisateur > Modèles d'administration > Composants Windows > Microsoft Management Console > Composants logiciels enfichables restreints/autorisés > Stratégie de groupe :

          Gestion de stratégie de groupe
          Éditeur d'objets de stratégie de groupe

     • Sous Configuration de l'utilisateur > Modèles d'administration > Composants Windows > Microsoft Management Console > Composants logiciels enfichables restreints/autorisés > Stratégie de groupe > Extensions de logiciels enfichables de stratégie de groupe :

          Modèles d'administration (ordinateurs)
          Modèles d'administration (utilisateurs)
          Redirection de dossiers
          Maintenance Internet Explorer
          Services d'installation à distance
          Scripts (ouverture/fermeture de session)
          Scripts (démarrage/arrêt)
          Paramètres de sécurité
          Installation de logiciels (ordinateurs)
          Installation de logiciels (utilisateurs)
          Sans fil - IEEE 802.11

     Si vous désactivez l'un de ces paramètres et que vous essayez ensuite de modifier la règle, un message d'erreur s'affiche pour vous informer que le snap-in a été restreint par la règle. De plus, l'Éditeur de règles de groupe ne s'ouvre pas.

     Pour éviter ce problème, dans ZENworks 6.5 SP1, ces paramètres sont supprimés de la règle de groupe et enregistrés à un emplacement local temporaire. Lorsque vous fermez l'éditeur, les paramètres présents dans le fichier temporaire sont fusionnés avec ceux qui se trouvent dans la règle de groupe récemment configurée. Si vous avez apporté des modifications à ces paramètres à l'aide de l'éditeur et que ces paramètres sont désormais en conflit avec ceux enregistrés dans le fichier temporaire, les nouveaux paramètres sont prioritaires par rapport aux paramètres d'origine déplacés dans le fichier temporaire.

   • Utilisation de Windows XP SP2 avec ZENworks 6.5 : Les paramètres de sécurité des règles de groupe de Windows XP SP2 contiennent deux nouvelles attributions des droits utilisateur : Créer des objets globaux et Emprunter l'identité d'un client après l'authentification. Pour accéder à ces attributions, sélectionnez Configuration ordinateur > Paramètres de Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateur dans l'Éditeur de stratégie de groupe (gpedit.msc).

     En raison de ces changements, si vous modifiez sur un poste de travail Windows XP SP2 une règle de groupe qui a été créée sur un poste de travail Windows XP SP1 ou version antérieure, ou inversement, la règle est enregistrée avec les paramètres Windows XP SP2, ce qui risque d'empêcher sa distribution sur un poste de travail Windows XP SP1 ou version antérieure.

     Si vous utilisez ZENworks 6.5 et non ZENworks 6.5 SP1 pour gérer les règles de groupe, nous vous recommandons de ne pas procéder à la mise à niveau vers Windows XP SP2 en raison de problèmes connus. Ces problèmes ont été résolus dans ZENworks 6.5 SP1.

     Si vous avez déjà installé Windows XP SP2 et que vous souhaitez continuer d'utiliser ZENworks 6.5, reportez-vous au TID10095342.

6. Cliquez sur OK pour enregistrer la règle.

Importation de règles de groupe Windows (ensembles Utilisateur et Poste de travail)

1. Dans ConsoleOne, cliquez avec le bouton droit de la souris sur Ensemble utilisateur ou sur Ensemble Poste de travail. Cliquez ensuite sur Propriétés, puis sur la page de la plate-forme appropriée.

2. Cochez la case située dans la colonne Activé de la règle de groupe Windows.

   La règle est alors sélectionnée et activée.

3. Cliquez sur Propriétés pour afficher la page Règles de groupe Windows.

4. Indiquez l'emplacement réseau pour les nouvelles règles de groupes ou les règles de groupes existantes.

5. Pour importer des règles de groupes à partir d'Active Directory, cliquez sur Importer la règle, puis renseignez les champs.

   1. Sélectionnez une option d'importation :

      Importer le dossier Active Directory : Permet d'importer toutes les règles de groupe dans le dossier Active Directory. Si vous sélectionnez cette option, indiquez dans le champ Emplacement source le chemin d'accès UNC au dossier contenant les règles de groupe créées par Active Directory que vous souhaitez migrer vers le répertoire indiqué dans le champ Emplacement cible des règles de groupe migrées. Vous devez connaître ou rechercher le nom unique du répertoire à partir duquel vous importerez la règle de groupe Active Directory. Vous pouvez rechercher le nom unique en examinant les propriétés de la règle de groupe Active Directory.

      Importer le fichier des paramètres de sécurité : Permet d'importer des paramètres de sécurité à partir d'un fichier. Si vous sélectionnez cette option, indiquez dans le champ Emplacement source le chemin d'accès UNC au fichier contenant les paramètres de sécurité créés par Active Directory que vous souhaitez migrer vers le répertoire indiqué dans le champ Emplacement cible des règles de groupe migrées. Vous devez connaître ou rechercher le nom unique du fichier que vous importerez dans la règle de groupe.

      IMPORTANT :  Utilisez des chemins UNC plutôt que des unités assignées pour les règles de groupe.

   2. Cliquez sur Importer.

      Cette opération copie la règle de groupe ou le fichier Active Directory dans le répertoire indiqué dans le champ Emplacement cible des règles de groupe migrées. Si le répertoire indiqué n'existe pas, il sera créé.

      AVERTISSEMENT :  Veillez à sélectionner le chemin de répertoire correct dans le champ Emplacement cible des règles de groupe migrées, car vous pourriez détruire des données. Tous les fichiers contenus dans le répertoire sélectionné ainsi que dans les sous-répertoires Adm, Utilisateur et Machine sont supprimés avant que la règle de groupe Active Directory ne soit copiée dans ce répertoire.

      Les paramètres de sécurité importés permettent aux administrateurs de définir uniquement certains paramètres de sécurité sans affecter l'ensemble des paramètres de sécurité restants. Les paramètres de sécurité peuvent être importés à partir d'une règle de groupe Active Directory ou peuvent être créés à l'aide de l'outil de configuration et analyse de la sécurité de Microsoft Management Console (MMC).

      Lorsque vous importez une règle de groupe Active Directory contenant des paramètres de sécurité ou que vous importez un fichier de paramètres de sécurité, les paramètres importés sont enregistrés dans un nouveau fichier appelé zensec.inf.

      Les paramètres de sécurité contenus dans le fichier zensec.inf seront utilisés à la place des paramètres de sécurité qui s'affichent habituellement lorsque vous modifiez la règle de groupe dans MMC. Les paramètres de sécurité affichés dans MMC ne seront pas corrects et toutes les modifications effectuées ne seront pas appliquées. Si des paramètres de sécurité importés sont détectés lors de la modification de la règle de groupe, un message informe l'utilisateur que les paramètres de sécurité contenus dans le fichier zensec.inf seront utilisés à la place des paramètres habituels et propose à l'utilisateur d'afficher les paramètres du fichier zensec.inf.

6. Cliquez sur OK pour enregistrer la règle.