15.9 Stratégie de groupe Windows (ensembles Utilisateur et Poste de travail)

Vous pouvez spécifier et éditer des stratégies de groupe pour les postes de travail Windows 2000/XP (ensembles Utilisateur et Poste de travail), ainsi que pour les serveurs Terminal Server Windows 2000/2003 (ensemble Utilisateur uniquement).

REMARQUE :la stratégie de groupe Windows est contenue dans les ensembles Utilisateur et Poste de travail. Une stratégie de groupe Windows configurée dans l'ensemble Utilisateur s'applique à tous les utilisateurs associés, indépendamment du poste de travail utilisé. Si vous configurez la stratégie de groupe Windows dans l'ensemble Poste de travail, elle s'applique à tous les utilisateurs qui se loguent à un poste de travail associé.

Les sections suivantes contiennent des informations supplémentaires :

15.9.1 Présentation de la stratégie de groupe Windows

La stratégie de groupe Windows est une extension des stratégies extensibles pour Windows 2000/XP et Active Directory. Il existe des recoupements entre les paramètres des stratégies extensibles Desktop Management et ceux des stratégies de groupe Windows (par exemple, les paramètres accessibles via Configuration utilisateur > Modèles d'administration). Pour plus d'informations sur les stratégies extensibles, reportez-vous à la Section 15.2, Stratégies extensibles utilisateur et stratégies extensibles d'ordinateur (ensembles Poste de travail et Utilisateur).

REMARQUE :ne configurez pas de stratégies de groupe sur un contrôleur de domaine Windows 2000 à l'aide de ConsoleOne. Pour éditer des stratégies de groupe Windows 2000 et Windows XP à l'aide de ConsoleOne, utilisez un poste de travail Windows 2000 ou un poste de travail Windows XP, respectivement.

Si un poste de travail est membre d'un domaine Active Directory, mais n'est pas connecté à ce domaine, les stratégies de groupe Windows contenues dans les ensembles Utilisateur et Poste de travail ne s'appliquent pas.

L'utilisation de ZENworks Desktop Management à des fins de distribution de stratégies de groupe à des postes de travail ou à des utilisateurs auxquels des stratégies de groupe sont déjà distribuées par Active Directory (ou vice versa) n'est pas prise en charge du fait du comportement imprévisible qu'elle produit. ZENworks Desktop Management ne prend pas en charge la distribution de paramètres Active Directory. Pour plus d'informations, reportez-vous à la Section 15.9.5, Importation de stratégies de groupe Windows (ensembles Utilisateur et Poste de travail).

Pour les raisons suivantes, vous devez utiliser des chemins d'accès UNC plutôt que des unités assignées pour importer la stratégie dans Desktop Management :

  • Les utilisateurs pourraient changer leurs scripts de login et modifier des assignations d'unité.
  • Les objets Poste de travail sont souvent logués avant les utilisateurs. Aucune assignation d'unité n'est donc disponible.

Les chemins d'accès UNC permettent de rechercher la stratégie aussi longtemps que le serveur est disponible.

Les stratégies de groupe ont beaucoup changé depuis la version initiale de ZENworks for Desktops 3. Pour plus d'informations, reportez-vous aux sections suivantes :

Stratégies de groupe cumulatives

Les stratégies de groupe sont désormais cumulatives. Cela signifie que les paramètres de plusieurs stratégies de groupe Windows ne s'appliquent pas isolément, mais se cumulent. Les paramètres de plusieurs stratégies de groupe Windows peuvent affecter les utilisateurs et les postes de travail. Les stratégies commencent par les paramètres locaux de stratégie de groupe Windows et sont appliquées en sens inverse de l'ordre de recherche des stratégies. Ainsi, les paramètres des premières stratégies appliquées possèdent les niveaux de priorité les plus bas ; si une autre stratégie comporte les mêmes paramètres, les valeurs de la dernière stratégie appliquée sont prises en compte.

Les paramètres de sécurité ne sont pas cumulatifs ; ils sont définis par la dernière stratégie effective.

Vérification des révisions

L'outil de gestion des stratégies de groupe Windows assure désormais le suivi des révisions des stratégies en vigueur. Tant que les stratégies effectives et leurs révisions restent inchangées, les stratégies de groupe Windows ne sont pas traitées : la stratégie de groupe mise en cache est utilisée.

REMARQUE :Chaque fois que l'on clique sur le bouton Modifier les stratégies, la révision d'une stratégie de groupe Windows est modifiée, ce qui entraîne un nouveau traitement des stratégies.

Caching des stratégies de groupe

La dernière stratégie de groupe Windows traitée est mise en cache localement. Cette opération permet de réduire le trafic réseau en ne traitant les stratégies de groupe Windows que si cela est nécessaire. Si l'utilisateur A se logue à une nouvelle machine, ses stratégies de groupe effectives sont traitées, puis mises en cache.

Si l'utilisateur A se délogue, si l'utilisateur B se logue ensuite et si l'utilisateur B possède les mêmes stratégies de groupe effectives que l'utilisateur A, la stratégie de groupe mise en cache localement est restaurée (les stratégies de groupe Windows ne sont donc pas traitées une nouvelle fois). Si la liste des stratégies effectives est différente ou si la révision d'une stratégie quelconque a été modifiée, les stratégies de groupe Windows sont traitées à nouveau.

Une nouvelle fonctionnalité a été ajoutée à la mise en oeuvre de la stratégie de groupe Windows dans Desktop Management. Les paramètres de la stratégie de groupe Windows des ensembles Utilisateur et Poste de travail peuvent rester effectifs même si le poste de travail est déconnecté du réseau.

Paramètres persistants et temporaires

L'administrateur détermine si les stratégies de groupe Windows sont persistantes ou temporaires. Le paramètre "persistant" indique que lorsque les stratégies de groupe Windows sont définies, elles le restent, même si un utilisateur se logue uniquement à un poste de travail et non au réseau.

Le paramètre "temporaire" indique que les paramètres locaux de stratégie de groupe Windows d'origine sont restaurés lorsque :

  • l'utilisateur se délogue (les paramètres de la stratégie du groupe d'utilisateurs sont supprimés) ;
  • le système s'arrête (les paramètres de la stratégie du groupe de postes de travail sont supprimés).

Utilisation des stratégies de groupe sur les serveurs Terminal Server

Vous pouvez configurer des stratégies de groupe Windows dans un ensemble Utilisateur pour les serveurs Terminal Server Windows 2000 et Windows 2003. Vous pouvez également utiliser la page de la plate-forme Terminal Server Windows 2000-2003 pour définir ces stratégies de sorte qu'elles s'appliquent aux deux plates-formes, de manière à faciliter la gestion des serveurs Terminal Server.

Lors de la configuration des stratégies de groupe Windows pour les serveurs Terminal Server, tenez compte des éléments suivants :

  • Types de paramètres appliqués : Seuls les paramètres Configuration de l'utilisateur sous Types de paramètres appliqués s'appliquent aux serveurs Terminal Server. Les options Configuration de l'ordinateur et Paramètres de sécurité sont indisponibles pour les serveurs Terminal Server.

  • Scripts de fermeture de session : les scripts de fermeture de session ne sont pas pris en charge dans un environnement Terminal Server.

15.9.2 Configuration de la stratégie de groupe Windows dans l'ensemble Utilisateur

  1. Dans ConsoleOne, cliquez avec le bouton droit de la souris sur l'ensemble Utilisateur. Cliquez ensuite sur Propriétés, puis sur la page de la plate-forme appropriée.

    Lors de la sélection de la page de plate-forme appropriée, tenez compte des éléments suivants :

    • Windows NT : pour plus d'informations sur la prise en charge de Desktop Management sur la plate-forme Windows NT, reportez-vous à Interopérabilité avec les postes de travail Windows NT 4 dans le Guide d'installation de Novell ZENworks 7 Desktop Management.

    • Page de plate-forme Windows NT-2000-XP : les paramètres de sécurité n'étant pas enregistrés de la même manière sous Windows 2000 et Windows XP, vous ne pouvez pas utiliser la page de plate-forme Windows NT-2000-XP pour modifier la stratégie de groupe Windows. Pour Windows 2000, les paramètres de sécurité sont enregistrés dans le fichier gpttml.inf ; pour Windows XP, ils sont placés dans le fichier xpsec.dat. Les deux fichiers se trouvent dans le répertoire \stratégies de groupe\machine\microsoft\windows nt\secedit.

      Dans ZENworks 7, l'option Modifier de la page de la plate-forme Windows NT-2000-XP a été désactivée ; pour modifier les stratégies de groupe, vous devez utiliser la page spécifique de la plate-forme de votre choix.

  2. Dans la colonne Activé, cochez la case correspondant à la stratégie de groupe Windows.

    La stratégie est alors sélectionnée et activée.

  3. Cliquez sur Propriétés pour afficher la page Stratégies de groupe Windows.

    Page Stratégies de groupe Windows

  4. Indiquez l'emplacement réseau à utiliser pour les stratégies de groupes.

    Assurez-vous que les utilisateurs disposent des droits appropriés pour accéder à cet emplacement réseau.

    Si vous utilisez une variable d'environnement dans le champ Emplacement réseau des stratégies de groupe existantes/nouvelles, vous devez d'abord régler la variable d'environnement sur le poste de travail de gestion où ConsoleOne est installé et sur tous les postes de travail qui reçoivent cette stratégie de groupe. En outre, vous devez quitter et redémarrer ConsoleOne pour que la variable soit reconnue.

  5. (Conditionnel) Si vous souhaitez importer des stratégies de groupe à partir d'Active Directory, cliquez sur Importer les stratégies.

    Pour plus d'informations, reportez-vous à la Section 15.9.5, Importation de stratégies de groupe Windows (ensembles Utilisateur et Poste de travail).

  6. (Conditionnel) Si vous souhaitez modifier des stratégies de groupe, cliquez sur Modifier les stratégies.

    Pour plus d'informations, reportez-vous à la Section 15.9.4, Modification de stratégies de groupe Windows (ensembles Utilisateur et Poste de travail).

  7. (Facultatif) Cochez la case Les stratégies de groupe restent effectives lors du logout de l'utilisateur pour indiquer que les stratégies de groupe distribuées restent effectives sur le poste de travail local Windows 2000, une fois l'utilisateur délogué.

    IMPORTANT :il est déconseillé d'utiliser les paramètres Les stratégies de groupe restent effectives lors du logout de l'utilisateur et Configuration de l'utilisateur du cache dans un environnement dans lequel les stratégies de groupe de l'utilisateur sont distribuées à des utilisateurs différents sur des postes de travail partagés.

  8. (Facultatif) Cochez la case Configuration de l'utilisateur du cache.

    Le caching des paramètres de configuration utilisateur est différent de l'option Les stratégies de groupe restent effectives lors du logout de l'utilisateur.

    L'option Les stratégies de groupe restent effectives lors du logout de l'utilisateur permet à l'administrateur de conserver les paramètres de stratégies de groupe du dernier utilisateur logué. L'inconvénient de cette approche est que tout utilisateur logué localement (poste de travail uniquement) reçoit les paramètres de stratégies de groupe de la dernière personne loguée au réseau sur ce poste de travail. Si la dernière personne loguée au réseau sur un poste de travail particulier est l'administrateur, tout utilisateur qui se logue ensuite localement reçoit les paramètres de stratégie de l'administrateur.

    Pour éviter ce problème, vous pouvez cocher la case Configuration de l'utilisateur du cache afin de mettre en cache les paramètres de chaque utilisateur.

    Avant d'activer la mise en cache des paramètres de la stratégie de groupe Windows de l'ensemble Utilisateur, vous devez tenir compte des points suivants :

    • La fonctionnalité de mise en cache des paramètres utilisateur est prise en charge sur l'ordinateur dorsal sous NetWare comme sous Windows. Si vous utilisez un serveur Windows sur le système dorsal, vous devez tenir compte des éléments suivants :
      • L'utilisateur doit se loguer avec un compte utilisateur local plutôt qu'un compte de domaine mis en cache. Les paramètres de stratégies de groupe Windows s'appliquent aux comptes de domaine tant que l'utilisateur reste logué à ce domaine. Lorsque l'utilisateur ne se logue pas au domaine, mais utilise un compte de domaine mis en cache, les paramètres de stratégies de groupe Windows de Desktop Management ne s'appliquent pas.
      • Si vous stockez les fichiers de stratégies de groupe sur un serveur Active Directory, les nom d'utilisateur et mot de passe Active Directory doivent correspondre aux références eDirectory.
    • Les utilisateurs doivent posséder des comptes utilisateur local uniques. Les paramètres de stratégies de groupe Windows sont mis en cache dans le profil de l'utilisateur. Ainsi, les utilisateurs dont les stratégies de groupe Windows effectives sont différentes doivent également posséder des comptes utilisateur locaux différents.
    • Chaque utilisateur doit avoir un profil sur la machine sur laquelle les paramètres sont mis en cache. Vous pouvez indiquer ce profil à l'aide des comptes utilisateur locaux ou des comptes DLU, mais le compte ne peut pas être supprimé. Si la stratégie DLU supprime le compte utilisateur local (compte utilisateur temporaire ou compte utilisateur temporaire mis en cache ayant expiré), l'utilisateur ne peut pas se loguer localement.
    • Seuls les paramètres contenus dans le fichier \user\registry.pol sont mis en cache. Cela équivaut approximativement aux Paramètres utilisateur de l'Éditeur de stratégies de groupe, à l'exception des scripts d'ouverture et de fermeture de session (stockés dans le dossier Scripts sous \utilisateur, et par conséquent non mis en cache).

    Lorsque vous cochez la case Configuration de l'utilisateur du cache, les paramètres de configuration utilisateur de chaque stratégie de groupe Windows effective sont stockés dans le profil local de chaque utilisateur. Chaque fois qu'un utilisateur se logue localement, le système lit et applique les paramètres utilisateur de la copie mise en cache du fichier registry.pol contenu dans le profil de cet utilisateur. Les seuls paramètres mis en cache sont ceux stockés dans le fichier registry.pol du dossier \Utilisateur. Les autres paramètres, notamment les scripts d'ouverture et de fermeture de session, les paramètres matériels et les paramètres de sécurité, ne sont pas mis en cache.

    IMPORTANT :il est déconseillé d'utiliser les paramètres Les stratégies de groupe restent effectives lors du logout de l'utilisateur et Configuration de l'utilisateur du cache dans un environnement dans lequel les stratégies de groupe de l'utilisateur sont distribuées à des utilisateurs différents sur des postes de travail partagés.

  9. Dans la zone de groupe Types de paramètres appliqués, activez les options souhaitées.

    Ces options permettent de distribuer les paramètres utilisateur, matériels et de sécurité de Windows à l'aide d'une stratégie utilisateur ou d'une stratégie de poste de travail. Cela constitue une différence par rapport aux versions antérieures, dans lesquelles les paramètres utilisateur étaient distribués à l'aide des ensembles Utilisateur et les paramètres matériels et de sécurité, à l'aide des ensembles Poste de travail.

    Configuration de l'utilisateur : permet de distribuer les paramètres définis dans Configuration de l'utilisateur avec la stratégie de groupe Windows.

    Configuration de l'ordinateur : permet de distribuer les paramètres définis dans Configuration de l'ordinateur (à l'exception des Paramètres de sécurité) avec la stratégie de groupe Windows.

    Paramètres de sécurité : permet de distribuer les paramètres de sécurité Windows avec la stratégie de groupe Windows. Sélectionnez cette option pour appliquer tous les paramètres de sécurité définis sous Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité, y compris Stratégies de compte, Stratégies locales, Stratégies de clé publique et Stratégies de sécurité IP sur machine locale. Les stratégies ne peuvent pas être distribuées une par une et ne se cumulent pas.

    Seuls les paramètres Configuration de l'utilisateur sous Types de paramètres appliqués s'appliquent aux serveurs Terminal Server. Les options Configuration de l'ordinateur et Paramètres de sécurité sont indisponibles pour les serveurs Terminal Server.

  10. Cliquez sur l'onglet Planification des stratégies, puis sélectionnez un type de planification :

    • Planification de l'ensemble
    • Événement
    • Tous les jours
    • Toutes les semaines
    • Tous les mois
    • Tous les ans

    Cliquez sur Paramètres avancés pour définir des paramètres supplémentaires tels que Achèvement, Erreur, Imitation, Priorité et Limite de temps. Pour plus d'informations sur chacun de ces paramètres, cliquez sur le bouton Aide de chaque page.

  11. Cliquez sur OK pour enregistrer la stratégie.

  12. Après avoir configuré toutes les stratégies destinées à cet ensemble, suivez la procédure décrite à la Section 15.13, Association de l'ensemble Utilisateur ou Poste de travail pour associer l'ensemble de stratégies.

15.9.3 Configuration de la stratégie de groupe Windows dans l'ensemble Poste de travail

  1. Dans ConsoleOne, cliquez avec le bouton droit de la souris sur l'ensemble Poste de travail. Cliquez ensuite sur Propriétés, puis sur la page de la plate-forme appropriée.

    Lors de la sélection de la page de plate-forme appropriée, tenez compte des éléments suivants :

    • Windows NT : pour plus d'informations sur la prise en charge de Desktop Management sur la plate-forme Windows NT, reportez-vous à Interopérabilité avec les postes de travail Windows NT 4 dans le Guide d'installation de Novell ZENworks 7 Desktop Management.

    • Page de plate-forme Windows NT-2000-XP : les paramètres de sécurité n'étant pas enregistrés de la même manière sous Windows 2000 et Windows XP, vous ne pouvez pas utiliser la page de plate-forme Windows NT-2000-XP pour modifier la stratégie de groupe Windows. Pour Windows 2000, les paramètres de sécurité sont enregistrés dans le fichier gpttml.inf ; pour Windows XP, ils sont placés dans le fichier xpsec.dat. Les deux fichiers se trouvent dans le répertoire \stratégies de groupe\machine\microsoft\windows nt\secedit.

      Dans ZENworks 7, l'option Modifier de la page de la plate-forme Windows NT-2000-XP a été désactivée ; pour modifier les stratégies de groupe, vous devez utiliser la page spécifique de la plate-forme de votre choix.

  2. Dans la colonne Activé, cochez la case correspondant à la stratégie de groupe Windows.

    La stratégie est alors sélectionnée et activée.

  3. Cliquez sur Propriétés pour afficher la page Stratégies de groupe Windows.

    Page Stratégies de groupe Windows

  4. Indiquez l'emplacement réseau à utiliser pour les stratégies de groupes.

    Assurez-vous que les utilisateurs disposent des droits appropriés pour accéder à cet emplacement réseau.

    Si vous utilisez une variable d'environnement dans le champ Emplacement réseau des stratégies de groupe existantes/nouvelles, vous devez d'abord définir la variable d'environnement sur le poste de travail de gestion où ConsoleOne est installé et sur tous les postes de travail qui reçoivent cette stratégie de groupe. En outre, vous devez quitter et redémarrer ConsoleOne pour que la variable soit reconnue.

  5. (Conditionnel) Si vous souhaitez importer des stratégies de groupe à partir d'Active Directory, cliquez sur Importer les stratégies.

    Pour plus d'informations, reportez-vous à la Section 15.9.5, Importation de stratégies de groupe Windows (ensembles Utilisateur et Poste de travail).

  6. (Conditionnel) Si vous souhaitez modifier des stratégies de groupe, cliquez sur Modifier les stratégies.

    Pour plus d'informations, reportez-vous à la Section 15.9.4, Modification de stratégies de groupe Windows (ensembles Utilisateur et Poste de travail).

  7. (Facultatif) Cochez la case Rendre les paramètres de postes de travail persistants.

    Cette option indique que tous les paramètres de poste de travail pris en charge par Desktop Management (paramètres utilisateur, matériels et de sécurité) de la stratégie de groupe Windows de l'ensemble Poste de travail peuvent rester effectifs (mis en cache) quelle que soit la connectivité du réseau.

    Avant d'activer la mise en cache des paramètres de la stratégie de groupe Windows de l'ensemble Poste de travail, vous devez tenir compte des éléments suivants :

    • La fonction Rendre les paramètres de postes de travail persistants fonctionne aussi bien avec NetWare qu'avec Windows comme système dorsal. Si vous utilisez un serveur Windows comme serveur dorsal et si vous stockez les fichiers de stratégies de groupe Windows sur un serveur Windows, le poste de travail doit appartenir à ce domaine.
    • Pour utiliser cette fonction, vous ne devez pas activer l'option Prise en charge de la fonction Loopback pour les stratégies de groupe dans la stratégie de groupe Windows associée aux les postes de travail pour lesquels vous souhaitez mettre en cache des paramètres (Mode Remplacement et Mode Fusion compris). Si vous désactivez la prise en charge de la fonction Loopback, la configuration de la stratégie utilisateur devient prioritaire sur la configuration de la stratégie de groupe Windows de l'ensemble Poste de travail en cas de conflit.

    Si vous cochez la case Rendre les paramètres de postes de travail persistants, les paramètres des stratégies de groupe Windows effectives pour le poste de travail, déjà stockés dans répertoire_windows\system32\group policy.wkscache s'appliquent, même si le poste de travail ne peut pas se loguer au réseau en tant qu'objet Poste de travail (s'il est déconnecté du réseau, par exemple).

  8. Dans la zone de groupe Types de paramètres appliqués, activez les options souhaitées.

    Ces options permettent de distribuer les paramètres utilisateur, matériels et de sécurité de Windows à l'aide d'une stratégie utilisateur ou d'une stratégie de poste de travail. Cela constitue une différence par rapport aux versions antérieures, dans lesquelles les paramètres utilisateur étaient distribués à l'aide des ensembles Utilisateur et les paramètres matériels et de sécurité, à l'aide des ensembles Poste de travail.

    Configuration de l'utilisateur : permet de distribuer les paramètres définis dans Configuration de l'utilisateur avec la stratégie de groupe Windows.

    Configuration de l'ordinateur : permet de distribuer les paramètres définis dans Configuration de l'ordinateur (à l'exception des Paramètres de sécurité) avec la stratégie de groupe Windows.

    Paramètres de sécurité : permet de distribuer les paramètres de sécurité Windows avec la stratégie de groupe Windows. Sélectionnez cette option pour appliquer tous les paramètres de sécurité définis sous Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité, y compris Stratégies de compte, Stratégies locales, Stratégies de clé publique et Stratégies de sécurité IP sur machine locale. Les stratégies ne peuvent pas être distribuées une par une et ne se cumulent pas.

  9. (Facultatif) Cochez la case Prise en charge de la fonction Loopback pour les stratégies de groupe, puis sélectionnez un mode.

    Lorsque vous activez cette option, les stratégies de l'ensemble Poste de travail ont la priorité sur celles de l'ensemble Utilisateur. La prise en charge de la fonction Loopback propose deux modes, Remplacement et Fusion :

    Ne pas appliquer les paramètres de stratégie de l'utilisateur (mode Remplacement) : ignore tous les paramètres de stratégie de l'utilisateur et applique ceux du poste de travail.

    Appliquer les paramètres de stratégie du poste de travail en dernier (mode Fusion) : applique d'abord les paramètres de stratégie de l'utilisateur, puis ceux du poste de travail. Cette option permet d'appliquer des paramètres utilisateur, mais en cas de conflit, ceux-ci sont remplacés par des paramètres de poste de travail. Les paramètres utilisateur qui ne provoquent pas de conflit restent appliqués.

  10. Cliquez sur l'onglet Planification des stratégies, puis sélectionnez un type de planification :

    • Planification de l'ensemble
    • Événement
    • Tous les jours
    • Toutes les semaines
    • Tous les mois
    • Tous les ans

    Le chargement des fichiers du bureau Windows étant effectué avant celui des paramètres de stratégies de groupe, certaines stratégies de groupe de l'ensemble Poste de travail peuvent se comporter de façon inattendue si elles sont planifiées pour s'exécuter au moment où l'utilisateur se logue. En particulier, les modifications apportées aux paramètres du bureau (par exemple, masquer les Favoris réseau, masquer toutes les icônes du bureau, etc.) ne s'appliqueront pas et les programmes planifiés pour s'exécuter lorsque l'utilisateur se logue à l'aide d'un script de login ne se lanceront pas. Si l'utilisateur se délogue, puis se relogue, les paramètres s'afficheront correctement.

    Pour empêcher ce comportement, évitez de configurer les stratégies de groupe de l'ensemble Poste de travail de manière qu'elles s'exécutent au login de l'utilisateur. Configurez-les de manière à ce qu'elles s'exécutent au démarrage du système, quotidiennement ou régulièrement.

    Si vous configurez des stratégies de groupe pour qu'elles exécutent les scripts de démarrage et si vous planifiez ces stratégies pour qu'elles s'exécutent au démarrage du système, vous devez activer l'option Rendre les paramètres de postes de travail persistants au cours de l'Étape 7. Windows 2000/XP recherchant et exécutant les scripts de démarrage avant que Workstation Manager authentifie et applique les stratégies, les stratégies de groupe configurées pour lancer les scripts de démarrage peuvent ne pas être appliquées lorsqu'elles sont planifiées pour s'exécuter au démarrage du système. Si vous sélectionnez l'option Rendre les paramètres de postes de travail persistants, les paramètres de stratégie de groupe de l'ensemble Poste de travail (ainsi que les scripts de démarrage) sont mis en cache et peuvent donc être appliqués correctement au démarrage suivant du système.

    Cliquez sur Paramètres avancés pour définir des paramètres supplémentaires tels que Achèvement, Erreur, Imitation, Priorité et Limite de temps. Pour plus d'informations sur chacun de ces paramètres, cliquez sur le bouton Aide de chaque page.

  11. Cliquez sur OK pour enregistrer la stratégie.

  12. Après avoir configuré toutes les stratégies destinées à cet ensemble, suivez la procédure décrite à la Section 15.13, Association de l'ensemble Utilisateur ou Poste de travail pour associer l'ensemble de stratégies.

15.9.4 Modification de stratégies de groupe Windows (ensembles Utilisateur et Poste de travail)

  1. Dans ConsoleOne, cliquez avec le bouton droit de la souris sur l'ensemble Utilisateur ou Poste de travail. Cliquez ensuite sur Propriétés, puis sur la page de la plate-forme appropriée.

  2. Dans la colonne Activé, cochez la case correspondant à la stratégie de groupe Windows.

    La stratégie est alors sélectionnée et activée.

  3. Cliquez sur Propriétés pour afficher la page Stratégies de groupe Windows.

  4. Indiquez l'emplacement réseau à utiliser pour les stratégies de groupes.

  5. Cliquez sur Modifier les stratégies.

    Lorsque vous cliquez sur le bouton Modifier les stratégies, vous lancez l'éditeur de Microsoft Management Console. Cet outil permet de modifier une stratégie de l'ensemble Utilisateur ou de l'ensemble Poste de travail. Pour plus d'informations, cliquez sur Aide dans les boîtes de dialogue. Une fois la stratégie modifiée, cliquez sur le bouton Fermer.

    Lorsque vous modifiez des stratégies de groupe, vous devez tenir compte des points suivants :

    • Chemin de répertoire : vérifiez que vous avez sélectionné le chemin de répertoire approprié. Vous risquez en effet de détruire des données. Tous les fichiers contenus dans le répertoire sélectionné, ainsi que dans les sous-répertoires \adm, \utilisateur et \machine, sont supprimés avant que la stratégie de groupe Active Directory ne soit copiée dans ce répertoire.

    • Paramètres de sécurité qui ne peuvent pas être modifiés dans Windows XP : en raison des modifications de Windows XP, vous ne pouvez pas, actuellement, éditer les paramètres de sécurité Windows XP suivants à l'aide de Desktop Management :

      • Sous Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de compte > Stratégie de mot de passe :

         Le mot de passe doit respecter des exigences de complexité    Enregistrer le mot de passe avec un codage réversible

      • Sous Paramètres de sécurité > Stratégies locales > Options de sécurité :

         Accès réseau : permet la traduction de noms/SID anonymes    Comptes : état de compte d'administrateur    Comptes : état de compte d'invité

    • Vérification de la version du système d'exploitation et du niveau de Service Pack dans ZENworks 7 : de nouvelles fonctionnalités ont été ajoutées à ZENworks 7 afin que, sur toutes les plates-formes utilisables pour modifier des stratégies de groupe (Windows 2000, Windows XP et Windows Server 2003), le système vérifie la version du système d'exploitation et le niveau du Service Pack lors de la modification de stratégies de groupe. Par exemple, si vous tentez de modifier sur un poste de travail Windows XP SP2 une stratégie de groupe créée sur un poste de travail Windows XP SP1 ou une version antérieure, ZENworks affiche une boîte de dialogue d'avertissement. Inversement, ZENworks ne permet pas non plus de modifier sur un poste de travail Windows XP ou Windows XP SP1 une stratégie de groupe créée sur un poste de travail Windows XP SP2.

    • Désactivation de paramètres de stratégies de groupe à l'aide de ZENworks 7 : une nouvelle fonctionnalité ajoutée dans ZENworks 7 permet de désactiver certains paramètres d'une stratégie de groupe sans empêcher les modifications ultérieures de la stratégie.

      Dans les versions précédentes de ZENworks, la désactivation de certains paramètres désactivait également l'Éditeur de stratégies de groupe, empêchant toute modification ultérieure de la stratégie concernée. Ces paramètres sont les suivants (ils peuvent varier selon le système d'exploitation et le niveau de Service Pack) :

      • Sous Configuration de l'utilisateur > Modèles d'administration > Composants Windows > Microsoft Management Console :

          Empêcher l'utilisateur de passer en mode auteur    Restreindre les utilisateurs à la liste des snap-ins explicitement autorisés

      • Sous Configuration de l'utilisateur > Modèles d'administration > Composants Windows > Microsoft Management Console > Snap-ins restreints/autorisés > Stratégie de groupe :

          Gestion des stratégies de groupe    Éditeur d'objet de stratégie de groupe

      • Sous Configuration de l'utilisateur > Modèles d'administration > Composants Windows > Microsoft Management Console > Snap-ins restreints/autorisés > Stratégie de groupe > Extensions de snap-ins de la stratégie de groupe :

          Modèles d'administration (ordinateurs)    Modèles d'administration (utilisateurs)    Redirection de dossiers    Maintenance Internet Explorer    Services d'installation à distance    Scripts (ouverture/fermeture de session)    Scripts (démarrage/arrêt)    Paramètres de sécurité    Installation de logiciels (ordinateurs)    Installation de logiciels (utilisateurs)    Stratégies de réseau sans fil (IEEE 802.11)

      Si vous désactivez l'un de ces paramètres et si vous essayez ensuite de modifier la stratégie, un message d'erreur vous informe que le snap-in a été restreint par la stratégie. De plus, l'Éditeur de stratégies de groupe ne s'ouvre pas.

      Dans ZENworks 7, pour éviter ce problème, ces paramètres sont supprimés de la stratégie de groupe et enregistrés à un emplacement local temporaire. Lorsque vous fermez l'éditeur, les paramètres présents dans le fichier temporaire sont fusionnés avec ceux qui se trouvent dans la stratégie de groupe récemment configurée. Si vous avez modifié ces paramètres à l'aide de l'éditeur et si les nouveaux paramètres entrent en conflit avec ceux enregistrés dans le fichier temporaire, les nouveaux paramètres sont prioritaires par rapport aux paramètres d'origine placés dans le fichier temporaire.

  6. Cliquez sur OK pour enregistrer la stratégie.

15.9.5 Importation de stratégies de groupe Windows (ensembles Utilisateur et Poste de travail)

  1. Dans ConsoleOne, cliquez avec le bouton droit de la souris sur l'ensemble Utilisateur ou Poste de travail. Cliquez ensuite sur Propriétés, puis sur la page de la plate-forme appropriée.

  2. Dans la colonne Activé, cochez la case correspondant à la stratégie de groupe Windows.

    La stratégie est alors sélectionnée et activée.

  3. Cliquez sur Propriétés pour afficher la page Stratégies de groupe Windows.

  4. Indiquez l'emplacement réseau à utiliser pour les stratégies de groupes.

  5. Pour importer des stratégies de groupes à partir d'Active Directory, cliquez sur Importer les stratégies, puis renseignez les champs.

    1. Sélectionnez une option d'importation :

      Importer le dossier Active Directory : importe toutes les stratégies de groupe dans le dossier Active Directory. Si vous sélectionnez cette option, indiquez dans le champ Emplacement source le chemin d'accès UNC au dossier contenant les stratégies de groupe, créées par Active Directory, à migrer vers le répertoire désigné dans le champ Emplacement cible des stratégies de groupe migrées. Vous devez connaître ou rechercher le nom unique du répertoire à partir duquel vous importez la stratégie de groupe Active Directory. Vous trouverez ce nom unique en examinant les propriétés de la stratégie de groupe Active Directory.

      Importer le fichier des paramètres de sécurité : permet d'importer des paramètres de sécurité à partir d'un fichier. Si vous sélectionnez cette option, indiquez dans le champ Emplacement source le chemin d'accès UNC au fichier contenant les paramètres de sécurité, créés par Active Directory, à migrer vers le répertoire désigné dans le champ Emplacement cible des stratégies de groupe migrées. Vous devez connaître ou rechercher le nom unique du fichier que vous importez dans la stratégie de groupe.

      Les paramètres de sécurité importés permettent aux administrateurs de ne définir que certains paramètres de sécurité sans affecter les autres paramètres de sécurité. Les paramètres de sécurité peuvent être importés à partir d'une stratégie de groupe ActiveDirectory ou peuvent être créés à l'aide du snap-in Modèles de sécurité de la console MMC (Microsoft Management Console). Pour plus d'informations, reportez-vous à la Création des paramètres de sécurité à l'aide du snap-in Modèles de sécurité de la console MMC (Microsoft Management Console).

      Lorsque vous importez un fichier de paramètres de sécurité ou une stratégie de groupe Active Directory contenant des paramètres de sécurité, les paramètres importés sont enregistrés dans un nouveau fichier appelé zensec.inf.

      Les paramètres de sécurité contenus dans le fichier zensec.inf sont utilisés à la place de ceux qui s'affichent habituellement lorsque l'on modifie la stratégie de groupe dans MMC. Ces derniers ne sont pas exacts et aucune modification n'est appliquée. Si le système détecte des paramètres de sécurité importés, lors de la modification de la stratégie de groupe, un message informe l'utilisateur que les paramètres de sécurité du fichier zensec.inf seront utilisés à la place des paramètres habituels et lui propose d'afficher les paramètres du fichier zensec.inf.

      IMPORTANT :Utilisez des chemins UNC plutôt que des unités assignées pour les stratégies de groupe.

    2. Cliquez sur Importer.

      Le système copie la stratégie de groupe ou le fichier Active Directory dans le répertoire indiqué dans le champ Emplacement cible des stratégies de groupe migrées. Si le répertoire indiqué n'existe pas, le système le crée.

      AVERTISSEMENT :Veillez à sélectionner le chemin de répertoire approprié dans le champ Emplacement cible des stratégies de groupe migrées. Vous pourriez en effet détruire des données. Tous les fichiers contenus dans le répertoire sélectionné, ainsi que dans les sous-répertoires \adm, \utilisateur et \machine, sont supprimés avant que la stratégie de groupe Active Directory ne soit copiée dans ce répertoire.

  6. Cliquez sur OK pour enregistrer la stratégie.

Création des paramètres de sécurité à l'aide du snap-in Modèles de sécurité de la console MMC (Microsoft Management Console)

Nous vous recommandons de créer des paramètres de sécurité plutôt que de modifier des paramètres dans la console MMC. Les paramètres de sécurité que vous cherchez à modifier peuvent en effet contenir des paramètres par défaut superflus. De plus, leur traitement risque d'être long. La création de paramètres permet d'éviter ce problème.

REMARQUE :Pour créer des modèles de sécurité, vous devez vous loguer en tant qu'administrateur ou que membre du groupe Administrateurs. Les paramètres de stratégie réseau peuvent également vous empêcher de créer des modèles de sécurité.

Pour créer des paramètres de sécurité à l'aide du snap-in Modèles de sécurité :

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Saisissez mmc, puis cliquez sur OK.

  3. Cliquez sur Fichier > Ajouter/Supprimer un snap-in pour afficher la boîte de dialogue correspondante.

  4. Sur la page Autonome, cliquez sur Ajouter.

  5. Dans la boîte de dialogue Ajout d'un snap-in autonome, cliquez sur Modèles de sécurité, sur Ajouter, puis sur Fermer pour fermer la boîte de dialogue.

  6. Dans la boîte de dialogue Ajouter/Supprimer un snap-in, cliquez sur OK.

  7. (Facultatif) Dans l'arborescence de la console, cliquez avec le bouton droit de la souris sur Modèles de sécurité, cliquez sur Nouveau chemin de recherche de modèle, puis sélectionnez le nouvel emplacement.

    L'arborescence de la console affiche un dossier situé dans le chemin du nouvel emplacement.

  8. Cliquez avec le bouton droit de la souris sur le dossier dans lequel vous voulez stocker le nouveau modèle, puis cliquez sur Nouveau modèle.

  9. Saisissez un nom et une description pour le modèle, puis cliquez sur OK.

  10. Dans l'arborescence de la console, double-cliquez sur le nouveau modèle de sécurité pour afficher les zones de sécurité et naviguez jusqu'à ce que le paramètre de sécurité à configurer se présente dans le volet droit.

  11. Double-cliquez sur le paramètre de sécurité à configurer, sélectionnez Définir ce paramètre de stratégie dans la case Modèle, modifiez les paramètres, puis cliquez sur OK.

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Saisissez mmc, puis cliquez sur OK.

  3. Cliquez sur Fichier > Ajouter/Supprimer un snap-in pour afficher la boîte de dialogue correspondante.

  4. Sur la page Autonome, cliquez sur Ajouter.

  5. Dans la boîte de dialogue Ajout d'un snap-in autonome, cliquez sur Modèles de sécurité, sur Ajouter, puis sur Fermer pour fermer la boîte de dialogue.

  6. Dans la boîte de dialogue Ajouter/Supprimer un snap-in, cliquez sur OK.

  7. (Facultatif) Dans l'arborescence de la console, cliquez avec le bouton droit de la souris sur Modèles de sécurité, cliquez sur Nouveau chemin de recherche de modèle, puis sélectionnez le nouvel emplacement.

    L'arborescence de la console affiche un dossier situé dans le chemin du nouvel emplacement.

  8. Cliquez avec le bouton droit de la souris sur le dossier dans lequel vous voulez stocker le nouveau modèle, puis cliquez sur Nouveau modèle.

  9. Saisissez un nom et une description pour le modèle, puis cliquez sur OK.

  10. Dans l'arborescence de la console, double-cliquez sur le nouveau modèle de sécurité pour afficher les zones de sécurité et naviguez jusqu'à ce que le paramètre de sécurité à configurer se présente dans le volet droit.

  11. Double-cliquez sur le paramètre de sécurité à configurer, sélectionnez Définir ce paramètre de stratégie dans la case Modèle, modifiez les paramètres, puis cliquez sur OK.