Il s'agit d'une Question canonique sur les bases de la stratégie de groupe Active Directory
Qu'est-ce que la stratégie de groupe? Comment ça marche et pourquoi devrais-je l'utiliser?
Remarque: Il s'agit d'une question et réponse à un nouvel administrateur qui ne connaît peut-être pas son fonctionnement et sa puissance.
La stratégie de groupe est un outil disponible pour les administrateurs qui exécutent un Windows 20 ou version ultérieure domaine Active Directory . Il permet une gestion centralisée des paramètres sur les ordinateurs clients et les serveurs joints au domaine et fournit un moyen rudimentaire de distribuer les logiciels.
Les paramètres sont regroupés en objets appelés objets de stratégie de groupe (GPO). Les objets de stratégie de groupe sont liés à une unité d'organisation Active Directory (OU) et peuvent être appliqués aux utilisateurs et aux ordinateurs. Les objets de stratégie de groupe ne peuvent pas être appliqués directement à des groupes, mais vous pouvez utiliser filtrage de sécurité ou ciblage au niveau de l'élément pour filtrer l'application de stratégie en fonction de l'appartenance au groupe.
N'importe quoi.
Sérieusement, vous pouvez faire tout ce que vous voulez aux utilisateurs ou aux ordinateurs de votre domaine. Il existe des centaines de paramètres prédéfinis pour des choses comme la redirection de dossiers, la complexité des mots de passe, les paramètres d'alimentation, les mappages de lecteurs, le chiffrement des lecteurs, Windows Update , etc. Tout ce que vous ne pouvez pas configurer via un paramètre prédéfini que vous pouvez contrôler via un script. Les scripts batch et VBScript sont pris en charge sur tous les clients pris en charge et les scripts PowerShell peuvent être exécutés sur les hôtes Windows 7.
Astuce professionnelle: Vous pouvez réellement exécuter des scripts de démarrage PowerShell sur Windows XP et les hôtes Windows Vista ainsi que tant qu'ils avoir PowerShell 2.0 installé. Vous pouvez créer un fichier batch qui appelle le script avec cette syntaxe:
powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted
La première ligne permet d'exécuter des scripts non signés à partir de partages distants sur cet hôte et la deuxième ligne appelle le script à partir du fichier de commandes. Le troisième ensemble de lignes définit la politique sur restreint (par défaut) pour une sécurité maximale.
Les objets de stratégie de groupe sont appliqués dans un ordre prévisible. Les politiques locales sont appliquées en premier. Des stratégies sont définies sur la machine locale via gpedit.msc. Les politiques du site sont appliquées en second. Les stratégies de domaine sont appliquées en troisième et les stratégies d'unité d'organisation sont appliquées en quatrième. Si un objet est imbriqué dans plusieurs unités d'organisation, les objets de stratégie de groupe sont appliqués en premier sur les unités d'organisation les plus proches de la racine.
Gardez à l'esprit que s'il y a un conflit, le - dernier GPO appliqué "gagne". Cela signifie, par exemple, que la stratégie liée à l'unité d'organisation qui un ordinateur réside gagnera s'il y a un conflit entre un paramètre dans ce GPO et un lié dans une unité d'organisation parent).
Un script de connexion ou de démarrage peut vivre sur n'importe quel partage réseau tant que le Domain Users
et Domain Computers
les groupes ont un accès en lecture au partage sur lequel ils se trouvent. Traditionnellement, ils résident dans \\domain.tld\sysvol
, mais ce n'est pas obligatoire.
Les scripts de démarrage sont exécutés au démarrage de l'ordinateur. Ils sont exécutés en tant que compte SYSTEM sur la machine locale. Cela signifie qu'ils accèdent aux ressources réseau en tant que compte de l'ordinateur. Par exemple, si vous vouliez qu'un script de démarrage ait accès à une ressource réseau sur un partage qui a le UNC of \\server01\share1
et le nom de l'ordinateur était WORKSTATION01
vous devez vous assurer que WORKSTATION01$
avait accès à ce partage. Comme ce script est exécuté en tant que système, il peut faire des choses comme installer un logiciel, modifier des sections privilégiées du registre et modifier la plupart des fichiers sur la machine locale.
Les scripts d'ouverture de session sont exécutés dans le contexte de sécurité de l'utilisateur connecté localement. J'espère que vos utilisateurs ne sont pas administrateurs, ce qui signifie que vous ne pourrez pas les utiliser pour installer des logiciels ou modifier les paramètres de registre protégés.
Les scripts de connexion et de démarrage étaient une pierre angulaire de Windows 2003 et des domaines antérieurs, mais leur utilité a été réduite dans les versions ultérieures de Windows Server. Les préférences de stratégie de groupe offrent aux administrateurs une bien meilleure façon de gérer les mappages de lecteur et d'imprimante, les raccourcis, les fichiers, les entrées de registre, l'appartenance au groupe local et bien d'autres choses qui ne pouvaient être effectuées que dans un script de démarrage ou de connexion. Si vous pensez que vous pourriez avoir besoin d'utiliser un script pour une tâche simple, il y a probablement une stratégie de groupe ou une préférence pour cela. De nos jours sur les domaines avec des clients Windows 7 (ou version ultérieure), seules les tâches complexes nécessitent des scripts de démarrage ou de connexion.
Ouais je sais. J'ai été là. Cela est particulièrement courant dans les laboratoires universitaires ou d'autres scénarios informatiques partagés où vous souhaitez que certaines des stratégies utilisateur pour les imprimantes ou les ressources similaires soient basées sur l'ordinateur, et non sur l'utilisateur. Devinez quoi, vous avez de la chance! Vous souhaitez activer le paramètre GPO pour Mode de bouclage de stratégie de groupe .
Je vous en prie.
Oui, vous le pouvez. Il y a cependant quelques mises en garde. Le logiciel doit être au format MSI , et toute modification doit être dans un format MST fichier. Vous pouvez créer un MST avec un logiciel comme ORCA ou tout autre éditeur MSI. Si vous n'effectuez pas de transformation, votre résultat final sera le même que l'exécution de msiexec /i <path to software> /q
Le logiciel n'est également installé qu'au démarrage, ce n'est donc pas un moyen très rapide de distribuer le logiciel, mais c'est gratuit. Dans un environnement de laboratoire à petit budget, j'ai créé une tâche planifiée (via GPO) qui redémarrera chaque ordinateur de laboratoire à minuit avec un décalage aléatoire de 30 minutes. Cela garantira que les logiciels sont, au maximum, périmés un jour dans ces laboratoires. Pourtant, des logiciels comme SCCM , LANDesk , Altaris , ou toute autre chose qui peut "pousser" le logiciel sur demande est préférable.
Les clients actualisent leurs objets de stratégie de groupe toutes les 90 minutes avec une randomisation de 30 minutes. Cela signifie que, par défaut, il peut y avoir jusqu'à 120 minutes d'attente. En outre, certains paramètres, tels que les mappages de lecteurs, la redirection de dossiers et les préférences de fichiers, ne sont appliqués qu'au démarrage ou à la connexion. La stratégie de groupe est destinée à la gestion planifiée à long terme, pas aux situations de réparation rapide instantanée.
Les contrôleurs de domaine actualisent leur stratégie toutes les cinq minutes.
Remarque rapide sur les préférences de stratégie de groupe: si vous souhaitez utiliser ces paramètres mais que vous disposez de postes de travail Windows XP SP2 ou Windows XP SP3, ceux-ci devront d'abord être installés Extensions côté client de préférence de stratégie de groupe pour Windows XP (KB943729) .
Il y a une valeur par défaut Computers container
sous la racine du domaine Active Directory (AD), qui est souvent confondu avec une unité d'organisation (OU) Active Directory. Il s'agit en fait d'un Container
et non d'un OU
. Étant donné qu'il ne s'agit pas réellement d'une unité d'organisation, les stratégies de groupe ne s'appliquent pas aux objets de ce conteneur. Les exceptions à cette règle sont les stratégies de groupe appliquées au domain level
. Ce seront les seules politiques appliquées aux objets dans le Computers container
.
Par défaut, les objets informatiques joints au domaine, qui ne sont pas préétagés, accédez à Computers container
.
Donc, si vous vous demandez pourquoi votre stratégie ne s'applique pas, vérifiez que l'objet en question est au bon endroit dans AD.
Vous pouvez sauvegarder des objets de stratégie de groupe à l'aide de la console de gestion des stratégies de groupe (GPMC).
Group Policy Objects
dans la forêt et le domaine contenant l'objet de stratégie de groupe (GPO) que vous souhaitez sauvegarder.Group Policy Objects
et cliquez sur Back Up All
.Backup
. Si vous sauvegardez plusieurs GPO, la description s'appliquera à tous les GPO que vous sauvegardez.La grande chose à propos de la sauvegarde des stratégies de groupe, c'est qu'il a un contrôle de version intégré. Cela signifie que vous pouvez utiliser cette procédure plusieurs fois et qu'elle suivra les changements entre les stratégies. Vous pouvez ensuite restaurer vers une version spécifique d'une stratégie.
Vous pouvez même configurer une tâche planifiée pour exécuter un script PowerShell qui utilise la commande Backup-GPO pour automatiser les sauvegardes.
Vous souhaitez toujours sauvegarder (en utilisant une méthode de sauvegarde conventionnelle) le dossier dans lequel vous sauvegardez les GPO.
Vous êtes venu ici à la recherche d'un script Powershell simple que vous pouvez ajouter aux tâches planifiées pour sauvegarder vos objets de stratégie de groupe? Vous n'avez pas AGPM du pack MDOP?
Voici.
Le premier effectue une sauvegarde quotidienne rotative pour le jour de la semaine. Vous devrez créer le chemin du dossier à l'avance pour chaque dossier (dimanche/lundi/etc.) Je n'ai pas utilisé New-Item car j'ai compris pourquoi gérer un Test-Item et un New-Item chaque fois que ceux-ci sont dossiers vraiment statiques après le jour 1. Vous aurez besoin des modules AD Powershell disponibles sur le serveur sur lequel vous l'exécutez.
# GPOBackupScriptDayOfWeek.PS1
# This script Backup all GPOs and save it to a folder based on the day of the week
# It runs as an automated task on SERVER and we keep a one week rotation on disk
Import-Module grouppolicy
$date = get-date
$dayofweek = $date.DayofWeek
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$dayofweek\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$dayofweek
Même chose ici, mais cette fois c'est pour un mensuel. Encore une fois, créez les dossiers à l'avance comme janvier, février, etc.
# GPOBackupScript.PS1
# This script Backup all GPOs and save it to a folder each month on the first of the month
# It runs as an automated task on SERVER and we keep a one year rotation
Import-Module grouppolicy
$month = get-date -Format MMMM
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$month\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$month