La console MMC

Accueil | Qui suis-je ?. | Windows 2000 | Les liens

La console MMC

Mode auteur

Mode utilisateur

Accès total

Accès limité ; fenêtres multiples

Accès limité ,fenêtre simple

Note le mode auteur et le mode utilisateur peuvent modifier la MMC

Pour pouvoir modifier une MMC en mode utilisateur il est conseillé d’avoir une version en mode auteur
Pour empêcher les modifications de la MMC il faut attribuer au fichier .MSC la permission lecture uniquement

Stratégie de groupe

Permet de contrôler l’administration des utilisateurs et des ordinateurs du réseau

Permet la décentralisation de l’administration

3 niveaux d’administrations 3 niveaux de stratégie de groupe

Admins de l’entreprise	Site
Admins du domaine	Domaine
Administrateurs	OU

La stratégie de groupe ne s’applique uniquement aux versions de Windows 2000 et non pas aux versions antérieures

Le GPO (Group Policy Object)

Permet de contrôler des configurations utilisateurs et ordinateurs spécifiques

Modèle d’administration : basée sur le registre
Sécurité : contrôle d’accès au réseau ,contrôle des comptes utilisateurs
Installation logicielle : ajout :suppression de logiciel automatiquement
Scripts : spécifie l’exécution des scripts au démarrage et à l’arrêt de l’ordinateur.
Service installation à distance : permet le contrôle via RIS aux clients
Maintenance Internet : personnalisation I.E.
Redirection de dossier : paramétrage du profil utilisateur et lien aux dossiers partagés.

Actualisation des stratégies

Par défaut	90 mn pour les ordinateurs W2K
	5 mn pour les contrôleurs de domaine

Ces valeurs peuvent être changées en modifiant le paramètre du modèle d’administration pour la configuration de l’utilisateur ou de l’ordinateur. L’actualisation ne peut être programmée à une heure donnée.

Conflit entre les stratégies de groupe

Entre le conteneur parent et le conteneur enfant c’est la stratégie du groupe du conteneur enfant qui sera appliquée

Entre deux stratégies de groupe dans le même conteneur c’est la stratégie la plus haute qui est appliquée.

L’héritage des stratégies

Bloquer l’héritage

Empêcher tous les GPO d’hériter des stratégies du conteneur parent

(S’applique au niveau du conteneur ou l’on souhaite bloquer la stratégie)

Aucun remplacement

Force toutes les stratégies du conteneur parents à être appliquées même si le conteur enfant fait un blocage de stratégie

Surveillance des stratégies

Activer l’option inscription dans le journal d’événement

<Démarrer> <Exécuter> taper <regedit> dans la clé HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurentVersion ajouter la valeur dword <RunDiagnosticLoggingGlobal > et entrer la valeur <1> (Augmenter la taille du journal d’événement)

Activation de l’option inscription commentée

<Démarrer> <Exécuter> taper <regedit> dans la clé HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurentVersion\Winlogon ajouter la valeur dword <UserEnvDebudLevel > et entrer la valeur

<30002> pour l’option inscription commentée

<30001> pour l’inscription des erreurs et des avertissements

<30001> pour ne rien inscrire

Les outils dur le CD

répertoire Support tools

netdiag.exe outils en ligne de commande permet d’isoler les problèmes de connectivitée et de gestion du réseau

replmon.exe outil graphique pour résoudre les problèmes de stratégie de groupe lié à une duplication incomplète du conteneur

Le kit de ressource

gptools.exe utilitaire de ligne de commande pour vérifier la santé des GPO sur les contrôleurs de domaine

gpresult.exe utilitaire en ligne de commande pour afficher l’impact d’un GPO sur un ordinateur local et l’utilisateur qui ouvre sa session

les modèles d’administration

Ils permettent de configurer, de vérifier et de d’implémenter des modèles de sécurité en vue de modéliser et simplifier l’implémentation d’un environnement utilisateur

Dans la base de registre sous HKEY_LOCAL_MACHINE (HKLM)

Le GPO est dans la clé HKLM\Software\Microsoft\Windows\CurrentVersion\Policies

Les paramètres utilisateurs

Dans la base de registre sou HKEY_CURRENT_USER (HKCU)

Le GPO est dans la clé HKCU\Software\Microsoft\Windows\CurrentVersion\Policies

Application des paramètres de modèle d’administration sur les ordinateurs

L'ordinateur client démarre. Il récupère la liste des objets GPO approprié et l’utilisateur ouvre sa session
l’ordinateur client se connecte à SYSVOL et localise les fichiers Registry.pol
1. l’ordinateur client écrit dans les sous-aborescences du Registre HKCU HKLM
2. la boite de dialogue d’ouverture de session apparaît

Affectation de scripts à l’aide d’une stratégie de groupe

Pour automatiser l’exécution des scripts et appliquer les stratégies à un groupe ou un utilisateur lors du démarrage ou l’arrêt de l’ordinateur

La valeur du traitement d’un script est de 10mn si le script dure plus de 10mn il faut modifier ce temps d’attente sous Configuration ordinateur\Modèle d’administration\système\Ouverture de session

\délais d’attente maximal pour les scripts de stratégie de groupe

Affectation d’un script à un GPO

Localiser le modèle du script (GPT) à l’aide de l’explorateur de Windows

Ouvrir le GPO

sous Configuration ordinateur pour les scripts de démarrage ou d’arrêt

sous Configuration utilisateur pour les scripts d’ouverture et fermeture de session

développer Paramètres Windows puis Scripts puis cliquer sur Afficher les fichiers puis Ajouter puis Ouvrir enfin <OK>

Utilisation d’une GPO pour rediriger des dossiers

Utiliser pour rediriger des dossiers qui font partie du profil de l’utilisateur et les rediriger vers un répertoire partagé du serveur

Choix des dossiers à rediriger

Dossier	Contenu	Objectif de la redirection vers le serveur
Mes documents	Données personnelles	Accéder aux données personnelles à partir d’un ordinateur quelconque, ces données peuvent être sauvegardées et gérées de manière centralisée
Menu Démarrer	Dossiers et raccourcis du Menu Démarrer	Les menus Démarrer des utilisateurs sont standardisés
Bureau	Tous fichiers que l’utilisateur place sur le bureau	Les utilisateurs ont le même bureau quel que soit l’ordinateur
Application DATA	Données spécifiques à un utilisateur stockées par application	Les applications utilisent les même données spécifique à l’utilisateur quel que soit l’ordinateur ou l’utilisateur ouvre sa session

Pour rediriger un dossier

Créer un GPO ou sélectionner un GPO existant ; cliquer sur Modifier
Développer Configuration utilisateur, Paramètres Windows puis redirection de dossier
Clic droit sur le dossier à rediriger puis Propriété puis indiquer l’emplacement cible et son chemin d’accès.

Utilisation d’une stratégie de groupe pour sécuriser un environnement utilisateur

identifier ou créer un modèle de sécurité
Importer le modèle dans le GPO
Développer Configuration ordinateur , Paramètres Windows puis Paramètres de sécurité cliquer droit puis Importer une stratégie puis OK

Il est important de bien analyser les résultats de l’application avant le déploiement ; cela peut perturber gravement le réseau de plus le registre ne s’efface pas lors de la suppression de paramètre de sécurité

Accueil | Qui suis-je ?. | Windows 2000 | Les liens