Vue d’ensemble de la stratégie de groupe (Office System 2007)
Mis à jour: mars 2007
S'applique à: Office Resource Kit
Dernière rubrique modifiée : 2015-03-09
La stratégie de groupe est une infrastructure qui permet aux administrateurs d'implémenter des configurations informatiques spécifiques pour des utilisateurs et des ordinateurs. Ses paramètres peuvent également s'appliquer aux serveurs membres et aux contrôleurs de domaine appartenant à une forêt Active Directory. Les administrateurs recourent à la stratégie de groupe pour définir des configurations en une seule fois, puis ils s'appuient sur le système d'exploitation pour appliquer cet état.
Les paramètres de la stratégie de groupe se trouvent dans des objets de stratégie de groupe qui sont liés à des conteneurs Active Directory sélectionnés : sites, domaines ou unités d'organisation. Ils sont évalués par les cibles affectées d'après la nature hiérarchique d'Active Directory.
L'infrastructure de la stratégie de groupe se compose d'un moteur et de plusieurs extensions individuelles. Ces extensions vous permettent de configurer les paramètres de la stratégie de groupe soit en modifiant le Registre par le biais de l'extension des Modèles d'administration, soit en définissant les paramètres de la stratégie de groupe pour les paramètres de sécurité, l'installation de logiciels, la redirection de dossiers, la maintenance d'Internet Explorer, les paramètres réseau sans fil et bien d'autres domaines encore.
Chaque extension de la stratégie de groupe en comprend deux :
une extension côté serveur du composant logiciel enfichable MMC (Microsoft Management Console) Éditeur d'objets de stratégie de groupe, utilisée pour définir les paramètres de stratégie appliqués aux ordinateurs clients ;
une extension côté client que le moteur de la stratégie de groupe appelle pour appliquer les paramètres de stratégie.
Les paramètres de stratégie système Microsoft Office System 2007 figurent dans les fichiers Modèles d’administration (.adm). Pour plus d'informations, voir la section Modèles d'administration.
Les sections suivantes fournissent une vue d'ensemble des concepts de la stratégie de groupe. Pour plus d’informations, voir Collection de la stratégie de groupe (en anglais) (https://go.microsoft.com/fwlink/?linkid=80200\&clcid=0x40C) (en anglais) sur le site Microsoft TechNet.
Dans cette rubrique
Stratégie de groupe locale et basée sur Active Directory
Traitement de la stratégie de groupe
Application de la stratégie de groupe
Ciblage de l'application des objets de stratégie de groupe
Extension des modèles d'administration
Préférences utilisateur et stratégies effectives
Outils de gestion de la stratégie de groupe
Outil de personnalisation Office et stratégie de groupe
Stratégie de groupe locale et basée sur Active Directory
Chaque ordinateur possède un objet de stratégie de groupe local qui est toujours traité, que l'ordinateur fasse partie d'un domaine ou qu'il soit autonome. Cet objet ne peut pas être bloqué par des objets de stratégie de groupe de domaine. Sachez toutefois que les paramètres des objets de stratégie de groupe de domaine sont toujours prioritaires puisqu'ils sont traités après l'objet de stratégie de groupe local.
Vous pouvez configurer des objets de stratégie de groupe locaux sur des ordinateurs individuels, mais vous tirerez le meilleur parti de la stratégie de groupe dans un réseau Windows 2000 ou Windows Server 2003 sur lequel Active Directory est installé.
Les administrateurs peuvent implémenter les paramètres de la stratégie de groupe dans tout ou partie de leur organisation. Pour y parvenir, ils lient les objets de stratégie de groupe à des sites, des domaines et des unités d'organisation. Ces liens affectent les utilisateurs et les ordinateurs de la façon suivante :
Les objets de stratégie de groupe liés à un site s'appliquent à tous les utilisateurs et ordinateurs du site.
Les objets de stratégie de groupe liés à un domaine s'appliquent directement à tous les utilisateurs et ordinateurs du domaine et, par héritage, à tous les utilisateurs et ordinateurs des unités d'organisation enfants. La stratégie de groupe n'est pas héritée entre domaines.
Les objets de stratégie de groupe liés à une unité d'organisation s'appliquent directement à tous les utilisateurs et ordinateurs de l'unité d'organisation et, par héritage, à tous les utilisateurs et ordinateurs des unités d'organisation enfants.
Lorsqu'un objet de stratégie de groupe est créé, il est stocké dans le domaine. Lorsque cet objet est lié à un conteneur Active Directory, une unité d'organisation par exemple, le lien est un composant de ce conteneur Active Directory. Ce n'est pas un composant de l'objet de stratégie de groupe.
Les administrateurs doivent disposer des privilèges de création d'objets de stratégie de groupe. Par défaut, seuls les administrateurs de domaine, les administrateurs de l'entreprise et les membres des propriétaires créateurs de la stratégie de groupe peuvent créer des objets de stratégie de groupe. Vous devez disposer des autorisations de modification sur l'objet de stratégie de groupe que vous souhaitez modifier.
Pour plus d'informations sur l'infrastructure de la stratégie de groupe, voir Collection de la stratégie de groupe (en anglais) (https://go.microsoft.com/fwlink/?linkid=80200\&clcid=0x40C) (en anglais) sur le site Microsoft TechNet.
Les systèmes d'exploitation Windows Vista et Windows Server ® 2008 présentent de nouvelles fonctionnalités de gestion des objets de stratégie de groupe locaux qui permettent aux administrateurs d'ordinateurs autonomes d'appliquer plusieurs objets de stratégie de groupe aux utilisateurs d'ordinateurs autonomes.
Objets de stratégie de groupe locaux multiples : modifications dans Windows Vista et Windows Server 2008
Windows Vista et Windows Server 2008 prennent en charge la gestion d'objets de stratégie de groupe locaux multiples sur des ordinateurs autonomes. Cette fonctionnalité est utile pour l'administration d'environnements impliquant l'informatique partagée sur un ordinateur unique, tels que les bibliothèques ou les laboratoires informatiques. Vous pouvez affecter plusieurs objets de stratégie de groupe locaux à des utilisateurs locaux ou à des groupes intégrés.
Dans un environnement de groupe de travail, chaque ordinateur gère ses propres paramètres de stratégie. Cette fonctionnalité s'exécute avec la stratégie de groupe de domaine ou elle peut être désactivée par le biais d'un paramètre de la stratégie de groupe.
Les administrateurs peuvent utiliser les objets de stratégie de groupe locaux multiples pour effectuer les opérations suivantes :
Appliquer des niveaux différents de la stratégie de groupe locale à des utilisateurs locaux sur un ordinateur autonome. Cette fonctionnalité est idéale pour les environnements informatiques partagés dans lesquels la gestion de domaine n'est pas disponible.
Gérer la stratégie de groupe en fonction des groupes d'administrateurs et de non-administrateurs. Par exemple, si les administrateurs veulent installer des ordinateurs dans un laboratoire d'ordinateurs pour configurer un environnement sécurisé, ils peuvent créer des paramètres de stratégie hautement gérés pour les groupes d'utilisateurs et des paramètres de stratégie peu gérés pour les comptes d'administrateur intégrés. De cette façon, les administrateurs locaux n'ont pas besoin de désactiver ou de supprimer explicitement les paramètres de la stratégie de groupe qui interfèrent avec leur capacité à gérer la station de travail avant qu'ils n'effectuent les tâches d'administration. Les administrateurs de Windows Vista peuvent également désactiver les paramètres de la stratégie de groupe locale sans activer explicitement la stratégie de groupe de domaine.
Les administrateurs de domaine peuvent désactiver le traitement des objets de stratégie de groupe locaux sur les clients qui exécutent Windows Vista en activant le paramètre de stratégie Désactiver le traitement des objets de stratégie de groupe locaux dans un objet de stratégie de groupe de domaine. Ce paramètre est accessible sous Configuration de l'ordinateur\Modèles d'administration\Système\Stratégie de groupe.
Windows Vista fournit trois couches d'objets de stratégie de groupe locaux : une stratégie de groupe locale, une stratégie de groupe administrateurs et non-administrateurs et une stratégie de groupe locale spécifique à l'utilisateur. Ces couches d'objets de stratégie de groupe locaux sont traitées dans l'ordre suivant :
Stratégie de groupe locale
Stratégie de groupe administrateurs et non-administrateurs
Stratégie de groupe locale spécifique à l'utilisateur
Pour plus d'informations sur l'utilisation des objets de stratégie de groupe locaux multiples dans Windows Vista, voir Guide pas à pas de gestion des objets de stratégie de groupe locaux multiples (en anglais) sur le site Web Microsoft TechNet.
Traitement de la stratégie de groupe
L'objet de stratégie de groupe local est traité en premier, l'unité d'organisation à laquelle l'ordinateur ou l'utilisateur appartient (celle dont il est un membre direct) étant traitée en dernier. Les paramètres de stratégie de groupe sont traités dans l'ordre suivant :
Objet de stratégie de groupe local. Chaque ordinateur possède un objet de stratégie de groupe qui est stocké localement. Cet objet de stratégie de groupe traite à la fois la stratégie de groupe ordinateur et utilisateur.
Site. Les objets de stratégie de groupe liés au site auquel l'ordinateur appartient sont traités après. Le traitement s'effectue dans l'ordre spécifié par l'administrateur, dans l'onglet Objets de stratégie de groupe liés du site dans la console de gestion des stratégies de groupe (GPMC). L'objet de stratégie de groupe dont l'ordre des liens est le plus bas est traité en dernier et sa priorité est la plus élevée. Pour plus d'informations sur la console de gestion des stratégies de groupe, voir la section Outils de gestion de la stratégie de groupe.
Domaine. Les objets de stratégie de groupe multiples liés au domaine sont traités dans l'ordre spécifié par l'administrateur, dans l'onglet Objets de stratégie de groupe liés pour le domaine dans la console de gestion des stratégies de groupe. L'objet de stratégie de groupe dont l'ordre des liens est le plus bas est traité en dernier et sa priorité est la plus élevée.
Unités d'organisation. Les objets de stratégie de groupe liés à l'unité d'organisation qui est située tout en haut de la hiérarchie Active Directory sont traités en premier, suivis des objets de stratégie de groupe qui liés à son unité d'organisation enfant et ainsi de suite. Les objets de stratégie de groupe liés à l'unité d'organisation qui contient l'utilisateur ou l'ordinateur sont traités en dernier.
L'ordre de traitement est soumis aux conditions suivantes :
Filtrage WMI (Windows Management Instrumentation) ou filtrage de sécurité appliqué aux objets de stratégie de groupe.
N'importe quel objet de stratégie de groupe de domaine (GPO non locaux) peut être appliqué à l'aide de l'option Appliquer afin que ses paramètres de stratégie ne puissent pas être remplacés. Comme un objet de stratégie de groupe appliqué est traité en dernier, aucun autre paramètre ne peut écraser les paramètres qu'il contient. S'il existe plusieurs objets de stratégie de groupe appliqués, le même paramètre dans chaque objet de stratégie de groupe peut prendre une valeur différente. Dans ce cas, l'ordre des liens des objets de stratégie de groupe détermine l'objet de stratégie de groupe qui contient les paramètres finaux.
L'héritage de la stratégie de groupe peut être désigné de manière sélective en tant que Bloquer l'héritage au niveau d'un domaine ou d'une unité d'organisation quelconque. Toutefois, étant donné que les objets de stratégie de groupe appliqués le sont toujours et qu'ils ne peuvent pas être bloqués, le blocage de l'héritage n'empêche pas l'application des paramètres de stratégie des objets de stratégie de groupe appliqués.
Héritage de la stratégie
Les paramètres de stratégie en vigueur pour un utilisateur et un ordinateur sont le résultat de la combinaison des objets de stratégie de groupe appliqués à un site, un domaine ou une unité d'organisation. Lorsque plusieurs objets de stratégie de groupe s'appliquent aux utilisateurs et aux ordinateurs de ces conteneurs Active Directory, les paramètres des objets de stratégie de groupe sont agrégés. Par défaut, les paramètres déployés dans les objets de stratégie de groupe liés aux conteneurs de niveau plus élevé (conteneurs parents) dans Active Directory sont transmis aux conteneurs enfants et combinés avec les paramètres déployés dans les objets de stratégie de groupe liés aux conteneurs enfants. Si plusieurs objets de stratégie de groupe tentent de définir un paramètre de stratégie ayant des valeurs en conflit, l'objet de stratégie de groupe présentant la priorité la plus élevée définit le paramètre. Les objets de stratégie de groupe qui sont traités après ont priorité sur les objets de stratégie de groupe qui sont traités avant.
Application de la stratégie de groupe
La stratégie de groupe pour l'ordinateur est appliquée lors du démarrage de l'ordinateur. La stratégie de groupe pour l'utilisateur est appliquée lors de l'ouverture de session de l'utilisateur. Outre son traitement initial lors du démarrage et de l'ouverture de session, la stratégie de groupe est ensuite régulièrement appliquée en tâche de fond. Lors d'une actualisation en arrière-plan, une extension côté client applique à nouveau les paramètres de stratégie uniquement si elle détecte qu'une modification est intervenue sur le serveur dans l'un de ses objets de stratégie de groupe ou dans sa liste d'objets de stratégie de groupe.
S'agissant de l'installation de logiciel et de la redirection de dossiers, le traitement de la stratégie de groupe se produit uniquement lors du démarrage de l'ordinateur ou lors de l'ouverture de session de l'utilisateur.
Traitement synchrone et asynchrone
Les processus synchrones peuvent se décrire comme une série de processus dans laquelle un processus doit terminer son exécution avant que le suivant ne commence. Les processus asynchrones peuvent s'exécuter simultanément sur des threads différents car leur résultat est indépendant des autres processus. Les administrateurs peuvent utiliser un paramètre de stratégie pour chaque objet de stratégie de groupe afin de modifier le comportement de traitement par défaut et faire en sorte qu'il soit asynchrone au lieu de synchrone.
Dans le processus synchrone, le traitement de la stratégie de groupe complète sur l'ordinateur client doit s'effectuer en 60 minutes, qui correspond à la durée maximale autorisée. Les extensions côté client dont le traitement n'est pas terminé au bout de 60 minutes sont signalées pour s'arrêter. Dans ce cas, il est possible que les paramètres de stratégie associés n'aient pas été complètement appliqués.
Fonctionnalité d'optimisation d'ouverture de session rapide
La fonctionnalité d'optimisation d'ouverture de session rapide est définie par défaut pour les membres de domaine et les membres de groupe de travail. Cela se traduit par l'application asynchrone de la stratégie lors du démarrage de l'ordinateur et de l'ouverture de session de l'utilisateur. Cette application de la stratégie est semblable à une actualisation en arrière-plan. Elle peut réduire le temps nécessaire pour faire apparaître la boîte de dialogue d'ouverture de session et pour rendre le bureau disponible pour l'utilisateur.
Remarque : |
---|
L'optimisation d'ouverture de session n'est pas activée et les stratégies sont traitées de manière synchrone lorsque l'utilisateur ouvre une session pour la première fois et qu'il a un profil itinérant, un HomeDir et un script d'ouverture de session spécifié dans l'objet utilisateur. La redirection de dossiers et l'installation de logiciel nécessitent une application synchrone de la stratégie. Dans ces conditions, le démarrage de l'ordinateur peut encore être asynchrone. Toutefois, étant donné que l'ouverture de session est synchrone, elle ne présente pas l'optimisation. Les ordinateurs clients exécutant les systèmes d'exploitation Windows XP Professionnel, Windows XP Edition 64 bits (Itanium) et Windows Server 2003 prennent en charge l'optimisation d'ouverture de session rapide dans n'importe quel environnement de domaine. Pour les serveurs, le traitement du démarrage et de l'ouverture de session se comporte toujours comme si ce paramètre de stratégie était activé. |
Les administrateurs peuvent désactiver la fonctionnalité d'optimisation d'ouverture de session rapide à l'aide du paramètre de stratégie Toujours attendre le réseau lors du démarrage de l'ordinateur et de l'ouverture de session, situé sous le nœudConfiguration de l'ordinateur\Modèles d'administration\Système\Ouverture de session de l'Éditeur d'objets de stratégie de groupe. Lorsque ce paramètre de stratégie est activé, les ouvertures de session s'effectuent de la même façon que si elles concernaient des clients Windows 2000. Autrement dit, Windows XP attend l'initialisation complète du réseau avant que les utilisateurs ne puissent ouvrir une session. La stratégie de groupe s'applique de façon synchrone en tâche de fond.
Traitement des liaisons lentes
Certaines extensions de la stratégie de groupe ne sont pas traitées lorsque la vitesse de connexion tombe en dessous des seuils spécifiés. La valeur par défaut de ce que la stratégie de groupe considère comme une liaison lente correspond à n'importe quelle vitesse inférieure à 500 kilo-bits par seconde (Kbits/s).
Les paramètres par défaut pour le traitement de la stratégie de groupe sur des liaisons lentes sont les suivants :
Paramètre | Par défaut |
---|---|
Paramètres de sécurité |
ON (ne peut pas être désactivé) |
Sécurité IP |
ON |
EFS |
ON |
Stratégies de restriction logicielle |
ON |
Sans fil |
ON |
Modèles d'administration |
ON (ne peut pas être désactivé) |
Installation de logiciel |
OFF |
Scripts |
OFF |
Redirection de dossiers |
OFF |
Maintenance d'Internet Explorer |
ON |
Les administrateurs peuvent utiliser un paramètre de stratégie pour écraser le paramètre par défaut. Pour spécifier les paramètres de détection d'une liaison lente de stratégie de groupe pour les ordinateurs, utilisez le paramètre de stratégie Détection d'une liaison lente de stratégie de groupe dans le nœud Configuration de l'ordinateur\Modèles d'administration\Système\Stratégie de groupe de l'Éditeur d'objets de stratégie de groupe.
Pour définir cette option pour les utilisateurs, utilisez le paramètre de stratégie Détection d'une liaison lente de stratégie de groupe dans le nœud Configuration de l'utilisateur\Modèles d'administration\Système\Stratégie de groupe.
Pour plus d'informations sur la gestion de la stratégie de groupe sur des liaisons lentes, voir Spécification d'une stratégie de groupe pour la détection de liaisons lentes (https://go.microsoft.com/fwlink/?linkid=80435\&clcid=0x40C) (en anglais) sur le site Web Microsoft TechNet.
Intervalle d'actualisation de la stratégie de groupe
La stratégie de groupe est traitée par défaut toutes les 90 minutes, avec un délai aléatoire allant jusqu'à 30 minutes, correspondant à un intervalle d'actualisation maximal total de 120 minutes.
Concernant les paramètres de sécurité, une fois que vous avez modifié les stratégies associées, ils sont actualisés sur les ordinateurs de l'unité d'organisation à laquelle l'objet de stratégie de groupe est lié :
au démarrage d'un ordinateur,
toutes les 90 minutes sur une station de travail ou un serveur et toutes les 5 minutes sur un contrôleur de domaine.
Par défaut, les paramètres de stratégie de sécurité transmis par la stratégie de groupe sont également appliqués toutes les 16 heures (960 minutes), même si un objet de stratégie de groupe n'a pas été modifié.
Déclenchement d'une actualisation de la stratégie de groupe
Les modifications apportées à l'objet de stratégie de groupe doivent tout d'abord répliquer sur le contrôleur de domaine approprié ; par conséquent, celles apportées aux paramètres de stratégie de groupe peuvent ne pas être immédiatement disponibles sur les ordinateurs de bureau des utilisateurs. Dans certains scénarios, tels que l'application des paramètres de stratégie de sécurité, il peut être nécessaire d'appliquer les paramètres de stratégie immédiatement.
Les administrateurs peuvent déclencher une actualisation de la stratégie manuellement à partir d'un ordinateur local sans attendre l'actualisation automatique en arrière-plan. Pour cela, ils peuvent entrer gpupdate sur la ligne de commande pour actualiser les paramètres de stratégie utilisateur ou ordinateur. Vous ne pouvez pas utiliser la console de gestion des stratégies de groupe pour déclencher une actualisation de la stratégie.
La commande gpupdate déclenche une actualisation de la stratégie en arrière-plan sur l'ordinateur local à partir duquel la commande est exécutée. La commande gpupdate est utilisée dans les environnements Windows Server 2003 et Windows XP.
L'application de la stratégie de groupe ne peut pas être poussée (push) vers des clients à la demande à partir du serveur.
Pour plus d'informations sur l'utilisation de la commande gpupdate, voir Actualiser les paramètres de stratégie de groupe avec GPUpdate.exe (https://go.microsoft.com/fwlink/?linkid=80461\&clcid=0x40C) sur le site Web Microsoft TechNet.
Ciblage de l'application des objets de stratégie de groupe
Les liens de l'objet de stratégie de groupe aux sites, domaines et unités d'organisation sont le principal moyen pour spécifier les utilisateurs et les ordinateurs qui doivent recevoir les paramètres d'un objet de stratégie de groupe.
Vous pouvez modifier l'ordre de traitement par défaut des objets de stratégie de groupe en changeant l'ordre des liens, en bloquant l'héritage de stratégies, en appliquant un lien d'objet de stratégie de groupe (anciennement aucune substitution) et en désactivant un lien d'objet de stratégie de groupe.
Les administrateurs peuvent utiliser le filtrage de sécurité et le filtrage WMI pour modifier l'ensemble des utilisateurs et des ordinateurs auquel appliquer un objet de stratégie de groupe.
Les administrateurs peuvent également utiliser la fonctionnalité de traitement par boucle de rappel pour s'assurer que le même jeu de paramètres de stratégie est appliqué à tout utilisateur ouvrant une session sur un ordinateur spécifique.
Modification de l'ordre de traitement des objets de stratégie de groupe
Les administrateurs peuvent utiliser l'une des méthodes suivantes pour modifier l'ordre de traitement des objets de stratégie de groupe :
Modifier l'ordre des liens. L'ordre des liens des objets de stratégie de groupe dans un site, un domaine ou une unité d'organisation détermine le moment où les liens sont appliqués. Les administrateurs peuvent modifier le niveau de priorité d'un lien en changeant l'ordre des liens, ou bien en déplaçant chaque lien vers le haut ou vers le bas de la liste à l'emplacement approprié. Le lien dont l'ordre est le plus haut (1 en l'occurrence) possède la priorité la plus élevée pour un site, un domaine ou une unité d'organisation.
Bloquer l'héritage. L'utilisation du blocage de l'héritage pour un domaine ou une unité d'organisation empêche des objets de stratégie de groupe liés à des sites, des domaines ou des unités d'organisation de niveau supérieur d'être automatiquement hérités par le conteneur Active Directory de niveau enfant. Par défaut, les conteneurs de niveau enfant héritent tous les objets de stratégie de groupe du parent. Toutefois, il est parfois utile de bloquer l'héritage.
Appliquer un lien d'objet de stratégie de groupe. Les administrateurs peuvent spécifier que les paramètres d'un lien d'objet de stratégie de groupe sont prioritaires sur les paramètres de n'importe quel objet enfant en affectant à ce lien la valeur Appliqué. Les liens d'objets de stratégie de groupe appliqués ne peuvent pas être bloqués à partir du conteneur parent. Si des objets de stratégie de groupe contiennent des paramètres conflictuels et qui n'ont pas d'application à partir d'un conteneur de niveau supérieur, les paramètres des liens d'objets de stratégie de groupe au conteneur parent de niveau supérieur sont remplacés par les paramètres des objets de stratégie de groupe liés aux unités d'organisation enfant. Grâce à l'application, le lien d'objet de stratégie de groupe parent est toujours prioritaire. Par défaut, les liens d'objets de stratégie de groupe ne sont pas appliqués.
Désactiver un lien d'objet de stratégie de groupe. Par défaut, le traitement est activé pour tous les liens d'objets de stratégie de groupe. Vous pouvez totalement bloquer l'application d'un objet de stratégie de groupe pour un site, un domaine ou une unité d'organisation en désactivant le lien d'objet de stratégie de groupe pour ce domaine, ce site ou cette unité d'organisation. Cela ne désactive pas pour autant l'objet de stratégie de groupe. Si l'objet de stratégie de groupe est lié à d'autres sites, domaines ou unités d'organisation, il continuera de traiter l'objet de stratégie de groupe si leurs liens sont activés.
Filtrage de sécurité
Cette méthode permet de spécifier que seules les entités de sécurité situées à l'intérieur du conteneur dans lequel l'objet de stratégie de groupe est lié appliquent l'objet. Les administrateurs peuvent utiliser le filtrage de sécurité pour limiter l'étendue d'un objet de stratégie de groupe afin que celui-ci s'applique uniquement à un groupe, un utilisateur ou un ordinateur unique. Le filtrage de sécurité ne peut pas être utilisé de manière sélective sur différents paramètres dans un objet de stratégie de groupe.
L'objet de stratégie de groupe s'applique à un utilisateur ou à un ordinateur uniquement si l'un ou l'autre détient les autorisations Lire et Appliquer la stratégie de groupe sur l'objet de stratégie de groupe, de manière explicite ou de fait, via l'appartenance aux groupes. Par défaut, les privilèges Lire et Appliquer la stratégie de groupe sur les objets de stratégie de groupe sont autorisés pour le groupe Utilisateurs authentifiés, qui comprend les utilisateurs et les ordinateurs. C'est pour cette raison que tous les utilisateurs authentifiés reçoivent les paramètres d'un nouvel objet de stratégie de groupe lorsque celui-ci est appliqué à une unité d'organisation, un domaine ou un site.
Par défaut, les administrateurs du domaine, les administrateurs de l'entreprise et le système local disposent des autorisations de contrôle total, sans l'entrée de contrôle d'accès Appliquer la stratégie de groupe. Les administrateurs sont également membres des Utilisateurs authentifiés. Cela signifie que, par défaut, ils reçoivent les paramètres de l'objet de stratégie de groupe. Ces autorisations peuvent être modifiées pour limiter l'étendue à un ensemble spécifique d'utilisateurs, de groupes ou d'ordinateurs dans le site, le domaine ou l'unité d'organisation.
La console de gestion des stratégies de groupe (GPMC) gère ces autorisations en tant qu'unité unique et affiche le filtrage de sécurité pour l'objet de stratégie de groupe sous l'onglet Étendue de l'objet de stratégie de groupe. Dans la console GPMC, les groupes, les utilisateurs et les ordinateurs peuvent être ajoutés ou supprimés en tant que filtres de sécurité pour chaque objet de stratégie de groupe. Pour plus d'informations sur la console de gestion des stratégies de groupe, voir la section Outils de gestion de la stratégie de groupe.
Filtrage WMI
WMI (Windows Management Instrumentation) est l'implémentation Microsoft de l'initiative industrielle de gestion de réseau basée sur le Web qui établit des normes d'infrastructure de gestion et offre un moyen de combiner des informations provenant de différents systèmes de gestion de matériels et de logiciels. WMI expose des données de configuration matérielle telles que le processeur, la mémoire, l'espace disque et le fabricant, ainsi que des données de configuration logicielle provenant du Registre, des pilotes, du système de fichiers, d'Active Directory, du service Windows Installer, de la configuration de mise en réseau et des données d'application. Les données relatives à un ordinateur cible peuvent être utilisées pour des besoins d'administration, par exemple le filtrage WMI des objets de stratégie de groupe.
Le filtrage WMI est utilisé pour filtrer l'application d'un objet de stratégie de groupe en attachant une requête WQL (WMI Query Language) à un objet de stratégie de groupe. Les requêtes peuvent servir à demander plusieurs éléments dans WMI. Si une requête retourne true pour tous les éléments demandés, l'objet de stratégie de groupe est appliqué à l'utilisateur ou à l'ordinateur cible.
Un objet de stratégie de groupe est lié à un filtre WMI et appliqué sur un ordinateur cible, et le filtre y est ensuite évalué. Si le filtre WMI prend la valeur false, l'objet de stratégie de groupe n'est pas appliqué (sauf si l'ordinateur client exécute Windows 2000, auquel cas le filtre est ignoré et l'objet de stratégie de groupe est toujours appliqué). Si le filtre WMI prend la valeur true, l'objet de stratégie de groupe est appliqué.
Le filtre WMI est un objet distinct de l'objet de stratégie de groupe dans le répertoire. Un filtre WMI doit être lié à un objet de stratégie de groupe pour s'appliquer, tandis qu'un filtre WMI et l'objet de stratégie de groupe auquel il est lié doivent se trouver dans le même domaine. Les filtres WMI sont stockés uniquement dans les domaines. Chaque objet de stratégie de groupe ne peut avoir qu'un seul filtre WMI. Le même filtre WMI peut être lié à plusieurs objets de stratégie de groupe.
Traitement par boucle de rappel
Le traitement par boucle de rappel est un paramètre de stratégie de groupe avancé qui est utile sur les ordinateurs de certains environnements étroitement gérés, tels que les serveurs, les bornes, les laboratoires, les classes et les zones de réception. Si vous définissez une boucle de rappel, les paramètres de stratégie Configuration de l'utilisateur dans les objets de stratégie de groupe s'appliquant à l'ordinateur s'appliquent à chaque utilisateur qui se connecte à cet ordinateur, et non aux paramètres Configuration de l'utilisateur (mode Remplacer) ou en plus de paramètres (mode Fusion) de l'utilisateur. Les administrateurs peuvent utiliser cette fonctionnalité pour s'assurer qu'un ensemble cohérent de paramètres de stratégie est appliqué à tous les utilisateurs qui se connectent à un ordinateur spécifique, indépendamment de l'emplacement de l'utilisateur dans Active Directory.
Pour définir le traitement par boucle de rappel, les administrateurs peuvent utiliser le paramètre de stratégie Mode de traitement par boucle de rappel de la stratégie de groupe utilisateur, qui est accessible sous Configuration de l'ordinateur\Modèles d'administration\Système\Stratégie de groupe dans l'Éditeur d'objets de stratégie de groupe.
Pour que la fonctionnalité de traitement par boucle de rappel soit exploitable, le compte d'utilisateur et le compte d'ordinateur doivent obligatoirement se trouver dans un domaine Windows 2000 ou version ultérieure. La boucle de rappel ne fonctionne pas pour les ordinateurs rattachés à un groupe de travail.
Pour plus d'informations sur le ciblage de l'application des objets de stratégie de groupe, voir Contrôle de l'étendue des objets de stratégie de groupe à l'aide de la console de gestion des stratégies de groupe (https://go.microsoft.com/fwlink/?linkid=80462\&clcid=0x40C) sur le site Web Microsoft TechNet.
Extension des Modèles d'administration
L'extension des Modèles d'administration de la stratégie de groupe se compose d'un composant logiciel enfichable MMC côté serveur utilisé pour configurer les paramètres de stratégie et d'une extension côté client qui définit les clés de Registre sur les ordinateurs cibles. La stratégie Modèles d'administration est également appelée « stratégie basée sur le Registre » ou « stratégie de Registre ».
Les paramètres de stratégie Microsoft Office System 2007 sont contenus dans les fichiers de modèles d'administration, disponibles sur la page Modèles d'administration Microsoft Office System 2007 (ADM) (https://go.microsoft.com/fwlink/?linkid=78161\&clcid=0x40C) du Centre de téléchargement Microsoft.
Fichiers de modèles d'administration
Les fichiers de modèles d'administration (.adm) sont des fichiers Unicode qui se composent d'une hiérarchie de catégories et de sous-catégories définissant la façon dont les options s'affichent par le biais de l'Éditeur d'objets de stratégie de groupe et de la console de gestion des stratégies de groupe. Ils indiquent également les emplacements du Registre où des modifications doivent être effectuées en cas de sélection, spécifient les options ou les restrictions (dans les valeurs) associées à la sélection et, dans certains cas, indiquent une valeur par défaut à utiliser si une sélection est activée.
La fonctionnalité des fichiers .adm est limitée. L'objectif de ces fichiers est d'activer une interface utilisateur pour configurer des paramètres de stratégie. Les fichiers .adm ne contiennent pas de paramètres de stratégie. Ceux-ci se trouvent dans les fichiers registry.pol situés dans le dossier Sysvol sur les contrôleurs de domaine.
Le composant logiciel enfichable Modèles d'administration côté serveur fournit un nœud Modèles d'administration qui s'affiche dans l'Éditeur d'objets de stratégie de groupe sous le nœud Configuration de l'ordinateur et sous le nœudConfiguration de l'utilisateur. Les paramètres situés sous Configuration de l'ordinateur manipulent les paramètres de Registre pour l'ordinateur. Les paramètres situés sous Configuration de l'utilisateur manipulent les paramètres de Registre pour les utilisateurs. Bien que certains paramètres de stratégie nécessitent des éléments d'interface utilisateur simples tels que des zones de texte pour entrer des valeurs, la plupart d'entre eux contiennent uniquement les options suivantes :
Activé : la stratégie est appliquée. Certains paramètres de stratégie offrent des options supplémentaires qui définissent le comportement lors de l'activation de la stratégie.
Désactivé : applique le comportement opposé à l'état Activé pour la plupart des paramètres de stratégie. Par exemple, si Activé force l'état d'inactivation d'une fonctionnalité, Désactivé force l'état d'activation de la fonctionnalité.
Non configuré : la stratégie n'est pas appliquée. La valeur par défaut n'est pas configurée pour la plupart des paramètres.
Fichiers de modèles d'administration pour Microsoft Office System 2007
Les fichiers de modèles d'administration suivants sont disponibles pour Office System 2007 :
office12.adm : composants Office partagés
access12.adm : Microsoft Office Access 2007
cpao12.adm : Assistant Impression de calendriers pour Microsoft Office Outlook 2007
excel12.adm : Microsoft Office Excel 2007
groove12.adm : Microsoft Office Groove 2007
ic12.adm : Microsoft Office InterConnect 2007
inf12.adm : Microsoft Office InfoPath 2003
onent12.adm : Microsoft Office OneNote 2007
outlk12.adm : Microsoft Office Outlook 2007
ppt12.adm : Microsoft Office PowerPoint 2007
proj12.adm : Microsoft Office Project 2007
pub12.adm : Microsoft Office Publisher 2007 ;
spd12.adm : Microsoft Office SharePoint Designer 2007 ;
visio12.adm : Microsoft Office Visio 2007.
word12.adm : Microsoft Office Word 2007
Les administrateurs peuvent utiliser les paramètres de stratégie Office System 2007 pour des tâches telles que celles-ci :
gestion des paramètres de sécurité pour les applications Office System 2007 ;
interdiction des connexions à Internet à partir des applications Office System 2007 ;
masquage ou désactivation des paramètres de l'interface utilisateur Office System 2007 qui peuvent être déroutants pour les utilisateurs ou inutiles pour certaines tâches ;
création de configurations standard, hautement gérées ou moins restrictives des ordinateurs des utilisateurs ;
définition des options d'enregistrement des fichiers par défaut des applications Office System 2007 afin de préparer la migration à partir des versions antérieures d'Office.
Les administrateurs peuvent ainsi utiliser la stratégie de groupe pour désactiver, activer ou configurer la plupart des paramètres qui contrôlent l'interface utilisateur Office, tels que ceux-ci :
les commandes de menu,
les touches de raccourci,
les paramètres de la boîte de dialogue Options.
Le grand nombre de paramètres de stratégie de groupe disponibles pour Office System 2007 offre un niveau élevé de flexibilité. Les administrateurs peuvent créer des configurations hautement restreintes ou légèrement gérées, en fonction des besoins métier et des questions de sécurité spécifiques de leurs organisations.
Pour télécharger les fichiers de modèles d'administration Office System 2007, voir Modèles d'administration pour Microsoft Office System 2007 (ADM) dans le Centre de téléchargement Microsoft.
Vous pouvez également télécharger le fichier Modèles d'administration (ADM) des convertisseurs de format XML ouvert Microsoft Office System 2007 version 2.0 dans le Centre de téléchargement Microsoft. Les administrateurs peuvent l'utiliser pour modifier le comportement par défaut des convertisseurs de format OpenXML pour Microsoft Office Word, Excel et PowerPoint 2007.
Les administrateurs peuvent modifier les fichiers de modèles d’administration pour Microsoft Office 2003 et Microsoft Office XP afin que les options d’enregistrement des fichiers par défaut incluent les formats XML ouverts des programmes Office System 2007. Pour plus d’informations, voir l’article n° 932127 intitulé Comment modifier un fichier de stratégie Office existant (fichier ADM) pour Office 2003 et Office XP afin que le format de fichier par défaut Enregistrer inclue les nouveaux formats de fichiers OpenXML des programmes Microsoft Office 2007.
Pour plus d'informations sur les modèles d'administration, voir la Référence technique de l'extension des Modèles d'administration (https://go.microsoft.com/fwlink/?linkid=56088\&clcid=0x40C) .
Windows Vista et Windows Server 2008 introduisent un nouveau format basé sur XML pour les fichiers de modèles d'administration, comme décrit dans la section suivante.
Fichiers de modèles d'administration : modifications dans Windows Vista et Windows Server 2008
Introduits dans Windows NT 4.0, les fichiers de modèles d'administration utilisaient un format de fichier unique appelé « .adm ». Dans les systèmes d'exploitation Windows Vista et Windows Server 2008, les fichiers .adm sont remplacés par des fichiers ADMX, qui utilisent un format de fichier basé sur XML pour afficher les paramètres de stratégie basés sur le Registre. Ces nouveaux fichiers de modèles d'administration facilitent la gestion des paramètres de stratégie basés sur le Registre dans Windows Vista et Windows Server 2008. Les paramètres de stratégie contenus dans les fichiers ADM et ADMX Office 2007 sont identiques.
Les nouveaux fichiers ADMX et ADML remplacent les anciens fichiers .adm et sont divisés en fichiers de ressources indépendants de la langue (ADMX) et en fichiers spécifiques à une langue (ADML). Ces nouveaux types de fichiers permettent aux outils de la stratégie de groupe d'adapter l'interface utilisateur en fonction de la langue configurée de l'administrateur.
L'Éditeur d'objets de stratégie de groupe et la console de gestion des stratégies de groupe continuent à reconnaître les anciens fichiers .adm que vous avez éventuellement conservés dans votre environnement actuel. Les fichiers .adm personnalisés (ou les fichiers .adm qui ne sont pas remis par défaut dans le système d'exploitation) contenus dans un objet de stratégie de groupe sont utilisés par l'Éditeur d'objets de stratégie de groupe et par la console de gestion des stratégies de groupe. Ces outils ne reconnaissent pas les fichiers .adm antérieurs qui ont été inclus par défaut dans le système d'exploitation, tels que System.adm et Inetres.adm.
Les administrateurs peuvent gérer les paramètres de stratégie de groupe qui affectent Windows Vista et les systèmes d'exploitation antérieurs à partir d'une station de travail exécutant Windows Vista. Les fichiers ADMX sont pris en charge uniquement sur le système d'exploitation Windows Vista. La copie des fichiers ADMX vers les systèmes d'exploitation antérieurs n'a pas d'effet.
Remarque : |
---|
Les administrateurs peuvent convertir des fichiers ADM au format ADMX à l'aide de l'outil ADMX Migrator. ADMX Migrator fournit un éditeur ADMX doté d'une interface utilisateur graphique qui permet de créer et de modifier les modèles d'administration. Pour plus d'informations, voir ADMX Migrator (en anglais) (https://go.microsoft.com/fwlink/?linkid=77409&clcid=0x40C). |
Stockage des fichiers ADMX et ADML dans Windows Vista
Le magasin central est un dossier créé dans le dossier Sysvol d'un contrôleur de domaine Active Directory. Ce dossier fournit un emplacement de stockage unique et centralisé pour les fichiers ADMX et ADML du domaine. Les administrateurs peuvent créer un magasin central sur un contrôleur de domaine exécutant Windows Server 2003 R2, Windows Server 2003 SP1 ou Windows 2000 Server. La création du magasin central ne nécessite pas Windows Server 2008.
Pour plus d'informations sur l'administration des fichiers ADMX dans Vista, voir Guide pas à pas de gestion des fichiers ADMX de stratégie de groupe (en anglais), Configuration requise pour la modification des objets de stratégie de groupe à l'aide des fichiers ADMX (en anglais) et Scénario 2 : modification des objets de stratégie de groupe de domaine à l'aide des fichiers ADMX (en anglais) sur le site Web Microsoft TechNet.
Préférences utilisateur et stratégies effectives
Les paramètres de stratégie de groupe que les administrateurs peuvent gérer intégralement sont appelés des stratégies effectives. Les paramètres que les utilisateurs configurent ou qui reflètent l'état par défaut du système d'exploitation au moment de l'installation sont appelés des préférences. Les stratégies effectives et les préférences contiennent des informations qui modifient le Registre sur les ordinateurs des utilisateurs. Il existe entre elles d'importantes distinctions. Les paramètres des stratégies effectives ont priorité sur les paramètres des préférences.
Les valeurs de Registre des stratégies effectives sont stockées sous les clés de Registre approuvées de la stratégie de groupe. Les utilisateurs ne peuvent pas modifier ou désactiver les paramètres suivants :
Pour les paramètres de stratégie ordinateur :
HKEY_LOCAL_MACHINE\Software\Policies (emplacement par défaut)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
Pour les paramètres de stratégie utilisateur :
HKEY_CURRENT_USER\Software\Policies (emplacement par défaut)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Les préférences sont définies par les utilisateurs ou par le système d'exploitation au moment de l'installation. Les valeurs de Registre qui stockent les préférences se trouvent en dehors des clés approuvées de stratégie de groupe indiquées dans le tableau précédent. Les utilisateurs peuvent modifier leurs préférences.
Les administrateurs peuvent écrire un fichier .adm qui définit les valeurs de Registre en dehors des arborescences de Registre de stratégie de groupe approuvées. Dans ce cas, cette méthode garantit seulement qu'une clé ou une valeur de Registre est définie d'une certaine façon. Dans cette approche, l'administrateur configure les paramètres de préférence au lieu des paramètres de stratégies effectives et il marque le Registre avec ces paramètres. Cela signifie que les paramètres persistent dans le Registre, même si le paramètre de préférence est désactivé ou supprimé.
Si vous configurez ainsi les paramètres de préférence à l'aide d'un objet de stratégie de groupe, les objets de stratégie de groupe que vous créez ne sont pas soumis à des restrictions de liste de contrôle d'accès. Les utilisateurs peuvent donc modifier ces valeurs dans le Registre. Lorsque l'objet de stratégie de groupe est hors de l'étendue (s'il est non lié, désactivé ou supprimé), ces valeurs ne sont pas supprimées du Registre.
Par opposition, les paramètres de Registre des stratégies effectives sont soumis à des restrictions de liste de contrôle d'accès afin que les utilisateurs ne puissent pas les modifier. Les valeurs de stratégie sont supprimées lorsque l'objet de stratégie de groupe qui définit les valeurs est hors de l'étendue. Pour cette raison, les stratégies effectives sont considérées comme des paramètres de stratégie pouvant être entièrement gérés. Par défaut, l'Éditeur d'objets de stratégie de groupe affiche uniquement les paramètres de stratégie qui peuvent être entièrement gérés.
Pour afficher les préférences dans l'Éditeur d'objets de stratégie de groupe, cliquez sur le nœud Modèles d'administration, sur Affichage, sur Filtrage, puis désactivez Afficher uniquement les paramètres de stratégie pouvant être entièrement gérés.
Les paramètres de stratégies effectives prévalent sur les préférences ; cependant, ils ne remplacent ni ne modifient les clés de Registre utilisées par les préférences. En cas de déploiement d'un paramètre de stratégie qui est en conflit avec un paramètre de préférence, le paramètre de stratégie prévaut sur la préférence. Si une stratégie et une préférence sont présentes, la préférence est restaurée correctement à condition que la stratégie soit supprimée ou désactivée. Les paramètres de préférence persistent dans le Registre sauf s'ils sont remplacés par un paramètre de stratégie qui en annule l'effet ou modifiés dans le Registre.
Le tableau suivant récapitule les effets des paramètres et des préférences de stratégie.
Stratégie de groupe présente | Préférence présente | Comportement résultant |
---|---|---|
Non |
Non |
Par défaut |
Non |
Oui |
Le paramètre de préférence configure le comportement. |
Oui |
Non |
Le paramètre de stratégie configure le comportement. |
Oui |
Oui |
Le paramètre de stratégie configure le comportement. Le paramètre de préférence est ignoré. |
Pour Microsoft Office System 2007, tous les paramètres de stratégie spécifiques à l'utilisateur sont stockés dans la sous-clé HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0. Les stratégies spécifiques à l'ordinateur sont stockées dans la sous-clé HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\12.0. Par défaut, les deux sous-clés de stratégie sont verrouillées pour empêcher les utilisateurs de les modifier.
Outils de gestion de la stratégie de groupe
Les administrateurs gèrent la stratégie de groupe à l'aide des outils suivants : composants logiciels enfichables Console de gestion des stratégies de groupe (GPMC) et Console de gestion Microsoft (MMC) Éditeur d'objets de stratégie de groupe. La console de gestion des stratégies de groupe permet d'administrer la plupart des tâches de gestion de la stratégie de groupe. L'Éditeur d'objets de stratégie de groupe permet de configurer les paramètres de stratégie des objets de stratégie de groupe.
Console de gestion des stratégies de groupe
La console de gestion des stratégies de groupe simplifie l'administration de la stratégie de groupe en fournissant un outil unique de gestion de ses principaux aspects, à savoir la limitation d'étendue, la délégation, le filtrage et la manipulation de l'héritage des objets de stratégie de groupe. Cette console permet également de sauvegarder (d'exporter), de restaurer, d'importer et de copier des objets de stratégie de groupe. Les administrateurs peuvent l'utiliser pour prévoir comment les objets de stratégie de groupe vont affecter le réseau et pour déterminer la façon dont ces objets ont modifié des paramètres sur un ordinateur ou pour un utilisateur. La console de gestion des stratégies de groupe est l'outil de gestion par défaut de la plupart des tâches de la stratégie de groupe dans un environnement de domaine.
La console de gestion des stratégies de groupe fournit une vue des objets de stratégie de groupe, des sites, des domaines et des unités d'organisation dans une entreprise et elle peut être utilisée pour gérer des domaines Windows Server 2003 ou Windows 2000. Les administrateurs l'utilisent pour effectuer l'ensemble des tâches de gestion de la stratégie de groupe, à l'exception de la configuration des paramètres de stratégie individuels dans des objets de stratégie de groupe. Cette dernière tâche incombe à l'Éditeur d'objets de stratégie de groupe. La console de gestion des stratégies de groupe appelle l'Éditeur d'objets de stratégie de groupe que vous pouvez utiliser à partir de cette même console.
Les administrateurs utilisent la console de gestion des stratégies de groupe pour créer un objet de stratégie de groupe sans paramètres initiaux. Ils peuvent également créer un objet de stratégie de groupe qu'ils vont lier en même temps à un conteneur Active Directory. Pour configurer des paramètres individuels dans un objet de stratégie de groupe, un administrateur modifie l'objet de stratégie de groupe à partir de la console de gestion des stratégies de groupe. L'Éditeur d'objets de stratégie de groupe s'affiche avec l'objet de stratégie de groupe chargé.
Les administrateurs peuvent utiliser la console de gestion des stratégies de groupe pour lier des objets de stratégie de groupe à des sites, domaines ou unités d'organisation d'Active Directory. Ils doivent lier les objets de stratégie de groupe pour appliquer les paramètres aux utilisateurs et aux ordinateurs dans les conteneurs Active Directory.
La console de gestion des stratégies de groupe comprend les fonctionnalités RSoP (Jeu de stratégies résultant pour l'ordinateur) suivantes fournies par Windows :
Modélisation de stratégie de groupe. Simule les paramètres de stratégie qui sont appliqués dans des circonstances spécifiées par un administrateur. Les administrateurs peuvent utiliser l'outil Modélisation de stratégie de groupe pour simuler les données RSoP qui seraient appliquées pour une configuration existante, ou ils peuvent analyser les effets de modifications hypothétiques simulées apportées à leur environnement de répertoire. La modélisation de stratégie de groupe nécessite que vous disposiez d'au moins un contrôleur de domaine exécutant Windows Server 2003, car cette simulation est effectuée par un service exécuté sur un contrôleur de domaine doté de Windows Server 2003. Pour plus d'informations, voir Modélisation de stratégie de groupe (https://go.microsoft.com/fwlink/?linkid=82672\&clcid=0x40C) (en anglais) sur le site Web Microsoft TechNet.
Résultats de la stratégie de groupe. Représente les données de stratégie réelles qui s'appliquent à un ordinateur et à un utilisateur. Les données sont obtenues en interrogeant l'ordinateur cible et en récupérant les données RSoP qui lui ont été appliquées. La fonction des résultats de la stratégie de groupe est fournie par le système d'exploitation client et nécessite Windows XP, Windows Server 2003 ou version ultérieure. Pour plus d'informations, voir Résultats de la stratégie de groupe (https://go.microsoft.com/fwlink/?linkid=82673\&clcid=0x40C) (en anglais) sur le site Web Microsoft TechNet.
Initialement, la console de gestion des stratégies de groupe était fournie en tant que composant de téléchargement pour Microsoft Windows Server 2003 et Windows XP. Pour la télécharger, voir Console de gestion des stratégies de groupe - Télécharger (https://go.microsoft.com/fwlink/?linkid=58541\&clcid=0x40C) sur le site Web du Centre de téléchargement Microsoft.
Dans Windows Vista et Windows Server 2008, la console de gestion des stratégies de groupe est intégrée directement dans le système d'exploitation et elle est l'outil standard de gestion des tâches de stratégie de groupe avec l'Éditeur d'objets de stratégie de groupe.
Pour plus d'informations sur la console de gestion des stratégies de groupe, voir Guide pas à pas pour l'utilisation de la Console de gestion des stratégies de groupe (https://go.microsoft.com/fwlink/?linkid=75196\&clcid=0x40C) sur le site Web Microsoft TechNet.
Éditeur d'objets de stratégie de groupe
L'Éditeur d'objets de stratégie de groupe est un composant logiciel enfichable MMC qui permet de configurer des paramètres de stratégie dans des objets de stratégie de groupe. Ce composant, contenu dans le fichier gpedit.dll, est installé avec les systèmes d'exploitation Windows 2000, Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008.
Sur les ordinateurs exécutant Windows 2000, Windows XP doté du Pack des outils d'administration Windows Server 2003 et Windows Server 2003, vous pouvez accéder à l'Éditeur d'objets de stratégie de groupe à partir des composants logiciels enfichables MMC Utilisateurs et ordinateurs Active Directory et Sites et services Active Directory.
Pour configurer les paramètres de stratégie de groupe d'un ordinateur local qui n'est pas un membre d'un domaine, utilisez l'Éditeur d'objets de stratégie de groupe pour gérer un objet de stratégie de groupe local (ou plusieurs objets de stratégie de groupe sur les ordinateurs exécutant Windows Vista ou Windows Server 2008). Pour configurer les paramètres de stratégie de groupe dans un environnement de domaine, la console de gestion des stratégies de groupe, qui appelle l'Éditeur d'objets de stratégie de groupe, est l'outil par défaut pour les tâches de gestion de la stratégie de groupe.
L'Éditeur d'objets de stratégie de groupe fournit aux administrateurs une arborescence hiérarchique pour la configuration des paramètres de stratégie de groupe dans des objets de stratégie de groupe. Ces objets peuvent ensuite être liés à des sites, domaines et unités d'organisation qui contiennent des objets ordinateur ou utilisateur.
L'Éditeur d'objets de stratégie de groupe se compose de deux nœuds principaux : Configuration de l'utilisateur, qui contient les paramètres appliqués aux utilisateurs lors de l'ouverture de session et de l'actualisation régulière en en tâche de fond et Configuration de l'ordinateur, qui contient les paramètres appliqués aux ordinateurs lors du démarrage et de l'actualisation régulière en tâche de fond. Ces nœuds sont ensuite divisés en dossiers qui contiennent les différents types de paramètres de stratégie pouvant être définis. Ces dossiers sont notamment les suivants :
Paramètres du logiciel, qui contient les paramètres d'installation du logiciel ;
Paramètres Windows, qui contient les paramètres de sécurité et les paramètres de stratégie des scripts ;
Modèles d'administration, qui contient les paramètres de stratégie basés sur le Registre.
Pour plus d'informations sur l'Éditeur d'objets de stratégie de groupe, voir Stratégie de groupe (pré-GPMC) (https://go.microsoft.com/fwlink/?linkid=72742\&clcid=0x40C) sur le site Web Microsoft TechNet de Windows Server 2003.
Outil de personnalisation Office et stratégie de groupe
Deux outils sont mis à la disposition des administrateurs pour personnaliser les configurations utilisateur pour les applications Office System 2007 : l'Outil de personnalisation Office (OPO) et la stratégie de groupe. Bien que ces deux outils permettent de configurer les paramètres utilisateur, il existe entre les deux des distinctions importantes.
L'Outil de personnalisation Office permet de créer un fichier de personnalisation de l'installation (fichier MSP). Les administrateurs peuvent l'utiliser pour personnaliser des fonctionnalités et configurer des paramètres utilisateur. Les utilisateurs peuvent modifier la plupart des paramètres après l'installation. Cela est dû au fait que l'Outil de personnalisation Office configure les paramètres des portions publiquement accessibles du Registre, telles que HKEY_CURRENT_USER/Software/Microsoft/Office/12.0. Cet outil est généralement utilisé dans les organisations qui ne centralisent pas la gestion des configurations de bureau. Pour plus d'informations, voir Outil de personnalisation Office dans Office System 2007.
La stratégie de groupe permet de configurer les paramètres de stratégie Office System 2007 contenus dans les modèles d'administration. Ces paramètres sont ensuite appliqués par le système d'exploitation. Dans un environnement Active Directory, les administrateurs peuvent appliquer les paramètres de stratégie à des groupes d'utilisateurs et d'ordinateurs dans un site, un domaine ou une unité d'organisation auxquels un objet de stratégie de groupe est lié. Les paramètres des stratégies effectives sont écrits dans les clés de Registre approuvées pour la stratégie, et ils comportent des restrictions de liste de contrôle d'accès qui empêchent les non-administrateurs de les modifier. Les administrateurs peuvent utiliser la stratégie de groupe pour créer des configurations de bureau soumises à une gestion intense. Ils peuvent également créer des configurations légèrement gérées pour répondre aux besoins métier et de sécurité de leurs organisations.
Télécharger ce livre
Cette rubrique est incluse dans le livre téléchargeable suivant pour une lecture et une impression plus faciles :
Vous trouverez la liste complète des livres disponibles sur Manuels téléchargeables pour le Kit de ressources Office 2007.
Voir aussi
Concepts
Appliquer des paramètres à l’aide de la stratégie de groupe dans Office System 2007
Désactiver des touches de raccourci et des éléments de l’interface utilisateur
Planification de la sécurité dans Office System 2007
Planifier la configuration des paramètres de sécurité dans Outlook 2007
Utilisation d'une stratégie de groupe pour définir les options d'enregistrement de fichier par défaut