GPO : magasin central et fichiers ADM, ADMX et ADML
Sommaire
I. Présentation
Nous avons vu dans le chapitre précédent que les stratégies de groupe s'appuyaient sur un modèle de stratégie de groupe qui stockait ses fichiers dans le répertoire SYSVOL du domaine. Maintenant, nous allons nous intéresser à d'autres fichiers utilisés pour les GPO : les fichiers ADM, ADMX et ADML, ainsi qu'au magasin central.
II. Les fichiers ADM et ADMX
Windows Server est livré avec près de 200 fichiers ADMX, où chaque fichier correspond à un template d’administration. Ce fichier template va permettre d'ajouter des paramètres supplémentaires à l'éditeur de stratégie de groupe.
Par exemple, très souvent on récupère les fichiers ADMX correspondants à la suite Microsoft Office pour pouvoir configurer Word, Excel, PowerPoint, etc... À l'aide d'une GPO. Par défaut, il n'y a pas de paramètres pour la suite Office, ce qui nécessite de réaliser un import manuel.
Note : les modèles d’administration pour Office sont disponibles en téléchargement sur le site de Microsoft, au format ADMX pour les éditions 2007, 2010, 2013, 2016 et 2019 et au format ADM pour les éditions 2000 et 2003. Preuve que le format ADM est obsolète depuis plusieurs années.
Les fichiers ADMX doivent être centralisés dans un espace de dépôt, le magasin central, que nous allons voir après, contrairement aux fichiers ADM qui sont plus contraignants. En effet, lorsque l'on utilisait les fichiers ADM, pour chaque GPO créée, une copie du fichier ADM utilisé était copiée dans le GPT de la GPO. Cela pouvait représenter un espace de stockage important et surtout c'était lourd pour la réplication. Résumé : les fichiers ADMX remplacent les fichiers ADM.
III. Les fichiers ADML
Les fichiers ADML viennent en complément des templates d'administration (ADMX) afin de gérer la partie linguistique. Il s'agit ni plus ni moins que de fichiers de traduction.
Par exemple : lorsque Microsoft publie les fichiers ADMX pour Office, des fichiers de traduction de nombreuses langues sont intégrés au téléchargement. Ainsi, les nouveaux paramètres de GPO apparaîtront dans la langue correspondante au serveur local. Cela est appréciable lorsque la barrière de la langue est un problème.
IV. Le magasin central (PolicyDefinitions)
Le magasin central est un dossier qui est utilisé pour stocker les fichiers ADMX et ADML sur un domaine Active Directory. Le dossier correspondant au magasin central doit se nommer PolicyDefinitions et il doit être publié sur le partage SYSVOL à l'intérieur du dossier "Policies" (vu précédemment pour le stockage des GPT).
Ainsi, nous devons créer le répertoire suivant :
C:\Windows\SYSVOL\sysvol\it-connect.local\Policies\PolicyDefinitions
Quand une machine va lire les machines via le réseau, le chemin UNC sera le suivant :
\\IT-CONNECT.LOCAL\SysVol\IT-CONNECT.LOCAL\Policies\PolicyDefinitions
Pour pouvoir manipuler en même temps, je vous invite à créer ce dossier sur votre environnement. Cette action n'a pas d'impact sur la production. En complément et afin de pouvoir stocker les fichiers linguistiques (ADML), je vous invite à créer deux sous-dossiers :
en-US fr-FR
Cela nous permettra de stocker les fichiers de langue anglais et français.
Remarque :
Le magasin central inclus à Windows Server est stocké à l'emplacement suivant : C:\Windows\PolicyDefinitions, enfin plus précisément il utilise une variable d'environnement : %systemroot%\PolicyDefinitions.
Tous les fichiers ADMX et ADML natifs à Windows Server sont stockés à cet endroit. Néanmoins ce dossier est local et il n'est pas répliqué entre les contrôleurs de domaine, d'où la nécessité d'avoir un magasin central dans le dossier SYSVOL lorsque vous avez plusieurs contrôleurs de domaine.
Tous les fichiers que nous allons ajouter par la suite seront à ajouter au dossier PolicyDefinitions de SYSVOL.
V. Fichiers ADMX pour Windows 10
À chaque fois qu'une nouvelle version de Windows 10 est publiée, Microsoft en propose pour actualiser les modèles d'administration dédiés à Windows 10. C'est l'occasion d'ajouter des paramètres supplémentaires afin d'offrir toujours plus de contrôle et possibilités avec les GPO.
Les templates d'administration pour Windows 10 v1909 sont disponibles sur le site de Microsoft : ADMX Windows 10
Le téléchargement se présente sous la forme d'un fichier MSI, il faut réaliser l'installation sur un PC ou un serveur pour récupérer ensuite les fichiers ADMX et ADML.
Lorsque l'installation est réalisée, les fichiers sont disponibles à l'emplacement suivant :
C:\Program Files (x86)\Microsoft Group Policy\Windows 10 November 2019 Update (1909)\PolicyDefinitions
Copiez tous les fichiers ADMX, ainsi que les deux dossiers de langue "en-US" et "fr-fr" dans le dossier PolicyDefinitions. Pour rappel voici son emplacement :
\\it-connect.local\SYSVOL\IT-CONNECT.LOCAL\Policies\PolicyDefinitions
Voilà, vous venez d'importer de nouveaux fichiers ADMX sur votre domaine ! Plutôt simple.
Maintenant, si vous créez une nouvelle GPO à l'aide de la console GPMC... Via un clic droit sur "Objets de stratégie de groupe", puis "Nouveau". Donnez un nom, et ensuite modifiez la GPO via un clic droit puis "Modifier".
Si l'on déroule la partie "Configuration ordinateur" (ou Configuration utilisateur), on retrouve la partie "Modèles d'administration". Par défaut, dans cette partie nous retrouvons uniquement les modèles natifs et préchargés sur Windows Server. Désormais, dès que vous ajoutez des fichiers ADMX à votre dépôt centralisé, les paramètres de GPO viendront s'ajouter dans cette zone.
On remarque d'ailleurs la mention suivante : définitions de stratégies (fichiers ADMX) récupérées à partir du magasin central.
Les paramètres de Windows se noient un peu dans la masse, car il en existe déjà une multitude intégrée. Si l'on ajoute des fichiers ADMX pour des logiciels, ce sera visible plus facilement.
VI. Fichiers ADMX pour Office, Firefox, Chrome, etc.
En complément de Windows, on retrouve très fréquemment en entreprise la suite Office, ainsi que les navigateurs Chrome et Firefox, voire même aussi la solution d'inventaire Fusion Inventory.
Voici quelques liens pour récupérer les fichiers ADMX associés :
- ADMX pour Office 2016, Office 2019 et Office 365 ProPlus
- ADMX pour Mozilla Firefox (version classique et ESR)
- ADMX pour FusionInventory
- ADMX pour Google Chrome
La procédure d'importation reste la même.
Je terminerai ce chapitre en vous montrant que c'est tout de suite plus visible lorsque l'on importe les fichiers ADMX pour Office :