27/12/2024

Les préférences de stratégie de groupe

I. Présentation

Avec Windows Server 2008, Microsoft a introduit des paramètres supplémentaires aux stratégies de groupe afin d'offrir des possibilités supplémentaires. Il s'agit des préférences de stratégie de groupe, que l'on appelle également Group Policy Preferences (GPP).

Pour rappel, lorsqu'un paramètre est défini dans une GPO et qu'il s'applique sur un utilisateur ou un poste, ce paramètre est forcé et ne peut pas être modifié par l'utilisateur. Avec les préférences, c'est différent. En effet, ces paramètres sont déployés, mais peuvent être modifiés.

II. Group Policy Preferences

Afin de mieux cerner les préférences de stratégies de groupe, voici ce que l'on peut en dire :

  • Comme pour les paramètres d'une stratégie de groupe classique, elles existent pour les ordinateurs et les utilisateurs
  • Les préférences sont configurables directement à partir de la console classique GPMC
  • La configuration déployée peut-être modifiée par l'utilisateur
  • Par défaut, si l'on supprime une GPP qui s'applique sur un poste, cela ne supprime pas la configuration déployée par cette GPP, contrairement aux paramètres classiques qui reviendraient à leur état initial
  • Les paramètres GPP sont différents des paramètres classiques

Vous l'aurez compris, vis-à-vis des paramètres de stratégie de groupe, les préférences apportent plus de souplesse et offrent une façon supplémentaire d'administrer son parc informatique.

III. Que peut-on configurer avec les GPP ?

Lorsque l'on édite une stratégie de groupe, les préférences sont regroupées dans une section dédiée avec différentes sous-catégories. Maintenant, nous allons voir ce qu'il est possible de configurer via une GPP.

Créez une nouvelle GPO via la console GPMC pour que l'on regarde cela ensemble. Ensuite, éditez cette GPO.

Ensuite, que ce soit au niveau de la "Configuration ordinateur" ou de la "Configuration utilisateur", on retrouve un container "Préférences" : c'est sous ce container que se trouvent tous les paramètres GPP.

Au total, nous avons une vingtaine d'items, qui de par leur nom donne une idée de ce à quoi ils peuvent servir. Voyez par vous-même :

Pour que ce soit plus parlant et plus clair, voici quelques tâches que l'on peut réaliser grâce à une GPP :

  • Déployer ou supprimer une imprimante sur la session d'un utilisateur
  • Copier, écraser ou supprimer un fichier sur un ordinateur
  • Créer un nouveau dossier ou supprimer un dossier existant
  • Mapper un lecteur réseau
  • Ajouter, modifier ou supprimer une clé de registre
  • Créer un nouveau raccourci sur la session d'un utilisateur ou sur le "Bureau Public", par exemple
  • Gérer les variables d'environnement
  • Créer, supprimer et modifier une tâche planifiée
  • Gérer les utilisateurs et groupes locaux d'un poste de travail
  • Etc.

? Tutoriel - Lecteurs réseau par GPO

En fait de manière générale, on peut toujours réaliser trois actions : création, modification (de deux façons) ou suppression. L'action doit être choisie au moment où l'on définit le paramètre. Nous y reviendrons.

Pour créer une nouvelle configuration dans une GPP, il suffit de sélectionner l'item, par exemple "Raccourcis" et dans la fenêtre qui s'affiche à droite, de faire un clic droit puis "Nouveau".

Vous verrez ensuite que le processus est spécifique à chaque item, bien qu'il y ait des points communs, mais cela est totalement différent des paramètres classiques où, pour la plupart, il suffit d'activer ou désactiver.

IV. Les différents types d'actions

Comme je le disais précédemment, lorsque l'on crée une nouvelle configuration, on a le choix entre plusieurs actions. D'ailleurs, c'est le premier champ du formulaire et les valeurs proposées seront toujours les mêmes : Créer, Remplacer, Mettre à jour et Supprimer.

Plus précisément, voici des informations sur ces quatre actions :

A. Action "Créer"

Cette action doit être utilisée seulement pour créer quelque chose qui n'existe pas. Par exemple, pour ajouter un raccourci sur un PC s'il n'existe pas, s'il existe déjà et que vous souhaitez le modifier, n'utilisez pas cette action. Si l'objet cible existe déjà, le paramètre sera ignoré.

B. Action "Remplacer"

Cette action permettra de supprimer l'objet existant et d'ajouter le nouveau à la place avec les paramètres définis dans votre GPP. C'est surement l'action la moins utilisée.

C. Action "Mettre à jour"

Il s'agit de l'action par défaut et c'est celle qui est la plus utile. Si le paramètre que vous souhaitez mettre à jour n'existe pas, il sera créé automatiquement. S'il existe déjà, il sera mis à jour afin d'intégrer les nouveaux paramètres de votre GPP. En fait, cette action se rapproche du mode de fonctionnement d'une GPO : la configuration du poste sera mise à jour pour correspondre à ce qui est défini dans la GPP, tout en offrant la possibilité à l'utilisateur de modifier la configuration.

D. Action "Supprimer"

Comme son nom l'indique, cette action sert à supprimer un objet créé par une GPP, par exemple un fichier ou un raccourci. Souvenez-vous que lorsqu'une GPP n'est plus appliquée sur un ordinateur/utilisateur, cela ne supprime pas ce qu'elle a créé : cela est logique d'un sens, car imaginait si vous supprimez un dossier créé par GPP alors que l'utilisateur a stocké des données à l'intérieur... Cependant, pour permettre de supprimer ce qui n'est plus utilisé, par exemple une tâche planifiée, une clé de registre, etc... Il faudra mettre à jour votre GPP pour utiliser l'action "Supprimer" à la place de "Mettre à jour" (ou autre) afin de faire le nettoyage.

V. Le ciblage

En termes de ciblage, nous avons pu voir qu'une GPO peut s'appliquer sur une OU, un domaine ou encore un site, et qu'ensuite on peut réaliser un ciblage en jouant avec le filtrage de sécurité ou encore avec un filtre WMI. Avec les GPP on peut aller beaucoup plus loin, avec un ciblage qui peut se baser sur une multitude de critères, et ce, pour chaque paramètre de GPP créé.

Lorsque l'on crée une nouvelle configuration, il y a l'onglet "Commun" qui regroupe des paramètres communs à toutes les configurations GPP. C'est à ce niveau que l'on retrouve l'option "Ciblage au niveau de l'élément", qui, lorsqu'elle est active donne accès au bouton "Ciblage".

Ensuite dans l'éditeur de cible, vous allez pouvoir définir différents critères. Par exemple, créer un ciblage par rapport au nom de l'ordinateur, à la version du système d'exploitation, en fonction de l'appartenance de l'ordinateur ou de l'utilisateur à un groupe de sécurité spécifique, mais aussi par rapport à l'espace disque restant sur un volume spécifique d'un PC, à la langue du système, à la quantité de RAM ou encore en fonction d'une plage horaire.

Il y a des possibilités infinies puisque l'on peut définir plusieurs critères dans le même ciblage, avec des conditions différentes : ET / OU - EST / N'EST PAS. Je vous recommande tout de même de ne pas en abuser et de réaliser des tests de performance suite à l'utilisation du ciblage, notamment si vous commencez à cumuler les critères.

Avec ce chapitre, mon objectif était de vous proposer une vue d'ensemble des préférences de stratégie de groupe, notamment pour bien comprendre le fonctionnement et avoir une idée des possibilités offertes. Pour la suite, les fenêtres de configuration ayant chacune leurs spécificités, il serait intéressant de les utiliser dans des cas pratiques : comment déployer des lecteurs réseau, des imprimantes, etc. via les GPP.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail