Les conteneurs Policies, GPC et GPT dans l’Active Directory
I. Présentation
Dans ce chapitre, nous allons aborder la notion de Policies, GPC et GPT : des éléments indispensables au bon fonctionnement des stratégies de groupe dans un environnement Active Directory.
Chaque GPO est reliée à un container de stratégie de groupe appelé "Group Policy Container" (GPC) stocké directement dans l'Active Directory et un modèle de stratégie de groupe, en anglais "Group Policy Template" (GPT) qui se présente sous la forme d'un ensemble de fichiers stockés dans le répertoire SYSVOL.
En fait, pour qu'une stratégie de groupe puisse être traitée par le poste client, deux éléments indispensables doivent être présents sur le contrôleur de domaine qui a authentifié le poste client : le GPC et le GPT. Pour assurer un bon fonctionnement, le GPC et le GPT de chaque GPO doivent être répliqués entre l'ensemble des contrôleurs de domaine.
II. Group Policy Container (GPC)
Pour chaque GPO créée, on peut utiliser la console "Utilisateurs et ordinateurs Active Directory" pour visualiser les informations de son container "GPC. Au niveau d'une GPO, on peut dire que le container de stratégie de groupe est :
Pour voir en pratique ce que ça donne, ouvrez la console "Utilisateurs et ordinateurs Active Directory". Cliquez sur "Affichage" et "Fonctionnalités avancées" afin de pouvoir visualiser tous les containers de l'AD. La console va se recharger.
Parcourez comme suit : System > Policies.
Sous "Policies", on retrouve un container par GPO, autrement dit on retrouve le GPC de chaque GPO existante sur votre domaine.
Le nom qui s'affiche, par exemple "03923E72-9557-412D-A642-781051C98BAE" sera le nom utilisé également pour le GPT au niveau de SYSVOL, mais nous verrons cela juste après.
Si vous effectuez un clic droit sur une GPO et que vous accédez aux propriétés, l'onglet "Éditeur d'attributs" vous donnera accès à de nombreuses propriétés au sujet de la GPO.
Simplement, nous pouvons voir le nom de la GPO c'est-à-dire le nom saisi lors de la création de l'objet via l'éditeur de stratégie de groupe. Ceci correspond à l'attribut displayName.
Un attribut qui est intéressant est "gPCFileSysPath" car celui-ci contient le chemin vers le GPT de cette GPO. Par exemple :
\\IT-CONNECT.LOCAL\SysVol\IT-CONNECT.LOCAL\Policies\{03923E72-9557-412D-A642-781051C98BAE}
Enfin, l'attribut "versionNumber" vous donne le numéro de version de cette GPO. A chaque modification, ce numéro est incrémenté.
Intéressons-nous maintenant au Group Policy Template (GPT).
III. Group Policy Template (GPT)
Le template de stratégie de groupe (GPT) est un ensemble de fichiers et de dossiers stockés au sein du dossier partagé "SYSVOL", accessible à partir de tous les contrôleurs de domaine.
Pour la réplication de ces éléments entre les différents DC du domaine, le service DFSR (Distributed File System Replication) est utilisé sur les versions récentes de Windows Server.
Si l'on accède au dossier SYSVOL du domaine, on remarque qu'il dispose d'un dossier "Policies" qui n'est pas sans rappeler le container de l'Active Directory. Par exemple, dans mon cas, cela donne le chemin suivant :
\\IT-CONNECT.LOCAL\SysVol\IT-CONNECT.LOCAL\Policies
Si l'on regarde à l'intérieur du dossier, on retrouve un dossier par GPO avec le même nom que l'on avait toute à l'heure dans l'AD pour chaque GPC. Au fait, ce nom est le GUID de la GPO 🙂
À l'intérieur de chaque GPT, nous allons retrouver plusieurs éléments :
- GPT.INI : ce fichier contient uniquement le numéro de version du GPT, qui n'est pas forcément le même que le numéro de version du GPC. Cela va dépendre de l'état de la réplication.
- MACHINE : ce dossier stocke les fichiers de configuration correspondants aux paramètres de "Configuration Ordinateurs" définis dans la GPO en question.
- USER : ce dossier stocke les fichiers de configuration correspondants aux paramètres de "Configuration Utilisateurs" définis dans la GPO en question.
Toutefois, dans les dossiers "MACHINE" et "USER" il y a le fichier "registry.pol" qui est présent dans les deux cas. Ce fichier contient les indications concernant les clés de registre à modifier, en fonction des paramètres configurés dans la GPO. A la lecture de ce fichier, le poste client sait quelle modification il doit apporter au registre.
Ensuite, nous avons par exemple les dossiers "Scripts\Shutdown" et "Scripts\Startup" sous "MACHINE" pour stocker un fichier Scripts.ini avec les informations sur le script à lancer, et éventuellement le script en lui-même. Dans le même esprit, nous avons pour la partie utilisateurs les dossiers "Scripts\Logon" et "Scripts\Logoff", pour les scripts liés à l'ouverture et la fermeture de session.
Pour finir ce chapitre, j'attire votre attention sur l'importance du numéro de version : il permet de savoir au poste client si une GPO a était modifiée, afin de récupérer la nouvelle version dans le cas où la version qu'il a appliquée est ancienne vis-à-vis de la version du contrôleur de domaine.
Lorsque l'on regarde les détails d'une GPO via la console GPMC, on remarque deux numéros de versions : AD et SYSVOL, ils correspondent respectivement au numéro de version du GPC et du GPT. Pour en savoir plus sur le contrôle du numéro de version, je vous orienter vers mon article à ce sujet : GPO - Comparer les numéros de version
