Intégrer les GPO Windows 8 à Windows Server 2008 R2
Sommaire
I. Présentation
L’arrivée de Windows 8 est accompagnée par de nouveaux paramètres de configuration accessible dans la stratégie de groupe locale, ou éventuellement, à partir de votre contrôleur de domaine sous Windows Server 2012. Ceci dans le but de pouvoir appliquer des restrictions sur votre poste local sous Windows 8, ou, sur les postes de votre domaine dans le cas de la mise en place d’objets de stratégie de groupe (GPO – Group Object Policy) sur un contrôleur de domaine Windows Server 2012.
Toutefois, si vous devez intégrer un ou plusieurs postes sous Windows 8 dans votre domaine et que vous utilisez des contrôleurs de domaine fonctionnant sur une version antérieure à Windows Server 2012 (jusqu’à Windows Server 2008), il est possible d’intégrer les GPO de Windows 8 au sein des anciennes versions de Windows. Ainsi, vous pouvez paramétrer et sécuriser les postes sous Windows 8 à partir de GPO sans devoir acquérir de licence Windows Server 2012.
Pour effectuer cela, il faut créer un « magasin central » (appelé aussi « central store ») dans le dossier SYSVOL du contrôleur de domaine, ce qui permettra de stocker les paramètres GPO de Windows 8 qui sont représentés sous la forme de fichiers « ADMX » (anciennement ADM).
Ces fichiers contiennent des instructions XML permettant de définir les différents paramètres et ils sont lisibles et modifiables uniquement à partir de Windows Server 2008.
Note : Je vous déconseille de modifier ces fichiers manuellement.
II. Création du magasin central
La première étape consiste à créer le magasin central qui va être utilisé pour contenir les fichiers ADMX. Sur votre contrôleur de domaine, accédez au répertoire suivant :
C:\Windows\SYSVOL\ sysvol\Nom_de_domaine\Policies\
Une fois que vous avez accédé au répertoire « policies », créez un répertoire nommé « PolicyDefinitions ». Ce qui vous donnera l’arborescence suivante :
C:\Windows\SYSVOL\ sysvol\Nom_de_domaine\Policies\PolicyDefinitions
III. Transfert des fichiers ADMX
Notre magasin central est désormais opérationnel, ce n’était pas bien compliqué puisqu’il suffisait de créer un répertoire. Maintenant, il faut transférer les fichiers ADMX de la machine Windows 8 vers ce même magasin central situé sur notre contrôleur de domaine.
Accédez donc au répertoire suivant :
C:\Windows\PolicyDefinitions
Note : Vous trouverez ce répertoire sur toutes les machines à partir de Windows Vista/Windows Server 2008, soit depuis l’arrivée des fichiers ADMX à la place des fichiers ADM.
Dans ce répertoire vous trouverez de nombreux fichiers « ADMX », 173 pour être précis. Chacun de ces fichiers correspondent à une série de paramètres définissable dans les GPO.
Ensuite, accédez au partage SYSVOL de votre contrôleur de domaine grâce au chemin UNC, comme ceci :
\\serveur\SYSVOL
Remplacez « serveur » par le nom DNS ou IP de votre serveur.
Une fois connecté au partage, parcourez l’arborescence jusqu’au magasin central que nous avons créé (nommé « PolicyDefinitions »). Copiez l’ensemble du contenu du répertoire « PolicyDefinitions » de votre machine Windows 8, et collez ce contenu dans le magasin central. Vous obtiendrez ceci :
IV. Vérification
L’intégration des GPO dans le contrôleur de domaine est terminée, nous allons maintenant procéder à la vérification. Accédez à la « Gestion des stratégies de groupe » en allant dans le menu « Démarrer » puis « Outils d’administration ».
Créez un nouvel objet de stratégie de groupe en faisant clic droit sur le dossier contenant les stratégies de groupe puis créez un nouvel objet. Editez ensuite cet objet grâce à un clic droit dessus et cliquez sur « Modifier ».
Afin de vérifier que de nouveaux paramètres sont bien disponibles, parcourez l’arborescence de cette façon : Configuration utilisateur, Stratégies, Modèles d’administration, Système, Gestion de la communication, Paramètres de communication. Dans la liste qui apparaît dans le volet de droit, vous verrez apparaître « Désactiver l’accès au Windows Store » qui est un paramètre intégré à Windows 8 et qui permet de désactiver la fonction de recherche du Windows Store.
D’ailleurs, si vous regardez le dossier « Modèles d’administration », son nom a changé et c’est désormais indiqué qu’il contient des définitions de stratégies provenant du magasin central, par l’intermédiaire de nos fichiers ADMX.
Bonjour,
Il y a une petite faute dans le chemin indiquer « C:\Windows\PolicyDefintions » au lieu de « C:\Windows\PolicyDefinitions ».
Il manque un « i » à « Definitions ».
Sinon très bon article!
Merci à vous!
Il est également possible d’installer sur le serveur les ADMX Win8 et Win2012 en téléchargeant le package suivant : https://www.microsoft.com/fr-fr/download/details.aspx?id=36991
après installation, copier le contenu du répertoire C:\Program Files (x86)\Microsoft Group Policy\Windows Server 2012\PolicyDefinitions dans C:\Windows\SYSVOL\sysvol\nom_de_domaine\Policies\PolicyDefinitions
à faire si l’on a pas de Windows 8 sous la main.
Bonjour,
Outre le fait que l’on puisse télécharger des templates ADMX comme précisé ci-dessous, il serait intéressant d’apporter dans cet article une précision sur la cohabitation des OS au sein des GPOs.
Il serait bon de préciser que Microsoft observe une totale compatibilité ascendante au sein des templates ADMX, ce qui veut dire que le ADMx pour Windows 10 1809 conserve les templates de Windows XP.
En conclusion, il convient de mettre dans le Central Store le ADMX de la version OS la plus récente de votre parc de machines, et uniquement cet ADMX ! Pas besoin de se soucier des AMDX plus anciens, ils y sont déjà intégrés.
Après, si l’on souhaite cibler certains OS dans certaines GPOs, il faut passer par le filtrage WMI comme expliqué ici : http://evilgpo.blogspot.com/2014/11/wmi-filters-os-versions-and-buildnumber.html