18/12/2024

Stratégie de groupe

Intégrer les GPO Windows 8 à Windows Server 2008 R2

I. Présentation

L’arrivée de Windows 8 est accompagnée par de nouveaux paramètres de configuration accessible dans la stratégie de groupe locale, ou éventuellement, à partir de votre contrôleur de domaine sous Windows Server 2012. Ceci dans le but de pouvoir appliquer des restrictions sur votre poste local sous Windows 8, ou, sur les postes de votre domaine dans le cas de la mise en place d’objets de stratégie de groupe (GPO – Group Object Policy) sur un contrôleur de domaine Windows Server 2012.

Toutefois, si vous devez intégrer un ou plusieurs postes sous Windows 8 dans votre domaine et que vous utilisez des contrôleurs de domaine fonctionnant sur une version antérieure à Windows Server 2012 (jusqu’à Windows Server 2008), il est possible d’intégrer les GPO de Windows 8 au sein des anciennes versions de Windows. Ainsi, vous pouvez paramétrer et sécuriser les postes sous Windows 8 à partir de GPO sans devoir acquérir de licence Windows Server 2012.

Pour effectuer cela, il faut créer un « magasin central » (appelé aussi « central store ») dans le dossier SYSVOL du contrôleur de domaine, ce qui permettra de stocker les paramètres GPO de Windows 8 qui sont représentés sous la forme de fichiers « ADMX » (anciennement ADM).

Ces fichiers contiennent des instructions XML permettant de définir les différents paramètres et ils sont lisibles et modifiables uniquement à partir de Windows Server 2008.

Note : Je vous déconseille de modifier ces fichiers manuellement.

II. Création du magasin central

La première étape consiste à créer le magasin central qui va être utilisé pour contenir les fichiers ADMX. Sur votre contrôleur de domaine, accédez au répertoire suivant :

C:\Windows\SYSVOL\ sysvol\Nom_de_domaine\Policies\

Une fois que vous avez accédé au répertoire « policies », créez un répertoire nommé « PolicyDefinitions ». Ce qui vous donnera l’arborescence suivante :

C:\Windows\SYSVOL\ sysvol\Nom_de_domaine\Policies\PolicyDefinitions

gpow81

III. Transfert des fichiers ADMX

Notre magasin central est désormais opérationnel, ce n’était pas bien compliqué puisqu’il suffisait de créer un répertoire. Maintenant, il faut transférer les fichiers ADMX de la machine Windows 8 vers ce même magasin central situé sur notre contrôleur de domaine.

Accédez donc au répertoire suivant :

C:\Windows\PolicyDefinitions

Note : Vous trouverez ce répertoire sur toutes les machines à partir de Windows Vista/Windows Server 2008, soit depuis l’arrivée des fichiers ADMX à la place des fichiers ADM.

Dans ce répertoire vous trouverez de nombreux fichiers « ADMX », 173 pour être précis. Chacun de ces fichiers correspondent à une série de paramètres définissable dans les GPO.

gpow82

Ensuite, accédez au partage SYSVOL de votre contrôleur de domaine grâce au chemin UNC, comme ceci :

\\serveur\SYSVOL

Remplacez « serveur » par le nom DNS ou IP de votre serveur.

gpow83

Une fois connecté au partage, parcourez l’arborescence jusqu’au magasin central que nous avons créé (nommé « PolicyDefinitions »). Copiez l’ensemble du contenu du répertoire « PolicyDefinitions » de votre machine Windows 8, et collez ce contenu dans le magasin central. Vous obtiendrez ceci :

gpow84

IV. Vérification

L’intégration des GPO dans le contrôleur de domaine est terminée, nous allons maintenant procéder à la vérification. Accédez à la « Gestion des stratégies de groupe » en allant dans le menu « Démarrer » puis « Outils d’administration ».

Créez un nouvel objet de stratégie de groupe en faisant clic droit sur le dossier contenant les stratégies de groupe puis créez un nouvel objet. Editez ensuite cet objet grâce à un clic droit dessus et cliquez sur « Modifier ».

Afin de vérifier que de nouveaux paramètres sont bien disponibles, parcourez l’arborescence de cette façon : Configuration utilisateur, Stratégies, Modèles d’administration, Système, Gestion de la communication, Paramètres de communication. Dans la liste qui apparaît dans le volet de droit, vous verrez apparaître « Désactiver l’accès au Windows Store » qui est un paramètre intégré à Windows 8 et qui permet de désactiver la fonction de recherche du Windows Store.

gpow85

D’ailleurs, si vous regardez le dossier « Modèles d’administration », son nom a changé et c’est désormais indiqué qu’il contient des définitions de stratégies provenant du magasin central, par l’intermédiaire de nos fichiers ADMX.

gpow86

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

3 commentaires sur “Intégrer les GPO Windows 8 à Windows Server 2008 R2

  • Bonjour,

    Il y a une petite faute dans le chemin indiquer « C:\Windows\PolicyDefintions » au lieu de « C:\Windows\PolicyDefinitions ».

    Il manque un « i » à « Definitions ».

    Sinon très bon article!

    Merci à vous!

    Répondre
  • Il est également possible d’installer sur le serveur les ADMX Win8 et Win2012 en téléchargeant le package suivant : https://www.microsoft.com/fr-fr/download/details.aspx?id=36991

    après installation, copier le contenu du répertoire C:\Program Files (x86)\Microsoft Group Policy\Windows Server 2012\PolicyDefinitions dans C:\Windows\SYSVOL\sysvol\nom_de_domaine\Policies\PolicyDefinitions

    à faire si l’on a pas de Windows 8 sous la main.

    Répondre
  • Bonjour,
    Outre le fait que l’on puisse télécharger des templates ADMX comme précisé ci-dessous, il serait intéressant d’apporter dans cet article une précision sur la cohabitation des OS au sein des GPOs.
    Il serait bon de préciser que Microsoft observe une totale compatibilité ascendante au sein des templates ADMX, ce qui veut dire que le ADMx pour Windows 10 1809 conserve les templates de Windows XP.
    En conclusion, il convient de mettre dans le Central Store le ADMX de la version OS la plus récente de votre parc de machines, et uniquement cet ADMX ! Pas besoin de se soucier des AMDX plus anciens, ils y sont déjà intégrés.
    Après, si l’on souhaite cibler certains OS dans certaines GPOs, il faut passer par le filtrage WMI comme expliqué ici : http://evilgpo.blogspot.com/2014/11/wmi-filters-os-versions-and-buildnumber.html

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.