Guide de l utilisateur 4.1

Transcription

1 Guide de l utilisateur 4.1

2 2008 Quest Software, Inc. TOUS DROITS RÉSERVÉS. Les informations contenues dans ce guide sont exclusives et protégées par copyright. Le logiciel décrit dans ce guide est régi par un contrat de licence ou de non-divulgation. La copie ou l utilisation de ce logiciel ne peut se faire que conformément aux termes de l accord applicable. La reproduction ou la transmission d une partie quelconque de ce guide quelle qu en soit la forme, qu elle soit électronique ou mécanique, y compris les photocopies et l enregistrement pour n importe quelle raison autre que pour son utilisation par le personnel de l acheteur est interdite sans l accord écrit de Quest Software, Inc. Si vous avez des questions concernant l utilisation potentielle de ce document, contactez : Quest Software World Headquarters LEGAL Dept 5 Polaris Way Aliso Viejo, CA USA legal@quest.com Vous trouverez sur notre site Web toutes les informations concernant nos sièges régionaux et internationaux. MARQUES COMMERCIALES Quest, Quest Software, the Quest Software logo, Aelita, Benchmark Factory, Big Brother, DataFactory, DeployDirector, ERDisk, Fastlane, Final, Foglight, Funnel Web, I/Watch, Imceda, InLook, InTrust, IT Dad, JClass, JProbe, LeccoTech, LiveReorg, NBSpool, NetBase, PerformaSure, PL/Vision, Quest Central, RAPS, SharePlex, Sitraka, SmartAlarm, Speed Change Manager, Speed Coefficient, Spotlight, SQL Firewall, SQL Impact, SQL LiteSpeed, SQL Navigator, SQLab, SQLab Tuner, SQLab Xpert, SQLGuardian, SQLProtector, SQL Watch, Stat, Stat!, Toad, T.O.A.D., Tag and Follow, Vintela, Virtual DBA, et XRT sont des marques et des marques déposées de Quest Software, Inc. Les autres marques et marques déposées citées dans ce guide appartiennent à leurs propriétaires respectifs. Avis de non-responsabilité Les informations contenues dans ce document concernent des produits Quest. Ce document ne constitue aucune licence, expresse ou implicite, par estoppel ou de toute autre façon, pour aucun droit de propriété intellectuelle ou en rapport avec la vente des produits Quest. SAUF POUR CE QUI EST DÉFINI DANS LES TERMES ET CONDITIONS QUEST TEL QUE SPÉCIFIÉ DANS LE CONTRAT DE LICENCE POUR CE PRODUIT, QUEST N ASSUME AUCUNE RESPONSABILITÉ QUELCONQUE ET DÉSAVOUE TOUTE GARANTIE EXPRESSE OU IMPLICITE RELATIVE À SES PRODUITS Y COMPRIS, MAIS SANS CARACTÈRE LIMITATIF, UNE GARANTIE IMPLICITE DE MARCHANDABILITÉ ET D ADAPTABILITÉ POUR UN OBJET PARTICULIER, OU DE NON TRANSGRESSION. EN AUCUN CAS, QUEST NE SERA RESPONSABLE DE DOMMAGES DIRECTS, INDIRECTS, CONSÉCUTIFS, PUNITIFS, SPÉCIAUX OU INCIDENTS (Y COMPRIS, SANS LIMITATION, DES DOMMAGES POUR UNE PERTE DE PROFITS, UNE INTERRUPTION D ACTIVITÉ OU UNE PERTE D INFORMATIONS) SURVENANT SUITE À L UTILISATION OU À L IMPOSSIBILITÉ D UTILISATION DE CE DOCUMENT, MÊME SI QUEST A ÉTÉ PRÉVENU DE LA POSSIBILITÉ DE TELS DOMMAGES. Quest ne donne aucune représentation ou garantie en ce qui concerne l exactitude ou la perfection du contenu de ce document et se réserve le droit d apporter des changements aux spécifications et aux descriptions du produit à tout moment sans notification préalable. Quest ne s engage en aucun cas à mettre à jour les informations contenues dans ce document. Guide de l utilisateur de Group Policy Manager Mise à jour - Mars 2008 Version Logiciel - 4.1

3 TABLE DES MATIÈRES À PROPOS DE CE GUIDE PRÉSENTATION CONVENTIONS INFORMATIONS QUEST SOFTWARE CONTACTER QUEST SOFTWARE CONTACTER LE SUPPORT QUEST CHAPITRE 1 INTRODUCTION À QUEST GROUP POLICY MANAGER PRÉSENTATION DE QGPM FONCTIONNALITÉS DE QGPM ARCHITECTURE CLIENT/SERVEUR PRISE EN CHARGE DE PLUSIEURS FORÊTS VERSION CONTROL DÉLÉGATION BASÉE SUR DES RÔLES PROCESSUS D APPROBATION DE MODIFICATION SYSTÈME DE NOTIFICATION ÉDITEUR ACL D OSG OPTIONS DE RAPPORT MODÈLES VUES PERSONNALISÉES TEST D OSG HORS CONNEXION CHAPITRE 2 CONFIGURATION DE QUEST GROUP POLICY MANAGER CONFIGURATION DU SERVEUR VERSION CONTROL CONFIGURATION DE PERMISSIONS POUR ADAM SPÉCIFICATIONS DES PORT MODIFICATIONS DES PROPRIÉTÉS DU SERVEUR VERSION CONTROL.. 26 CONFIGURATION DE LA DÉLÉGATION BASÉE SUR DES RÔLES CRÉATION DE RÔLES ÉDITION DE RÔLES DÉLÉGUER DES RÔLES SÉLECTION D ÉVÉNEMENTS À NOTIFIER i

4 Quest Group Policy Manager CHAPITRE 3 UTILISATION DE GROUP POLICY MANAGER CONNEXION AU SYSTÈME VERSION CONTROL NAVIGATION DANS LA CONSOLE QGPM CONFIGURATION DES PRÉFÉRENCES UTILISATEUR AJOUT ET SUPPRESSION DE FICHIERS ADM PERSONNALISÉS TRAVAIL AVEC L ENVIRONNEMENT ACTIF ENREGISTRER DES OBJETS ÉTAT ENREGISTRÉ RETIRER DES OBJETS ENREGISTRÉS TRAVAIL AVEC DES OBJETS CONTRÔLÉS (RACINE VERSION CONTROL) CRÉATION D UNE HIÉRARCHIE DE CONTENEUR PERSONNALISÉE SÉLECTIONNER SÉCURITÉ, NIVEAUX D APPROBATION ET OPTIONS DE NOTIFICATION COPIER/COLLER DES OBJETS PROPOSER LA CRÉATION D OBJETS CONTRÔLÉS Créer des OSG Créer des filtres WMI Création de modèles Création de modèles à partir d OSG enregistrés TRAVAIL AVEC DES OBJETS ENREGISTRÉS Création d étiquettes Afficher l historique Afficher et modifier les propriétés Visualiser les différences entre les versions Créer un rapport TRAVAIL AVEC DES OBJETS DISPONIBLES Extraire des objets Requête pour supprimer un objet Demander une approbation TRAVAIL AVEC DES OBJETS EXTRAITS Annuler une extraction Archiver des objets contrôlés Retirer une demande d approbation Restaurer une version précédente ii

5 TRAVAIL AVEC DES OBJETS EN ATTENTE D APPROBATION ET DE DÉPLOIEMENT Configuration d approbateurs multi-niveaux Approbation et rejet de modifications Programmation d un déploiement CONTRÔLE DE CONFORMITÉ UTILISATION DE L INTERFACE DE LIGNE DE COMMANDE POUR VÉRIFIER LA CONFORMITÉ MODIFIER DES OBJETS ÉDITION D OSG APPLICATION DE MODÈLES ÉDITION DES FILTRES WMI LIEN D OSG ÉDITION DE MODÈLES IMPORTATION DE PARAMÈTRES DE FICHIER INF IMPORTATION ET EXPORTATION EXPORTER DES OBJETS IMPORTER DES OBJETS CHAPITRE 4 CRÉATION DE RAPPORTS RAPPORTS DISPONIBLES RAPPORTS D OBJETS CONTRÔLÉS RAPPORTS DE DIAGNOSTIC ET DE LOCALISATION DE PANNES RAPPORT DE RÉSULTATS DE STRATÉGIE DE GROUPE RAPPORTS DE DIFFÉRENCES VERSION ACTIVE, COPIE DE TRAVAIL, DERNIÈRE VERSION RAPPORTS D HISTORIQUE TRAVAIL AVEC DES DOSSIERS DE RAPPORT CHAPITRE 5 TRAVAILLER AVEC L ÉDITEUR QUEST ADM TRAVAILLER AVEC DES FICHIERS.ADM CRÉATION ET ÉDITION DE FICHIER.ADM EXEMPLE DE FICHIER.ADM CRÉÉ AVEC L ÉDITEUR ADM PERSONNALISER L AFFICHAGE DE L ÉDITEUR ADM iii

6 Quest Group Policy Manager GLOSSAIRE INDEX iv

7 À propos de ce guide Présentation Conventions Informations Quest Software Contacter Quest Software Contacter le Support Quest

8 Quest Group Policy Manager Présentation Ce document a été préparé pour vous aider à vous familiariser avec Quest Group Policy Manager, un produit Gestion de Windows. Ce Guide de l utilisateur contient les informations nécessaires pour installer et utiliser Quest Group Policy Manager. Il s adresse aux administrateurs réseau, consultants, analystes et autres professionnels de l informatique appelés à utiliser le produit. Conventions Afin de vous permettre d utiliser au mieux le contenu de ce guide, nous avons employé des conventions de formatage spécifiques. Ces conventions s appliquent aux procédures, aux icônes, aux touches et aux renvois. ÉLÉMENT Sélectionner Texte en gras Texte en italique Texte en italique gras Texte en bleu CONVENTION Ce mot se réfère à des actions comme le choix ou la mise en surbrillance de divers éléments d interface, par exemple des fichiers et des boutons d option. Éléments d interface apparaissant dans les produits Quest, comme des menus ou des commandes. Utilisé pour les commentaires. Utilisé pour les mises en évidence. Indique une référence croisée. Ce format est utilisable comme lien hypertexte si cette référence peut être affichée à l aide du logiciel Adobe Reader. Utilisé pour souligner des informations complémentaires pertinentes pour le processus décrit. Utilisé pour fournir des informations relatives à des expériences réussies. Une expérience réussie détaille la suite des actions qui sont recommandées pour obtenir le meilleur résultat. Utilisé pour mettre en lumière des processus qui doivent être exécutés avec un soin particulier. + Un signe plus (+) placé entre deux frappes de touches signifie que vous devez appuyer sur ces touches en même temps. Une barre verticale placée entre deux éléments signifie que vous devez sélectionner les éléments dans cette séquence particulière. 6

9 Informations Quest Software À propos de ce guide Quest Software, Inc., le fournisseur partenaire indépendant global 2007 de Microsoft, permet aux entreprises d accroître davantage les performances et la productivité de leurs applications, de leurs bases de données et de leur infrastructure Windows. Grâce à une solide expérience dans les TI et en recherchant constamment les meilleures solutions, Quest aide plus de clients dans le monde à atteindre leurs objectifs de technologie. Les solution de gestion Windows de Quest simplifient, automatisent et sécurisent Active Directory, Exchange Server, SharePoint, SQL Server,.NET et Windows Server, et intègrent également Unix, Linux et Java dans l environnement géré. Quest Software est présent dans des bureaux répartis dans le monde entier ainsi que sur le net à l adresse Contacter Quest Software Téléphone Mail : Site Web : (États-Unis et Canada) info@quest.com Quest Software, Inc. World Headquarters 5 Polaris Way Aliso Viejo, CA USA Veuillez vous référer à notre site Internet pour obtenir des informations concernant le bureau régional et international. 7

10 Quest Group Policy Manager Contacter le Support Quest Le support Quest est accessible aux clients possédant une version d essai d un produit Quest ou ayant acheté une version commercialisée et disposant d un contrat de maintenance valide. Quest Support fournit via SupportLink, un support en libre-service Web disponible 24 h/24. Visitez SupportLink à l adresse suivante : SupportLink vous permet d effectuer les opérations suivantes : Trouver rapidement des milliers de solutions (articles/documents de la base de connaissance). Télécharger des correctifs et des mises à niveau. Chercher de l aide auprès d un ingénieur de support. Enregistrer et mettre à jour votre demande de support, et vérifier son état. Afficher le guide «Global Support Guide» pour obtenir davantage d informations sur les programmes de support, les services en ligne, les informations de contact ainsi que les stratégies et procédures. Le guide est disponible sur : Support Guide.pdf. 8

11 1 Introduction à Quest Group Policy Manager Présentation de QGPM Fonctionnalités de QGPM

12 Quest Group Policy Manager Présentation de QGPM Les problèmes de sécurité deviennent primordiaux au sein des organisations. Dans Active Directory, les objets de stratégie de groupe (GPO) sont en première ligne de la capacité d une organisation à mettre en place une sécurité fonctionnelle. Les aspects fondamentaux tels que les stratégies de mot de passe, les heures d ouverture de session, la distribution de logiciel, et d autres paramètres de sécurité cruciaux sont gérés par l intermédiaires des objets de stratégie de groupe. Les organisations ont besoin de méthodes pour contrôler les paramètres de ces objets de stratégie de groupe et pour déployer les objets de stratégie de groupe d une manière explicite et sûre en toute confiance. Étant donné que les objets de stratégie de groupe sont si importants pour le fonctionnement correct d Active Directory, les organisations ont également besoin de méthodes pour restaurer les objets de stratégie de groupe lorsqu ils sont mis à jour de façon incorrecte ou endommagés. Quest Group Policy Manager offre un mécanisme pour contrôler ce composant extrêmement important d Active Directory. Les objets de stratégie de groupe sont sauvegardés d une manière sûre répartie, puis placés sous contrôle de version. Lorsque des modifications sont apportées, une sauvegarde de l OSG est effectuée. Les modifications sont gérées à partir du système Version Control, et une approbation de modification est requise. L OSG stocké peut être récupéré si l OSG actif se trouvant dans le répertoire n est pas valide pour une raison quelconque. Ceci signifie que les objets de stratégie de groupe deviennent gérés et déployés en tenant compte de la sécurité. Si des problèmes surviennent malgré tout, le temps perdu entre la découverte d un problème avec un OSG et la résolution est réduit en revenant à une version précédente de l OSG. En tant qu administrateur réseau, vous êtes responsable du bon fonctionnement au quotidien du réseau. Cela suppose la gestion de tous les problèmes de configuration et de changements informatiques et d utilisateurs. La mise en place de l objet de stratégie de groupe est une considération importante lors de la planification de la structure Active Directory (AD) de votre organisation. Vous pouvez utiliser les objets de stratégie de groupe pour contrôler les configurations spécifiques appliquées aux utilisateurs et aux ordinateurs par le biais des réglages de stratégie. Lorsqu ils sont regroupés, les réglages de stratégie forment un seul objet de stratégie de groupe, que vous pouvez alors appliquer aux sites, aux domaines et aux OU. 10

13 Introduction à Quest Group Policy Manager Vous pouvez définir des réglages pour les utilisateurs et les ordinateurs puis laisser faire le système pour appliquer les stratégies. Les objets de stratégie de groupe fournissent les types de stratégies suivants : Les stratégies de configuration informatique, comme les réglages de sécurité et d application, lesquelles sont appliquées lorsque le système d exploitation est initialisé. Les stratégies de configuration d utilisateur comme les réglages du bureau, les réglages de sécurité, les scripts de connexion et de déconnexion, lesquelles sont appliquées lorsque les utilisateurs se connectent à l ordinateur. Les stratégies basées sur des registres, comme les modèles administratifs. 11

14 Quest Group Policy Manager Fonctionnalités de QGPM Le contrôle de version de la stratégie de groupe est crucial pour les organisations déployant des efforts destinés à préserver la continuité de leurs activités. Les objets de stratégie de groupe (OSG) peuvent avoir une influence négative sur la capacité des utilisateurs finaux à accéder au réseau et aux ressources dont ils ont besoin pour travailler de manière efficace. Group Policy Manager de Quest permet aux administrateurs de vérifier l état actuel d un OSG, de faire des sauvegardes des modifications dans un référentiel de données et de faire des rapports sur ce référentiel si nécessaire. Si un OSG est devenu corrompu ou s il n est plus en état de marche, toute itération précédente d un OSG peut être récupérée. Figure 1 : flux de travail de stratégie de groupe 12

15 Introduction à Quest Group Policy Manager Architecture client/serveur L architecture client/serveur facilite la délégation et la sécurité granulaire. Group Policy Manager est exécuté dans le contexte de sécurité d un compte de services privilégiés devant avoir un accès intégral à l objet de stratégie de groupe dans la forêt gérée. Cette architecture autorise l installation de plusieurs serveurs au sein de la même forêt permettant de gérer les domaines indépendamment. Les clients peuvent se connecter à n importe quel serveur déployé au sein de n importe quelle forêt Active Directory. Group Policy Manager conserve une liste des derniers serveurs utilisés (MRU) auxquels les utilisateurs se sont connectés pour faciliter des connexions rapides au serveur par la suite. Pour de plus amples informations concernant les autorisations requises pour le compte de services, voir le Guide de démarrage rapide de Quest Group Policy Manager. Prise en charge de plusieurs forêts La console de gestion Group Policy Manager 4.1 vous permet de vous connecter à plusieurs instances de GPM Server Service au sein de la même console. Le GPM Server Service pourrait provenir d un domaine/forêt approuvé ou non-approuvé. Vous avez désormais la possibilité de fournir des informations d identification pour tous les domaines/forêts non-approuvés lorsque vous vous connectez aux environnements non-approuvés. En énumérant toutes les instances de GPM Server Service, vous avez désormais la possibilité de gérer facilement tous les systèmes Version Control à partir d une seule console, en facilitant ainsi très fort la transition d objets de stratégie de groupe d un environnement de test vers la production. 13

16 Quest Group Policy Manager Version Control Les liens d objets de stratégie de groupe, de filtres WMI, de modèle et d étendues de gestion (domaines, sites et unités d organisation) peuvent être stockés et sauvegardés dans une logithèque sécurisée AD, ADAM ou SQL ou un partage de fichiers. Les objets qui sont stockés au sein du système Version Control sont identifiés avec un numéro de version. Vous pouvez visualiser tous les changements effectués à l objet contrôlé grâce à des commentaires ajoutés chaque fois qu un changement est apporté et grâce à de nombreux rapports. Dans les versions précédentes de Group Policy Manager, les objets de stratégie de groupe, les liens et les filtres WMI faisaient tous partie du même système Version Control, ce qui l empêchait d accepter ou de rejeter des modifications granulaires avant déploiement. Par exemple, si des modifications étaient apportées à la fois aux paramètres de stratégie et aux liens, il n y avait aucun moyen d accepter en même temps des modifications de paramètres de stratégie et de rejeter les modifications de lien proposées. Dans Group Policy Manager 4.1, les objets de stratégie de groupe, l étendue de gestion (SOM), et les filtres WMI possèdent leur propre sous-système Version Control, de sorte que vous pouvez déléguer de manière granulaire les personnes qui peuvent modifier/créer/ approuver/rejeter des modifications. Chacun de ces objets conserve maintenant son propre historique de version et d audit de sorte que toutes les modifications (versions) sont suivies/restaurées séparément. Vous pouvez également inclure des commentaires d historique définis par l utilisateur (étiquettes) sur des objets et des conteneurs dans le système Version Control. Cette fonctionnalité permet aux utilisateurs de revenir à une version identifiée par une étiquette spécifique. Pour de plus amples informations, voir «Utilisation de Group Policy Manager» à la page

17 Introduction à Quest Group Policy Manager Délégation basée sur des rôles Les utilisateurs de Group Policy Manager peuvent créer et définir des rôles consistant en un ensemble de droits pour réaliser des actions sur le système Version Control. Ces rôles peuvent déléguer un accès aux ressources au sein du système qui est propre aux utilisateurs. Group Policy Manager se compose des rôles intégrés pré-définis (Utilisateurs, Modérateurs, Responsables, Éditeurs de liens et Administrateurs de systèmes), et les utilisateurs de droits granulaires peuvent se définir par un rôle personnalisé. Les droits personnalisés incluent les éléments suivants : Action de conformité Annuler déploiements programmés Annuler enregistrement Annuler extraction Approuver/Rejeter Créer des sous-conteneurs Créer/modifier Déléguer la sécurité Déléguer la sécurité du conteneur Déployer Enregistrer Etiquette Exporter Importer modèle OSG depuis fichier INF Lire Modifier un conteneur Restaurer (Conformité) Supprimer Supprimer un conteneur En utilisant les méthodes de sécurité originale, les objets de stratégie de groupe sont sécurisés et délégués pour les utilisateurs comme pour les modérateurs afin de prendre en charge la méthodologie adaptée du système Version Control. Pour de plus amples informations, voir «Configuration de la délégation basée sur des rôles» à la page

18 Quest Group Policy Manager Processus d approbation de modification Tous les changements d objet de stratégie de groupe effectués dans le système Version Control ne sont pas déployés dans l environnement en ligne Active Directory (AD) tant qu ils n ont pas été approuvés et déployés par des utilisateurs spécifiquement désignés. Vous pouvez instaurer un processus d approbation multiple parallèle au niveau conteneur/objet afin que toutes les modifications apportées à l environnement de production actif aient été soigneusement approuvées pour tous les approbateurs spécifiés. L objectif de la fonctionnalité d approbation multiple parallèle est de permettre au processus d approbation de reposer sur l accord combiné de plusieurs approbateurs plutôt que seulement un seul, et de fournir un niveau de sécurité aux clients qui peuvent être confiants qu un approbateur mal intentionné ne viendra pas mettre à mal leur réseau. Le déploiement de modifications au sein du système est un processus délicat qui affecte l environnement actif. Afin de minimiser l impact des perturbations, ce processus doit être effectué pendant une période où l impact pour les utilisateurs est minime car les changements d objet de stratégie de groupe risquent d altérer le comportement des systèmes particuliers. Pour limiter tout problème, il est possible de programmer le déploiement des modifications pour une date et une heure spécifiques adaptées à vos besoins. Pour de plus amples informations, voir «Programmation d un déploiement» à la page

19 Introduction à Quest Group Policy Manager Système de notification Un système de notification riche permettant aux utilisateurs de contrôler toute une variété d événements de Version Control et de recevoir des informations immédiates par courrier électronique. Les utilisateurs peuvent s abonner ou se désabonner du service de notification, qui est basé sur un déclencheur granulaire défini tel que : inscrire/désinscrire, archiver/extraire, créer/supprimer/modifier des demandes d approbation, approbation/rejet de demandes création/suppression/modification, conformité (supprimé, restauré, incorporer dans l environnement actif), annulation administrative de l extraction de quelqu un, liaison/dissociation, et création/suppression/modification de conteneur. Des rapports sont inclus dans les courriers électroniques de notification lorsque davantage de détails sont exigés. Par exemple, les notifications d archivage sont accompagnées d un rapport de paramètres (pour indiquer les paramètres qui ont été archivés) et d un rapport de différences (pour montrer les différences entre cette version et la dernière version). Pour de plus amples informations, voir «Sélection d événements à notifier» à la page 31. Éditeur ACL d OSG Un groupe de sécurité, un utilisateur, ou un ordinateur doit avoir les autorisations de lecture et d application de stratégie de groupe pour qu une stratégie soit appliquée. Par défaut, tous les utilisateurs et ordinateurs ont ces autorisations pour tous les nouveaux objets de stratégie de groupe. Ils héritent de ces autorisations par leur appartenance au groupe Utilisateurs authentifiés. Dans Group Policy Manager 4.1, outre la modification du filtre de sécurité, vous pouvez également gérer les autorisations d un groupe particulier. Par exemple, si vous ne voulez pas qu un OSG soit appliqué à un groupe d utilisateurs, vous pouvez facilement configurer l autorisation sur un OSG particulier («Refuser l application de stratégie de groupe») de sorte qu elle ne s applique pas au groupe d utilisateurs. Pour de plus amples informations, voir «Travailler avec l éditeur Quest ADM» à la page

20 Quest Group Policy Manager Options de rapport Rapports en temps réel et historiques Vous pouvez générer des modèles de rapport à des fins de création rapide de rapports en temps réel, ainsi que des rapports simples instantanés pour des raisons d historique. Cette fonctionnalité permet d effectuer des régénérations rapides de données actives à partir de modèles de rapport en temps réel. Tous ces rapports s exécutent maintenant de façon asynchrone ; pour cette raison, vous ne devez plus attendre qu un rapport soit rendu avant d initier un nouveau rapport. Pour les options détaillées de reporting, voir «Création de rapports» à la page 77. Modèles En tant qu administrateur, vous voulez être sûr que les paramètres de stratégie de groupe pour vos objets de stratégie de groupe sont écrits correctement et conformément aux normes de l organisation. Comme les normes de votre organisation changent, vous serez amené à revisiter vos objets de stratégie de groupe et à faire les changements de paramètre nécessaires. En utilisant des modèles, vous pouvez simplifier la gestion de stratégie de groupe en créant des modèles d OSG une fois pour ensuite les distribuer afin qu ils soient réutilisés. Cette méthode fournit un mécanisme qui veille à ce que les paramètres de stratégie de groupe soient consistants par rapport aux objets de stratégie de groupe de votre organisation. Les modèles sont un groupement de paramètres de stratégie que vous pouvez appliquer à des OSG existants ou utiliser pour créer de nouveau OSG. Ils peuvent être réutilisés dans d autres domaines, enfants d un domaine parent ou domaines dans une autre forêt. Ils peuvent aussi être distribués dans une organisation, des administrateurs centraux aux administrateurs locaux basés dans des succursales. Les administrateurs peuvent créer des OSG similaires sur la base des modèles ou créer de nouveaux OSG identiques à la politique de l entreprise. 18

21 Introduction à Quest Group Policy Manager Les modèles peuvent inclure les paramètres suivants : Les paramètres de configuration d ordinateur, tels que la sécurité et les paramètres d application, qui sont appliqués quand le système d exploitation est initialisé. Les paramètres de configuration d utilisateur, tels que les paramètres de bureau, les paramètres de sécurité, les scripts d ouverture et de fermeture de session, qui sont appliqués quand les utilisateurs se connectent à l ordinateur. Les paramètres basés sur les registres, tels que les modèles d administration. Des modèles peuvent être uniquement appliqués à des OSG enregistrés dans le système Version Control. Les changements apportés à un OSG sur la base des paramètres de modèle doivent passer par le même processus d approbation que tous les autres changements apportés aux OSG dans le système. Pour de plus amples informations, voir «Travail avec des objets en attente d approbation et de déploiement» à la page 62. Le Quest ADM Editor est inclus avec QGPM pour vous aider à créer et à modifier les fichier ADM au moyen d une interface conviviale. Les fichiers ADM peuvent ensuite être importés dans le système Version Control, et ils peuvent être utilisés par les modèles. Pour de plus amples informations, voir «Travailler avec l éditeur Quest ADM» à la page

22 Quest Group Policy Manager Vues personnalisées Vous pouvez organiser des objets contrôlés en un hiérarchie de conteneur définie par l utilisateur. Chaque conteneur possède son propre descripteur de sécurité dans lequel les administrateurs peuvent se voir attribuer (déléguer) des rôles pour définir l accès au conteneur, au sous-conteneur ou simplement un objet de stratégie de groupe spécifique au sein de ces conteneurs. La hiérarchie de la racine Version Control doit être utilisée pour la gestion de l administrateur en tant que moyen d organiser de nombreux objets en vues logiques en fonction de leur structure d entreprise. Les dossiers de recherche vous permettent de voir rapidement les objets contrôlés en fonction de leur état dans le système Version Control. Les dossiers de recherche doivent être utilisés pour la gestion de l utilisateur en tant que moyen aisé de visualiser l état d objets au sein du système Version Control. Pour de plus amples informations, voir «Création d une hiérarchie de conteneur personnalisée» à la page 43. Test d OSG hors connexion En utilisant l Assistant d exportation, vous pouvez tester les objets de stratégie de groupe hors connexion avant de les mettre en place. Pour de plus amples informations, voir «Travail avec des objets disponibles» à la page

23 2 Configuration de Quest Group Policy Manager Configuration du serveur Version Control Configuration de permissions pour ADAM Spécifications des port Modifications des propriétés du serveur Version Control Configuration de la délégation basée sur des rôles Sélection d événements à notifier

24 Quest Group Policy Manager Configuration du serveur Version Control Le serveur Version Control doit être configuré avant que les utilisateurs puissent s y connecter. Pour configurer le serveur Version Control 1. Cliquez avec le bouton droit sur le nœud Quest Group Policy Manager et sélectionnez Se connecter à. 2. Sélectionnez le Serveur Version Control auquel vous souhaitez vous connecter et cliquez sur OK. 3. Sélectionnez Active Directory ou ADAM pour l emplacement de stockage et cliquez sur Suivant. 4. Si vous sélectionnez Active Directory, sélectionnez un contrôleur de domaine (DC) qui sera le serveur de Version Control et cliquez sur Suivant. N importe quel contrôleur de domaine dans n importe quel domaine de la forêt sélectionnée peut être désigné comme maître Version Control. Le maître Version Control peut être considéré comme un autre rôle de FSMO dans le sens de Microsoft (tel que le maître de schéma, l émulateur PDC et le maître RID). Group Policy Manager est une application basée sur annuaire et toutes ses informations d application sont stockées dans le conteneur de configuration de Active Directory. Pour cette raison, toutes les informations sont automatiquement reproduites dans tous les autres contrôleurs de domaines. Cependant, le maître version control est la source faisant autorité pour toutes les actions nécessaires de version control. S il est hors connexion pour une raison ou pour une autre, les utilisateurs ne pourront pas effectuer d actions telles que valider un changement d objet de stratégie de groupe souhaité jusqu à ce que le problème ait été rectifié. 5. Précisez les éléments de vérification du serveur, la méthode d authentification et les informations de port et cliquez sur Suivant. Le nom d utilisateur/port/serveur (mais pas le mot de passe) seront mis en cache, et la prochaine fois que vous ouvrirez la console vous n aurez pas besoin de saisir ces informations Sélectionnez l endroit où vous souhaitez stocker les informations de sauvegardes de l historique. Les sauvegardes pouvant devenir très grandes. Stocker ces dernières dans Active Directory peut ne pas être la meilleure configuration dans certains environnements d entreprise.

25 Configuration de Quest Group Policy Manager Vous avez la possibilité de choisir Active Directory, Active Directory Application Mode (ADAM), Serveur SQL/MSDE 2000, ou un partage de réseau. OPTION Active Directory ADAM SQL Server/MSDE Partage de réseau SI VOUS SÉLECTIONNEZ CETTE OPTION Cliquez sur Suivant. Saisissez le nom du serveur et du port et cliquez sur Suivant. Pour de plus amples informations sur un déploiement ADAM, consultez «Configuration de permissions pour ADAM» à la page 24. Saisissez le nom de serveur et les informations d authentification requises puis cliquez sur Suivant. Remarque : si le serveur est installé comme une unique instance, il doit être spécifié comme nom de serveur/nom d instance plutôt que juste comme nom de serveur sql. Naviguez et sélectionnez le partage de réseau requis ou le répertoire et cliquez sur Suivant. Un mécanisme de notification de message SMTP automatisé informe les utilisateurs désignés par courrier électronique qu une demande en cours ou qu une série de demandes en cours est prête à être exécutée. 7. En cas de besoin, cliquez sur Activer une notification SMTP, saisissez le serveur et la port, et cliquez sur Suivant. Saisissez les caractéristiques de courrier électronique et cliquez sur Suivant. OU Cliquez sur Suivant. 23

26 Quest Group Policy Manager 8. Sélectionnez les utilisateurs qui auront le droit de se connecter et administrer le serveur de gestion de versions puis cliquez sur Suivant. 9. Cliquez sur Terminer. Maintenant que le système est configuré, les utilisateurs peuvent se connecter aux fonctionnalités Version Control et à les utiliser. Les utilisateurs disposant des droits appropriés peuvent modifier les réglages de serveur à tout moment en cliquant avec le bouton droit sur le nœud Quest Group Policy Manager et en sélectionnant Propriétés de serveur. Configuration de permissions pour ADAM Afin d utiliser Group Policy Manager avec un déploiement ADAM, les utilisateurs doivent avoir un rôle d Administrateur. Pour définir des autorisations avec ADAM 1. Ouvrez ADAM ADSI-Edit (ADSI-Edit est installé dans les outils ADAM). 2. Connectez-vous au contexte du nom de configuration, puis naviguez jusqu au conteneur des rôles. 3. Pour accorder des droits d utilisateur, cliquez avec le bouton droit sur le rôle Administrateurs et sélectionnez Propriétés. 4. Naviguez jusqu à l attribut du membre et cliquez sur Modifier. 5. Ajoutez le compte de service au rôle sélectionné. Si nécessaire, vous pouvez utiliser l outil de support ADAM dsacls pour définir de manière précise les droits donnés par ces rôles ou pour accorder des droits spécifiques aux utilisateurs. 24

27 Spécifications des port Configuration de Quest Group Policy Manager Effectuez une analyse minutieuse des risques avant d ouvrir ces services à un réseau inconnu. Les ports suivants doivent être ouverts pour que l application fonctionne correctement : La résolution du nom peut être obtenue en utilisant DNS sur le port 53 ou WINS (secondaire) sur le port 137. Entre le client et le serveur QGPM : Port (par défaut) Pour exécuter le serveur Version Control sur un port personnalisé dans la version 4.1, vous devez définir la valeur de registre suivante : Clé : HKLM/Software/Quest Software/Quest Group Policy Manager/Remoting Nom de valeur : Port Type de valeur : DWord Valeurs valides : Si cette valeur n est pas définie, la valeur par défaut (port 40200) sera utilisée. Depuis le serveur Quest Group Policy Manager : Stockage de configuration Service LDAP - TCP/UDP ou- port ADAM (valeurs par défaut de 389 ou 50000) 25

28 Quest Group Policy Manager Archives objet de stratégie de groupe Si vous utilisez un partage de réseau pour le stockage de sauvegarde d objet de stratégie de groupe, vous aurez peut-être besoin de ports ouverts sur 135, 136, 138, 139 et/ou 445. Si vous utilisez le serveur SQL pour le stockage de sauvegarde d objet de stratégie de groupe, les ports appropriés devront être ouverts. Le port par défaut du serveur SQL est 1433 ou 1533 si l option «dissimuler serveur» est activée. Si vous utilisez des canaux nommés avec SQL, il se peut que des ports arbitraires soient nécessaires. La configuration avec des canaux nommés SQL n est pas recommandée avec les pare-feux. Si vous utilisez ADAM pour le stockage de sauvegarde d objet de stratégie de groupe ou pour les données de configuration, ADAM prendra 389 pour port par défaut s il ne coexiste pas avec AD. Si AD est déjà installé, ADAM prendra le par défaut. Modifications des propriétés du serveur Version Control Les utilisateurs qui ont obtenu l accès peuvent modifier les propriétés du serveur Version Control, lorsque cela est nécessaire, y compris le serveur du répertoire, où sont stockées les sauvegardes objet de stratégie de groupe, les rôles utilisés pour définir la sécurité au sein du système, les réglages SMTP et l accès pour modifier ces réglages, l écriture dans le journal et les options de licence. Pour éditer la configuration du serveur Version Control 1. Cliquez avec le bouton droit sur le domaine, sélectionnez Propriétés, puis sélectionnez les options de serveur requises. 2. Sélectionnez l onglet Accès pour ajouter et supprimer des utilisateurs qui peuvent se connecter et modifier les options de serveur. Vous pouvez également ajouter ou supprimer des utilisateurs qui peuvent simplement se connecter au serveur Version Control. 3. Sélectionnez l onglet Stockage pour modifier les options de stockage requises (Active Directory, ADAM, SQL, ou dossier partagé). 26

29 Configuration de Quest Group Policy Manager 4. Sélectionnez l onglet Rôles pour créer et modifier les rôles qui seront utilisés pour déléguer des droits concernant le système Version Control. Les rôles intégrés sont affichés. Vous pouvez facilement consulter les permissions contenues dans chacun en sélectionnant le rôle et en cliquant sur la touche Modifier rôle.vous ne pouvez pas altérer les rôles prédéfinis. Pour des informations détaillées sur la création et la délégation de rôles, voir «Configuration de la délégation basée sur des rôles» à la page Sélectionnez l onglet SMTP pour modifier les options de notification SMTP globales. Les utilisateurs peuvent modifier l adresse électronique pour les messages de notification par le biais de leurs réglages personnels. Pour de plus amples informations, voir «Configuration des Préférences utilisateur» à la page Cliquez sur l onglet Journalisation et sélectionnez l emplacement du journal et le type d informations que vous souhaitez suivre. Vous pouvez choisir d écrire le journal dans le journal des événements, dans un répertoire spécifique où seront créés les fichiers journaux ou pas du tout. Vous pouvez également sélectionner quels types d événements (le cas échéant) écrire dans le journal. Les types d événements sont les suivants : Actions de service (comme le démarrage et l arrêt du service), Actions de l utilisateur (comme l archivage, l approbation, la modification), Erreurs, et Informations de débogage (utilisés par le personnel de support technique Quest). 7. Cliquez sur l onglet Licence pour visualiser les informations de la licence actuelle. OU Sélectionnez l option Mise à jour de licence, naviguez jusqu à l emplacement de la nouvelle licence et cliquez sur OK. 8. Lorsque vous avez effectué toutes les sélections requises cliquez sur OK. 27

30 Quest Group Policy Manager Configuration de la délégation basée sur des rôles Les utilisateurs de Group Policy Manager ayant la permission de changer les propriétés du serveur peuvent créer des rôles que les utilisateurs spécifiques (ceux qui ont le rôle de sécurité déléguée) peuvent appliquer pour contrôler certaines fonctions du système Version Control. Pour de plus amples informations sur les utilisateurs ayant la permission de créer des rôles, consultez «Configuration du serveur Version Control» à la page 22. Group Policy Manager comporte les rôles prédéfinis suivants : RÔLE Administrateur du système DROITS INCLUS DANS LE RÔLE Les Administrateurs du système peuvent effectuer toutes les actions du système Version Control : Approuver/Rejeter Annuler déploiements programmés Action de conformité Créer/modifier Créer des sous-conteneurs Déléguer la sécurité du conteneur Déléguer la sécurité Supprimer Supprimer des conteneurs Déployer Modifier un conteneur Exporter Importer modèle OSG depuis INF Etiquette Lire Enregistrer Restaurer (Conformité) Annuler extraction Annuler enregistrement 28

31 Configuration de Quest Group Policy Manager RÔLE Modérateur Utilisateur Responsable DROITS INCLUS DANS LE RÔLE Modérateur (Les modérateurs peuvent effectuer toutes les actions d un utilisateur, plus annuler des extractions d autres utilisateurs et exécuter l assistant de conformité). Ils peuvent également : Créer/modifier Supprimer Annuler l extraction des autres utilisateurs Exporter Lire Utilisateur (Les utilisateurs peuvent réaliser toutes les actions élémentaires du système Version Control, comme l archivage, l extraction, la modification, l application de modèles, etc.) Ils peuvent également : Créer/modifier Supprimer Exporter Lire Les responsables peuvent approuver ou rejeter des actions en cours sur les objets de stratégie de groupe. S ils disposent également de la permission de déployer un objet de stratégie de groupe, ils peuvent déployer les mises à jour dans l entreprise. Les rôles prédéfinis ne peuvent pas être altérés. 29

32 Quest Group Policy Manager Création de rôles Vous pouvez facilement créer de nouveaux rôles avec n importe lequel des droits personnalisés. Créer un nouveau rôle 1. Cliquez avec le bouton droit sur le domaine et sélectionnez Propriétés. 2. Sélectionnez l onglet Rôles. 3. Cliquez sur Ajouter un nouveau rôle. 4. Saisissez un nom et une description pour le rôle et cliquez sur Suivant. 5. Sélectionnez les droits que vous souhaitez inclure dans le rôle et cliquez sur Terminer. Édition de rôles Éditer des rôles 1. Cliquez avec le bouton droit sur le domaine et sélectionnez Propriétés. 2. Sélectionnez l onglet Rôles. 3. Sélectionnez le rôle que vous souhaitez modifier et cliquez sur Modifier rôle. 4. Effectuez les changements nécessaires et cliquez sur OK. 5. Cliquez de nouveau sur OK pour appliquer les modifications. Déléguer des rôles Une fois les rôles requis en place, les utilisateurs bénéficiant d un rôle avec une délégation de sécurité peuvent commencer à déléguer la sécurité sur les conteneurs et les objets de stratégie de groupe aux utilisateurs et groupes spécifiques. Déléguer des droits sur le système Version Control par l intermédiaire des rôles 1. Cliquez avec le bouton droit sur le nœud racine Version Control, le conteneur ou objet requis, et sélectionnez Propriétés. 2. Sélectionnez l onglet Sécurité. 3. Cliquez sur Ajouter pour sélectionner les utilisateurs et les groupes auxquels vous souhaitez appliquer le rôle. 4. Sélectionnez le rôle que vous souhaitez appliquer et cliquez sur OK. Les utilisateurs spécifiés auront désormais les droits spécifiés inclus dans le rôle assigné sur le conteneur ou objet sélectionné. 30

33 Configuration de Quest Group Policy Manager Sélection d événements à notifier En utilisant l option de notification, vous pouvez configurer un système où vous recevrez un courrier électronique chaque fois qu une action spécifiée est réalisée dans le système Version Control. Configuration de la notification 1. Cliquez avec le bouton droit sur l objet pour lequel vous souhaitez une notification et sélectionnez Propriétés. 2. Sélectionnez l onglet Notifications. 3. Sélectionnez les événements pour lesquels vous souhaitez être notifié et cliquez sur OK. Un message de notification sera désormais envoyé lorsque les événements spécifiés ont lieu sur l objet sélectionné (et au-delà, dans le cas d un conteneur). Pour voir comment configurer l adresse électronique pour les messages de notification, voir «Configuration des Préférences utilisateur» à la page

34 Quest Group Policy Manager 32

35 3 Utilisation de Group Policy Manager Connexion au système Version Control Navigation dans la console QGPM Configuration des Préférences utilisateur Travail avec l environnement actif Enregistrer des objets Travail avec des objets contrôlés (racine Version Control) Création d une hiérarchie de conteneur personnalisée Proposer la création d objets contrôlés Travail avec des objets enregistrés Travail avec des objets disponibles Travail avec des objets extraits Travail avec des objets en attente d approbation et de déploiement Contrôle de conformité Archiver des objets contrôlés Importation et exportation

36 Quest Group Policy Manager Connexion au système Version Control Une fois que l application a été entièrement configurée (voir «Configuration du serveur Version Control» à la page 22) par l administrateur, les utilisateurs se connectent au système Version Control. Pour se connecter au système Version Control 1. Cliquez avec le bouton droit sur le nœud Quest Group Policy Manager et sélectionnez Se connecter à. 2. Sélectionnez le serveur Version Control auquel vous souhaitez vous connecter et cliquez sur OK. OU Cliquez sur Nouveau pour créer une nouvelle connexion. Navigation dans la console QGPM La console QGPM est constituée d une fenêtre divisée en trois volets : Le volet de gauche affiche l arborescence de la console. L arborescence de la console est une structure hiérarchique qui montre les éléments (nœuds) qui sont disponibles dans une console. Dans cette vue, vous pouvez voir les objets d entreprise actifs et les systèmes Version Control à votre disposition. Le volet central contient le volet de détails. Le volet de détails donne les informations et fonctions qui appartiennent à l élément sélectionné de l arborescence de la console. Le volet de droite est le volet Actions. Le volet Actions contient toutes les actions disponibles à partir des nœuds et objets sélectionnés dans l arborescence de la console et le volet de détails. 34

37 Utilisation de Group Policy Manager Les dossiers de recherche vous permettent de voir rapidement les objets contrôlés en fonction de leur état dans le système Version Control. Vous ne verrez que les objets pour lesquels vous avez les droits de lecture. Le dossier Extrait vers moi affiche tous les objets que vous avez actuellement extraits, pour être sûr que lorsque vous effectuez un archivage en masse, vous n omettez pas des mises à jour requises. Les dossiers de recherche doivent être utilisés pour la gestion de l utilisateur en tant que moyen aisé de visualiser l état d objets au sein du système Version Control. La hiérarchie de la racine Version Control doit être utilisée pour la gestion de l administrateur en tant que moyen d organiser de nombreux objets en vues logiques en fonction de leur structure d entreprise. Le conteneur Perdu et Trouvé contient les objets contenus au sein d un sous-conteneur supprimé du nœud Racine de contrôle de version. Ici, vous pouvez visualiser les propriétés de l objet, déplacer l objet à la racine de contrôle de version ou un sous-conteneur, et annuler l enregistrement de l objet. Figure 1 : console QGPM 35