Ensemble des fonctionnalités de stratégie de groupe de Windows Server 2003

Transcription

1 1 sur 27 21/10/ :01 Ensemble des fonctionnalités de stratégie de groupe de Windows Server 2003 Paru le Ce guide pas à pas présente la stratégie de groupe et explique comment utiliser le composant logiciel enfichable Stratégie de groupe pour spécifier des paramètres de stratégie pour des groupes d'utilisateurs et d'ordinateurs. Sur cette page Introduction Présentation Stratégie de groupe et console MMC Annexe Autres ressources Introduction Guides pas à pas Les guides pas à pas pour le déploiement de Microsoft Windows Server 2003 fournissent une expérience pratique pour de nombreuses configurations de système d'exploitation courantes. Les guides commencent par établir une infrastructure réseau commune via l'installation de Windows Server 2003, la configuration d'active Directory, l'installation d'une station de travail Windows XP Professionnel et l'ajout de cette station de travail à un domaine. Les guides pas à pas ultérieurs partent du principe que vous avez déjà mis en place cette infrastructure réseau commune. Si vous ne souhaitez pas suivre cette infrastructure réseau commune, vous devez apporter les modifications appropriées lors de l'utilisation de ces guides. La mise en place de l'infrastructure réseau commune nécessite que vous ayez lu et appliqué les guides suivants : 1ère partie : Installation de Windows Server 2003 en tant que contrôleur de domaine 1 2ème partie : Installation d'une station de travail Windows XP Professionnel et connexion à un domaine 2 Une fois que vous avez configuré l'infrastructure réseau commune, vous pouvez vous reporter à n'importe quel guide pas à pas supplémentaire. Notez que, dans certains guides pas à pas, d'autres conditions préalables peuvent venir s'ajouter à celles déjà mentionnées pour la mise en place de l'infrastructure réseau commune. Toute condition préalable supplémentaire sera indiquée dans le guide pas à pas correspondant. Microsoft Virtual PC Les guides pas à pas pour le déploiement de Windows Server 2003 peuvent être implémentés dans un environnement de laboratoire ou à l'aide de technologies de virtualisation telles que Microsoft Virtual PC 2004 ou Microsoft Virtual Server La technologie de la machine virtuelle permet aux clients d'exécuter simultanément plusieurs systèmes d'exploitation sur un seul serveur physique. Virtual PC 2004 et Virtual Server 2005 sont conçus pour offrir un meilleur rendement d'exécution en termes de test et développement de logiciels, migration d'applications héritées et scénarios de consolidation de serveur. Bien que les guides pas à pas de déploiement de Windows Server 2003 supposent que toutes les configurations ont lieu dans un environnement de laboratoire, la plupart des configurations peuvent s'appliquer dans un environnement virtuel sans modification. L'application des concepts présentés dans ces guides pas à pas dans un environnement virtuel dépasse

2 2 sur 27 21/10/ :01 le cadre de ce document. Remarques importantes Les exemples de sociétés, organisations, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et événements décrits ici relèvent de la fiction, et aucun lien avec une société, organisation, produit, nom de domaine, adresse de messagerie, logo, personne, lieu ou événement réel n'en peut être déduit. Cette infrastructure commune répond à des objectifs d'utilisation sur un réseau privé. Le nom de société fictif et le nom DNS (Domain Name Service) utilisés dans l'infrastructure commune ne sont pas enregistrés et ne peuvent donc pas être utilisés sur Internet. Vous ne devez pas utiliser ce nom sur un réseau public ou sur Internet. La structure du service Active Directory pour cette infrastructure commune est conçue pour illustrer la gestion des modifications et de la configuration de Windows Server 2003 et son interaction avec Active Directory. Elle n'a pas été conçue comme modèle de configuration d'active Directory pour une organisation. Haut de page Présentation Les paramètres de stratégie de groupe définissent les différents composants de l'environnement de bureau de l'utilisateur qu'un administrateur système doit gérer, comme les programmes disponibles aux utilisateurs, les programmes apparaissant sur le bureau de l'utilisateur et les options du menu Démarrer. Les paramètres de stratégie de groupe que vous définissez se trouvent dans un objet Stratégie de groupe (GPO, Group Policy Object), lui-même associé aux objets Active Directory sélectionnés (sites, domaines ou unités d'organisation). La stratégie de groupe s'applique non seulement aux utilisateurs et aux ordinateurs clients mais également aux serveurs membres, aux contrôleurs de domaine et à tout autre ordinateur Microsoft Server 2003 dans les limites de l'étendue de gestion. Par défaut, la stratégie de groupe appliquée à un domaine (c'est-à-dire, appliquée au niveau du domaine situé juste au-dessus de la racine du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory) affecte tous les ordinateurs et utilisateurs du domaine. Utilisateurs et ordinateurs Active Directory fournit également une unité d'organisation Contrôleurs de domaine intégrée. Si vous conservez vos comptes de contrôleur de domaine à cet emplacement, vous pouvez utiliser l'objet GPO Stratégie de contrôleur de domaine par défaut pour gérer certains contrôleurs de domaine séparément d'autres ordinateurs. Les objets Stratégie de groupe sont liés aux conteneurs Active Directory de sites, domaines et unités d'organisation. L'ordre de priorité par défaut reflète la hiérarchie d'active Directory : les sites, en premier lieu, puis les domaines et enfin chaque unité d'organisation. Un objet Stratégie de groupe peut être associé à plusieurs conteneurs Active Directory (plusieurs conteneurs peuvent être liés à un même objet Stratégie de groupe). Un objet Stratégie de groupe peut être utilisé pour filtrer des objets selon leur appartenance au groupe de sécurité, ce qui permet aux administrateurs de gérer des ordinateurs et des utilisateurs de manière centralisée ou non. Pour ce faire, les administrateurs peuvent utiliser un filtrage selon les groupes de sécurité afin de définir l'étendue de gestion de la stratégie de groupe, de sorte que cette dernière puisse être appliquée de façon centralisée au niveau du domaine. Elle peut également être appliquée de façon non centralisée au niveau des unités d'organisation, puis être à nouveau filtrée en fonction des groupes de sécurité. Les administrateurs peuvent utiliser des groupes de sécurité dans la stratégie de groupe pour : Filtrer l'étendue d'un objet Stratégie de groupe, afin de définir les groupes d'utilisateurs et d'ordinateurs affectés par l'objet. Déléguer le contrôle d'un objet Stratégie de groupe. La gestion et la délégation de la stratégie de groupe comportent deux aspects : la gestion des liens de stratégie de groupe et la gestion des personnes autorisées à créer et modifier des objets Stratégie de groupe. Plusieurs outils d'administration sont disponibles pour gérer les paramètres de stratégie de groupe,

3 3 sur 27 21/10/ :01 notamment : Composant logiciel enfichable Éditeur d'objets de stratégie de groupe de la console MMC (Microsoft Management Console) Composant logiciel enfichable MMC par défaut disponible dans Windows Server 2003, utilisé dans ce guide pas à pas. Console de gestion des stratégies de groupe avec le Service Pack 1 La Console de gestion des stratégies de groupe (GPMC, Group Policy Management Console) étend l'éditeur d'objets de stratégie de groupe par défaut en simplifiant la gestion de la stratégie de groupe, facilitant sa compréhension, son déploiement et sa gestion, ainsi que le dépannage de ses implémentations. Elle permet également d'automatiser les opérations de stratégie de groupe via l'utilisation de scripts. Pour plus d'informations, consultez le Guide pas à pas pour l'utilisation de la Console de gestion des stratégies de groupe 3. Extensions tierces hébergeant d'autres paramètres de stratégie La stratégie de groupe inclut des paramètres de stratégie pour la Configuration de l'utilisateur (qui affecte les utilisateurs) et la Configuration de l'ordinateur (qui affecte les ordinateurs). Avec la stratégie de groupe, vous pouvez procéder aux opérations suivantes : Gérer la stratégie fondée sur le Registre à l'aide des modèles d'administration. La stratégie de groupe crée un fichier contenant les paramètres du Registre enregistrés dans la partie Utilisateur ou Ordinateur local de la base de données du Registre. Attribuer des scripts, tels que le démarrage et l'arrêt de l'ordinateur ou l'ouverture et la fermeture de sessions. Rediriger des dossiers. Vous pouvez rediriger des dossiers, tels que les dossiers Mes documents et Mes images, à partir du dossier Documents and Settings de l'ordinateur local vers des emplacements du réseau. Gérer des applications. Vous pouvez attribuer, publier, mettre à jour ou réparer des applications à l'aide de Installation de logiciels Stratégie de groupe. Spécifier des options de sécurité. Ce document présente la stratégie de groupe et explique comment utiliser le composant logiciel enfichable Stratégie de groupe pour spécifier des paramètres de stratégie pour des groupes d'utilisateurs et d'ordinateurs. Conditions préalables Conditions 1ère partie : Installation de Windows Server 2003 en tant que contrôleur de domaine 1 Guide pas à pas pour la gestion du service Active Directory 4 Remarque : Ce document ne décrit pas tous les scénarios de stratégie de groupe possibles. Ces instructions doivent vous permettre d'appréhender le fonctionnement de la stratégie de groupe et de vous faire une idée de la façon dont votre organisation peut les utiliser afin de réduire ses coûts d'administration informatique. D'autres fonctionnalités Windows Server 2003, dont Paramètres de sécurité et Installation et maintenance du logiciel, sont intégrées à la stratégie de groupe. Pour obtenir la liste complète des documents disponibles, consultez le site Web Group Policy in Windows Server Haut de page

4 4 sur 27 21/10/ :01 Stratégie de groupe et console MMC La stratégie de groupe est directement intégrée aux outils de gestion Active Directory via le mécanisme d'extension du composant logiciel enfichable MMC. Les composants logiciels enfichables d'active Directory définissent l'étendue de gestion pour la stratégie de groupe. Généralement, l'accès à la stratégie de groupe s'effectue via le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory pour définir l'étendue de gestion sur un domaine et des unités d'organisation. Vous pouvez également utiliser le composant logiciel enfichable Sites et services Active Directory pour définir l'étendue de gestion sur un site. Ces deux outils sont accessibles depuis le groupe de programmes Outils d'administration. L'extension du composant logiciel enfichable Stratégie de groupe est activée dans ces deux outils. Vous pouvez également créer une console MMC personnalisée, comme décrit dans la section suivante. Configuration d'une console personnalisée Dans ce document, les exemples utilisent la console MMC personnalisée que vous pouvez créer en suivant les procédures indiquées dans cette section. Vous devez créer cette console personnalisée avant d'exécuter les autres procédures de ce document. Pour configurer une console personnalisée Ouvrez une session sur HQ-CON-DC-01 en tant que Cliquez sur le bouton Démarrer, puis sur Exécuter. Tapez mmc, puis cliquez sur OK Dans la fenêtre Console1, cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Ajouter. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, dans la zone de liste Composants logiciels enfichables disponibles, cliquez sur Utilisateurs et ordinateurs Active Directory, puis sur Ajouter. Dans la zone de liste Composants logiciels enfichables disponibles, double-cliquez sur Composant logiciel enfichable Sites et services Active Directory. Faites défiler la liste vers le bas, puis double-cliquez sur Éditeur d'objets de stratégie de groupe. Dans la boîte de dialogue Sélection d'un objet de stratégie de groupe, vérifiez que Ordinateur local est sélectionné sous Objet de stratégie de groupe. Cliquez sur Terminer, puis sur Fermer. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur l'onglet Extensions. Vérifiez que la case à cocher Ajouter toutes les extensions est activée pour chaque extension primaire ajoutée à la console MMC (elles sont activées par défaut). Cliquez sur OK. Pour enregistrer les modifications apportées à la console Dans la console MMC, cliquez sur Fichier, puis sur Enregistrer. Dans la boîte de dialogue Enregistrer sous, dans la zone de texte Nom du fichier, tapez EtapesSG, puis cliquez sur Enregistrer. La console doit s'afficher comme indiqué dans la figure

5 5 sur 27 21/10/ :01 Figure Console MMC de stratégie de groupe Accès à la stratégie de groupe Vous pouvez utiliser les outils Active Directory appropriés pour accéder à la stratégie de groupe activée pour un site, un domaine ou une unité d'organisation. Pour ouvrir la stratégie de groupe à partir de Sites et services Active Directory Dans l'arborescence de la console MMC EtapesSG, cliquez sur le signe plus (+) en regard de Sites et services Active Directory. Dans l'arborescence de la console, cliquez sur le signe plus (+) en regard de Sites, puis cliquez avec le bouton droit sur Premier-Site-par-défaut. Cliquez sur Propriétés, puis sur l'onglet Stratégie de groupe. Cliquez sur Annuler. Pour ouvrir la stratégie de groupe à partir d'utilisateurs et ordinateurs Active Directory Dans l'arborescence de la console MMC EtapesSG, cliquez sur le signe plus (+) en regard d'utilisateurs et ordinateurs Active Directory. Dans l'arborescence de la console, cliquez avec le bouton droit sur contoso.com pour accéder à la stratégie de groupe. Cliquez sur Propriétés, puis sur l'onglet Stratégie de groupe. Cliquez sur Annuler. Pour accéder à une stratégie de groupe étendue à un ordinateur spécifique (ou à l'ordinateur local), vous devez charger le composant logiciel enfichable Stratégie de groupe dans l'espace de noms de la console MMC ayant pour cible l'ordinateur spécifique (ou l'ordinateur local). Deux raisons principales expliquent ces différences : Plusieurs objets GPO peuvent être liés à un même site, un même domaine ou une même unité d'organisation. Ces objets GPO doivent être gérés via une page de propriétés intermédiaire. Un objet GPO pour un ordinateur spécifique est stocké sur cet ordinateur et non pas dans Active Directory. Création d'un objet GPO Les paramètres de stratégie de groupe sont contenus dans des objets GPO individuellement liés à des objets Active Directory sélectionnés, tels que des sites, des domaines ou des unités d'organisation.

6 6 sur 27 21/10/ :01 Pour créer un objet GPO et le lier à l'unité d'organisation Siège Dans la console MMC EtapesSG, développez contoso.com sous Utilisateurs et ordinateurs Active Directory. Cliquez sur le signe plus (+) en regard de Comptes pour développer l'arborescence. Cliquez avec le bouton droit sur Siège, puis cliquez sur Propriétés. Dans la page Propriétés de Siège, cliquez sur l'onglet Stratégie de groupe. 5. Cliquez sur Nouvelle, tapez Stratégie Siège, puis appuyez sur Entrée. La page Propriétés de Siège s'affiche comme indiqué dans la figure Figure Nouvel objet GPO lié à l'unité d'organisation Siège Les étapes précédentes ont montré comment créer et lier automatiquement un objet GPO à un conteneur Active Directory l'unité d'organisation Siège. Cependant, l'objet GPO n'affectera pas directement les utilisateurs ou les ordinateurs tant que ses différents paramètres n'auront pas été définis. La section suivante montre comment modifier les paramètres de l'objet GPO de la stratégie Siège. Plusieurs objets GPO peuvent être créés et/ou liés sous tout conteneur Active Directory. Si plusieurs objets GPO sont associés à un conteneur Active Directory, vous devez vérifier que ces objets sont correctement ordonnés. Les objets GPO en tête de la liste, ayant la priorité la plus élevée, sont traités en dernier. (C'est ce qui leur confère une priorité plus élevée.) Comme tous les objets, les objets GPO disposent de menus contextuels permettant d'afficher leurs propriétés individuelles. Vous pouvez utiliser ces menus contextuels pour accéder aux informations générales les concernant et les modifier. Ces informations comprennent les listes de contrôle d'accès discrétionnaire (DACL, Discretionary Access Control List) et répertorient les autres sites, domaines ou unités d'organisations auxquels est lié l'objet GPO. Méthode conseillée : Vous pouvez affiner un objet GPO en définissant les DACL selon l'appartenance des utilisateurs ou des ordinateurs à des groupes de sécurité. Pour plus d'informations sur l'utilisation des DACL, consultez la section Filtrage des groupes de sécurité. Gestion de la stratégie de groupe Pour gérer la stratégie de groupe

7 7 sur 27 21/10/ :01 Accédez au menu contextuel d'un site, d'un domaine ou d'une unité d'organisation. Sélectionnez Propriétés, puis cliquez sur l'onglet Stratégie de groupe. La page Propriétés de Stratégie de groupe s'affiche. Remarques concernant la page Propriétés de Stratégie de groupe : Cette page affiche tous les objets GPO associés au site, au domaine ou à l'unité d'organisation sélectionné. Les liens sont des objets disposant de menus contextuels auxquels vous pouvez accéder en cliquant avec le bouton droit sur l'objet. (Si vous cliquez avec le bouton droit sur une zone vide, le menu contextuel qui s'affiche permet de créer un lien, d'ajouter un lien ou d'actualiser la liste.) Cette page affiche également une liste d'objets GPO, triés par ordre décroissant de priorité. Vous pouvez modifier l'ordre des objets GPO de la liste en sélectionnant un objet, puis en utilisant les flèches Haut et Bas du clavier. Pour associer (lier) un objet GPO, cliquez sur le bouton Ajouter. Pour modifier un objet GPO dans la liste, sélectionnez-le, puis cliquez sur le bouton Modifier ou double-cliquez sur l'objet de stratégie de groupe. L'Éditeur d'objets de stratégie de groupe démarre, vous permettant de modifier l'objet de stratégie de groupe. Pour plus d'informations sur la modification des objets GPO, consultez la section Modification d'un objet GPO. Pour supprimer de façon permanente un objet GPO de la liste, sélectionnez-le dans la liste, puis cliquez sur le bouton Supprimer. À l'invite, sélectionnez Supprimer la liaison et effacer l'objet de stratégie de groupe de façon permanente. Agissez avec prudence lorsque vous supprimez un objet GPO, puisqu'il peut être lié à un autre site, un autre domaine ou une autre unité d'organisation. Si vous souhaitez uniquement supprimer l'association de l'objet GPO au conteneur actif, sélectionnez l'objet GPO dans la liste des liens, cliquez sur Supprimer, puis, à l'invite, sélectionnez Supprimer la liaison de la liste. Pour déterminer quels autres sites, domaines ou unités d'organisation sont associés à un objet GPO spécifique, cliquez avec le bouton droit sur l'objet, sélectionnez Propriétés dans le menu contextuel, puis cliquez sur l'onglet Liaisons dans la page Propriétés de Objet de stratégie de groupe. Cliquez sur Rechercher maintenant pour obtenir la liste des liens de cet objet GPO. En cliquant avec le bouton droit sur l'objet GPO, vous pouvez définir l'option Ne pas passer outre Cette option empêche que les stratégies de l'objet GPO sélectionné soient écrasées par un autre objet GPO. Remarque : Vous pouvez activer l'option Ne pas passer outre pour plusieurs objets GPO. Tous les objets GPO pour lesquels l'option Ne pas passer outre a été activée seront prioritaires sur les autres objets GPO. Parmi les objets GPO pour lesquels l'option Ne pas passer outre a été activée, les objets GPO ayant la priorité la plus élevée seront appliqués en dernier. En cliquant avec le bouton droit sur l'objet GPO, vous pouvez le définir comme Désactivé, afin de le désactiver sans le supprimer de la liste. Remarque : Vous pouvez également désactiver uniquement la partie Utilisateur ou Ordinateur de l'objet GPO. Pour cela, cliquez avec le bouton droit sur l'objet GPO, cliquez sur Propriétés, puis, sous l'onglet Général, cliquez sur Désactiver les paramètres de configuration de l'ordinateur ou Désactiver les paramètres de configuration de l'utilisateur. Dans la page des propriétés de la stratégie de groupe du conteneur Active Directory, vous pouvez définir Bloquer l'héritage de stratégies afin de passer outre tous les objets GPO de niveau hiérarchique supérieur. Cependant, les objets GPO forcés par activation de l'option Ne pas passer outre ne seront pas bloqués et continueront à être appliqués.

8 8 sur 27 21/10/ :01 Remarque : Les paramètres de stratégie contenus dans l'objet GPO local et n'étant pas spécifiquement remplacés par des paramètres de stratégie basée sur le domaine continuent également à être appliqués. Bloquer l'héritage de stratégies ne supprime en aucun cas la stratégie locale. Modification d'un objet GPO Vous pouvez utiliser la console personnalisée EtapesSG créée précédemment pour modifier un objet GPO. Pour modifier l'objet GPO Stratégie Siège Dans la console MMC EtapesSG, double-cliquez sur l'objet GPO Stratégie Siège (ou sélectionnez-le, puis cliquez sur Modifier). L'Éditeur d'objets de stratégie de groupe s'affiche pour permettre la modification de Stratégie Siège, comme indiqué dans la figure 6 Figure Stratégie Siège Fermez l'éditeur d'objets de stratégie de groupe pour la Stratégie Siège. Ajout ou recherche d'un objet GPO Pour ajouter un objet GPO Dans la page Propriétés de Siège, sous l'onglet Stratégie de groupe, cliquez sur Ajouter. La boîte de dialogue Ajouter une liaison d'objet de stratégie de groupe affiche la liste des objets GPO associés à des domaines/unités d'organisation ou des sites, ou l'ensemble des objets GPO existant au sein de la structure Active Directory. La figure 4 montre cette boîte de dialogue.

9 9 sur 27 21/10/ :01 Figure Boîte de dialogue Ajouter une liaison d'objet de stratégie de groupe Passez en revue les composants ci-dessous de la boîte de dialogue Ajouter une liaison d'objet de stratégie de groupe, puis fermez la boîte de dialogue. La liste déroulante Regarder dans vous permet de naviguer dans l'ensemble de la structure Active Directory afin de rechercher un objet GPO. Lorsque vous modifiez la valeur de cette zone, les objets GPO et tous les objets enfants s'affichent dans le volet de résultats. Sous l'onglet Domaines/unités d'organisation, la zone de liste affiche les sous-unités d'organisation et les objets GPO du domaine ou de l'unité d'organisation sélectionné. Pour naviguer dans la hiérarchie, double-cliquez sur une sous-unité d'organisation ou utilisez le bouton de la barre d'outil Dossier parent. L'onglet Sites affiche tous les objets GPO associés au site sélectionné. Utilisez la liste déroulante pour sélectionner un autre site. Les sites ne répondent à aucune hiérarchie. L'onglet Tous affiche la liste de l'ensemble des objets GPO stockés dans le domaine sélectionné. Ceci est particulièrement utile lorsque vous souhaitez sélectionner un objet GPO dont vous connaissez le nom plutôt que l'emplacement auquel il est associé. Il s'agit également du seul emplacement où vous pouvez créer un objet GPO n'étant pas lié à un site, un domaine ou une unité d'organisation. Pour créer un objet GPO non lié sous l'onglet Tous, sélectionnez le bouton de la barre d'outil Créer un nouvel objet Stratégie de groupe ou cliquez avec le bouton droit sur une zone vide, puis cliquez sur Nouveau. Donnez un nom au nouvel objet GPO, appuyez sur Entrée, puis cliquez sur Annuler ne cliquez pas sur OK. Si vous cliquez sur OK, le nouvel objet GPO sera lié au site, au domaine ou à l'unité d'organisation actif. Le fait de cliquer sur Annuler crée un objet GPO non lié. Pour associer un objet GPO au domaine ou à l'unité d'organisation sélectionné, double-cliquez sur l'objet GPO souhaité. Remarque : Plusieurs objets GPO peuvent porter le même nom. Les objets GPO sont, en effet, stockés en tant qu'identificateurs globaux uniques (GUID, Globally Unique IDentifier). Le nom affiché est en fait un nom convivial stocké dans Active Directory. Stratégies fondées sur le Registre L'interface utilisateur pour les stratégies fondées sur le Registre est disponible via les fichiers Modèles d'administration (.adm). Ces fichiers décrivent l'interface utilisateur qui s'affiche dans le nœud Modèles d'administration du composant logiciel enfichable Stratégie de groupe. Le format de ces

10 10 sur 27 21/10/ :01 fichiers est compatible avec les fichiers.adm utilisés par l'outil Éditeur de stratégie système (Poledit.exe) dans Microsoft Windows NT 0. Avec Windows Server 2003, les options disponibles dans les stratégies fondées sur le Registre ont été étendues. Remarque : Bien qu'il soit possible d'ajouter tout fichier.adm à un objet GPO, si vous utilisez un fichier.adm d'une version antérieure de Windows, les clés de Registre peuvent rester sans effet sur Windows Server 200 Par défaut, seuls les paramètres de stratégie définis dans les fichiers.adm chargés existant dans les arborescences approuvées de la stratégie de groupe s'affichent ; ces paramètres sont appelés de véritables stratégies. Cela signifie que le composant logiciel enfichable Stratégie de groupe n'affiche pas les éléments décrits dans le fichier.adm définissant des clés de registre en dehors des arborescences de la stratégie de groupe ; ces éléments sont appelés des préférences de la stratégie de groupe. Les préférences sont signalées par une icône rouge les distinguant des véritables stratégies, signalées par une icône bleue. Les arborescences approuvées de la stratégie de groupe sont les suivantes : \Software\Policies \Software\Microsoft\Windows\CurrentVersion\Policies Remarque : L'utilisation de non-stratégies au sein de l'infrastructure de la stratégie de groupe est vivement déconseillée en raison du comportement persistant des paramètres du Registre, mentionné précédemment. Pour définir les stratégies du Registre sur Windows NT 0 et les clients Windows 95 et Windows 98, utilisez l'outil Éditeur de stratégie système de Windows NT 0, Poledit.exe. Par défaut, les fichiers conf.adm, inetres.adm, system.adm, wmplayer.adm et wuau.adm sont chargés et disponibles à des fins de configuration, comme indiqué dans la figure 5. Figure 5. Configuration utilisateur Les fichiers.adm par défaut offrent les options de configuration suivantes : Conf.adm : paramètres de NetMeeting Inetres.adm : paramètres d'internet Explorer

11 11 sur 27 21/10/ :01 System.adm : paramètres du système d'exploitation wmplayer.adm : paramètres de Windows Media Player wuau.adm : paramètres de Windows Update Ajout de modèles d'administration Les modèles d'administration (fichiers.adm) contiennent une hiérarchie de catégories et sous-catégories définissant la façon dont les options sont organisées dans l'interface utilisateur de la stratégie de groupe. Pour ajouter un modèle d'administration (fichier.adm) Dans la page Propriétés de Siège, double-cliquez sur l'objet GPO Stratégie Siège. Sous Configuration utilisateur ou Configuration ordinateur, cliquez avec le bouton droit sur Modèles d'administration, puis cliquez sur Ajout/Suppression de modèles. La liste des fichiers de modèles actifs du conteneur Active Directory en cours s'affiche. Cliquez sur Ajouter. Une liste s'affiche répertoriant les fichiers.adm disponibles dans le répertoire %systemroot%\inf de l'ordinateur sur lequel la stratégie de groupe est exécutée. Vous pouvez également choisir un fichier.adm situé à un autre emplacement. Une fois sélectionné, le fichier.adm sera disponible à des fins de configuration au sein de l'objet GPO. Cliquez sur Annuler, puis sur Fermer. (Aucun modèle d'administration ne sera ajouté au cours de ces exercices.) Configuration des modèles d'administration La procédure suivante fournit un exemple simple d'utilisation de modèles d'administration pour supprimer la commande Exécuter du bureau d'un utilisateur. Vous devriez ainsi vous familiariser avec l'ensemble des paramètres disponibles proposés dans les modèles d'administration. D'autres guides pas à pas de cette série utilisent des paramètres disponibles dans les modèles d'administration. Pour définir les paramètres basés sur le Registre à l'aide de modèles d'administration Dans l'éditeur d'objets de stratégie de groupe de l'objet GPO Stratégie Siège, cliquez sur le signe plus (+) en regard de Modèles d'administration dans le nœud Configuration utilisateur. Cliquez sur. Notez que le volet d'informations affiche toutes les stratégies comme Non configurée. Dans le volet droit, double-cliquez sur la stratégie Supprimer le menu Exécuter du menu Démarrer. Dans la boîte de dialogue Supprimer le menu Exécuter du menu Démarrer, cliquez sur (comme indiqué dans la figure 6). Cliquez sur OK pour terminer.

12 12 sur 27 21/10/ :01 Figure 6. Boîte de dialogue Supprimer le menu Exécuter du menu Démarrer Remarquez les boutons Stratégie précédente et Stratégie suivante de la boîte de dialogue. Vous pouvez utiliser ces boutons pour naviguer dans le volet d'informations afin de définir l'état des autres stratégies. Vous pouvez également laisser la boîte de dialogue ouverte et cliquer sur une autre stratégie dans le volet d'informations du composant logiciel enfichable Stratégie de groupe. Lorsque le volet d'informations est actif, vous pouvez utiliser les flèches Haut et Bas du clavier, puis appuyer sur Entrée pour naviguer rapidement dans les paramètres (ou les onglets Expliquer) de chaque stratégie du nœud sélectionné. Remarquez que l'état passe à dans la colonne Paramètres du volet d'informations. La modification est immédiate et est enregistrée dans l'objet GPO. Si vous vous trouvez dans un environnement de contrôleur de domaine répliqué, cette action définit un indicateur déclenchant un cycle de réplication. Si vous ouvrez une session sur une station de travail du domaine contoso.com en tant qu'utilisateur appartenant à l'unité d'organisation Siège, vous remarquerez que le menu Exécuter a été supprimé. Remarque : À ce stade, vous aurez peut-être envie d'essayer les autres stratégies disponibles. Pour obtenir des informations sur chaque stratégie, consultez l'onglet Expliquer. Déploiement de scripts via des objets GPO Vous pouvez définir un paramètre d'objet GPO exécutant des scripts lorsque les utilisateurs ouvrent ou ferment une session ou lorsque le système démarre ou s'arrête. Tous les scripts sont compatibles avec l'hôte de script Windows (WSH, Windows Scripting Host). Ils peuvent donc inclure des scripts Java ou Microsoft Visual Basic, ainsi que des fichiers.bat et.cmd. Création d'un script d'ouverture de session Remarque : Cette procédure utilise le script bienvenue.js décrit en annexe. Créez un dossier Éléments inclus, puis créez le fichier bienvenue.js dans ce dossier en copiant le script présenté en annexe de ce guide. Pour définir un paramètre de script d'ouverture de session Stratégie de groupe Fermez l'éditeur d'objets de stratégie de groupe pour la Stratégie Siège. Dans la boîte de dialogue Propriétés de Siège, cliquez sur Fermer. Dans la console EtapesSG, cliquez avec le bouton droit sur le domaine contoso.com, cliquez

13 13 sur 27 21/10/ :01 5. sur Propriétés, puis sur l'onglet Stratégie de groupe. Dans la page des propriétés Stratégie de groupe, sélectionnez l'objet GPO Stratégie de domaine par défaut dans la liste Liaisons de l'objet Stratégie de groupe, puis cliquez sur Modifier pour ouvrir le composant logiciel enfichable Éditeur d'objets de stratégie de groupe. Dans le composant logiciel enfichable Stratégie de groupe, sous Configuration utilisateur, cliquez sur le signe plus (+) en regard de Paramètres Windows, puis sur le nœud Scripts (ouverture/fermeture de session). 6. Dans le volet d'informations, double-cliquez sur Ouverture de session. 7. La boîte de dialogue Propriétés de Ouverture de session affiche la liste des scripts exécutés lorsqu'un utilisateur spécifique ouvre une session. Ces scripts sont triés par ordre d'exécution : le premier script exécuté apparaît en tête de la liste. Vous pouvez en modifier l'ordre en sélectionnant un script, puis en utilisant les flèches Haut et Bas du clavier. Pour ajouter un script à la liste, cliquez sur le bouton Ajouter. La boîte de dialogue Ajout d'un Script s'affiche. Cette boîte de dialogue vous permet de spécifier le nom d'un script existant situé dans l'objet GPO actif ou de rechercher un script à un autre emplacement et de le sélectionner pour l'utiliser dans cet objet GPO. Le fichier de script doit être accessible par l'utilisateur à l'ouverture de session, sinon il n'est pas exécuté. Les scripts de l'objet GPO actif sont automatiquement accessibles par l'utilisateur. Pour créer un script, cliquez avec le bouton droit sur une zone vide, cliquez sur Nouveau, puis sélectionnez un nouveau fichier. Pour modifier le nom ou les paramètres d'un script de la liste, sélectionnez-le, puis cliquez sur le bouton Modifier. Ce bouton ne permet pas de modifier le script en lui-même. Pour modifier le script, utilisez le bouton Afficher les fichiers. Pour supprimer un script de la liste, sélectionnez-le, puis cliquez sur Supprimer. Le bouton Afficher les fichiers affiche les scripts de l'objet GPO dans le format d'affichage de l'explorateur Windows. Vous pouvez ainsi accéder rapidement à ces fichiers ou à l'emplacement où vous devez copier les fichiers de prise en charge si les fichiers de script le requièrent. Si vous modifiez le nom d'un fichier de script à partir de cet emplacement, vous devez également utiliser le bouton Modifier pour modifier le nom du fichier, sinon le script ne pourra pas être exécuté. Remarque : Si les options d'affichage de ce dossier sont définies sur Masquer les extensions pour les types de fichiers connus, une extension indésirable peut empêcher l'exécution du fichier. Cliquez sur le bouton Démarrer, sur Tous les programmes, sur Accessoires, puis sur Explorateur Windows. Recherchez le fichier bienvenue2000.js dans le répertoire Éléments inclus, cliquez avec le bouton droit sur ce fichier, puis cliquez sur Copier. 8. Fermez l'explorateur Windows. 9. Dans la boîte de dialogue Propriétés de Ouverture de session, cliquez sur le bouton Afficher les fichiers, puis collez le script bienvenue.js à l'emplacement des fichiers par défaut, comme indiqué dans la figure 7.

14 14 sur 27 21/10/ :01 7 Figure 7. Script bienvenue.js inclus dans la Stratégie de domaine par défaut Fermez la fenêtre contenant bienvenue.js. Dans la boîte de dialogue Propriétés de Ouverture de session, cliquez sur Ajouter. 1 1 Dans la boîte de dialogue Ajout d'un Script, cliquez sur Parcourir. Dans la boîte de dialogue Parcourir, double-cliquez sur le fichier bienvenue.js. Dans la boîte de dialogue Ajout d'un script, cliquez sur OK (aucun paramètre de script n'est nécessaire), puis à nouveau sur OK Fermez l'éditeur d'objets de stratégie de groupe. Dans la page Propriétés de contoso.com, cliquez sur Annuler. Ce script devient immédiatement accessible à tout membre de contoso.com puisqu'il a été défini au sein de la Stratégie de domaine par défaut. Vous pouvez ouvrir une session sur une station de travail cliente pour vérifier que le script s'exécute lorsqu'un utilisateur ouvre une session. Définition d'un script de fermeture de session ou de démarrage ou d'arrêt d'un ordinateur Vous pouvez utiliser la même procédure que celle décrite dans la section Création d'un script d'ouverture de session pour définir des scripts qui s'exécutent lorsqu'un utilisateur ferme une session ou au démarrage ou à l'arrêt d'un ordinateur. Pour les scripts de fermeture de session, sélectionnez Fermeture de session à l'étape 6 de la section Création d'un script d'ouverture de session. Pour les scripts de démarrage ou d'arrêt d'un ordinateur, utilisez Configuration ordinateur Paramètres Windows Scripts (démarrage/arrêt) dans l'éditeur d'objets de stratégie de groupe. Remarques sur les scripts Par défaut, les scripts Stratégie de groupe s'exécutant dans une fenêtre de commande (tels que les fichiers.bat ou.cmd) sont masqués lors de leur exécution, et les scripts classiques (définis dans l'objet utilisateur) sont, par défaut, visibles lors de leur traitement, mais il existe un paramètre de stratégie de groupe permettant de modifier leur visibilité. La stratégie pour les utilisateurs, Exécuter les scripts d'ouverture de session en mode visible ou Exécuter les scripts de fermeture de session en mode visible, est accessible dans le nœud Configuration utilisateur\modèles d'administration, sous Système\Scripts. La stratégie pour les ordinateurs, Exécuter les scripts de démarrage en mode visible ou Exécuter les scripts d'arrêt en mode visible, est accessible dans le nœud Configuration ordinateur\modèles d'administration, sous Système\Scripts.

15 15 sur 27 21/10/ :01 Filtrage des groupes de sécurité Vous pouvez moduler l'impact de tout objet GPO sur les utilisateurs ou les ordinateurs en stipulant la façon dont il est appliqué aux groupes de sécurité. Utilisez, pour cela, l'onglet Sécurité de la page Propriétés d'un objet GPO afin de définir les DACL. Les DACL s'utilisent principalement pour des raisons de performances, bien que cette fonctionnalité offre une grande flexibilité dans la conception et le déploiement d'objets GPO et des stratégies qu'ils contiennent. Par défaut, les objets GPO affectent tous les utilisateurs et ordinateurs compris dans le site, le domaine ou l'unité d'organisation qui y est lié. L'utilisation de DACL permet de modifier l'effet d'un objet GPO afin d'exclure ou d'inclure les membres d'un groupe de sécurité. Pour filtrer l'application d'un objet GPO en fonction de l'appartenance à un groupe de sécurité Dans la console EtapesSG, sous l'unité d'organisation Comptes, cliquez avec le bouton droit sur l'unité d'organisation Siège, puis cliquez sur Propriétés. Dans la boîte de dialogue Propriétés de Siège, cliquez sur l'onglet Stratégie de groupe. Cliquez avec le bouton droit sur l'objet GPO Stratégie Siège dans la liste Liaisons de l'objet Stratégie de groupe, puis sélectionnez Propriétés dans le menu contextuel. 5. Dans la page Propriétés, cliquez sur l'onglet Sécurité. Dans la page des propriétés de Sécurité, cliquez sur Ajouter Dans la boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes, tapez Gestion dans la zone Entrez les noms des objets à sélectionner, puis cliquez sur OK. Sous l'onglet Sécurité de la page Propriétés de Stratégie Siège, sélectionnez le groupe Gestion et consultez ses autorisations. Remarque : Par défaut, seule l'entrée de contrôle d'accès (ACE, Access Control Entry) Lire est définie sur Autoriser pour le groupe Gestion. Cela signifie que cet objet GPO ne s'applique pas aux membres du groupe Gestion à moins qu'ils ne soient également membres d'un autre groupe (par défaut, ils appartiennent également à Utilisateurs authentifiés) pour lequel l'ace Appliquer la stratégie de groupe est sélectionnée. À ce stade, l'objet GPO s'applique à tout le monde dans le groupe Utilisateurs authentifiés, y compris aux membres du groupe de sécurité Gestion, comme indiqué dans la figure 8.

16 16 sur 27 21/10/ :01 Figure 8. Utilisateurs authentifiés Pour configurer l'objet GPO pour qu'il s'applique uniquement aux membres du groupe Gestion Activez la case à cocher Autoriser de l'ace Appliquer la stratégie de groupe pour le groupe Gestion. Désactivez la case à cocher Autoriser de l'ace Appliquer la stratégie de groupe pour le groupe Utilisateurs authentifiés. Remarque : En modifiant les ACE appliquées aux différents groupes, les administrateurs peuvent personnaliser l'impact de l'objet GPO sur les utilisateurs ou les ordinateurs concernés. L'ACE Écrire est requise pour pouvoir effectuer des modifications ; les ACE Lire et Appliquer la stratégie de groupe sont requises pour appliquer une stratégie au groupe. Pour refuser l'application d'un objet GPO aux membres du groupe Gestion Remarque : Utilisez l'option Refuser des ACE avec prudence. Un paramètre Refuser appliqué à une ACE pour un groupe est prioritaire sur tout paramètre Autoriser appliqué à une ACE pour un utilisateur ou un ordinateur disposant de cette autorisation en raison de son appartenance à un autre groupe. Pour plus d'informations sur cette interaction, consultez la rubrique Groupe de sécurité de l'aide en ligne de Windows 2000 Server. Désactivez la case à cocher Autoriser et activez la case à cocher Refuser de l'ace Appliquer la stratégie de groupe pour le groupe Gestion. Activez la case à cocher Autoriser de l'ace Appliquer la stratégie de groupe pour le groupe Utilisateurs authentifiés. La figure 9 présente un exemple des paramètres de sécurité permettant à l'objet GPO d'affecter tous ceux, à l'exception des membres du groupe Gestion, auxquels l'autorisation d'objet de stratégie de groupe a été explicitement refusée. Si un membre du groupe Gestion est également membre d'un groupe pour lequel l'ace Appliquer la stratégie de groupe est explicitement autorisée, le paramètre Refuser devient prioritaire, et l'objet GPO n'affecte pas l'utilisateur.

17 17 sur 27 21/10/ :01 Figure 9. Refus de l'attribution de l'objet GPO en fonction de l'appartenance à un groupe Cliquez sur OK, puis sur Oui pour valider le message d'avertissement relatif à l'utilisation de Refuser pour les ACL. Cliquez sur OK pour fermer la page Propriétés de Siège. Cette procédure peut comporter les variantes suivantes : Ajout d'objets GPO avec différents jeux de stratégies et application de ces objets uniquement à des groupes autres que le groupe Gestion. Création d'un autre groupe comportant des membres de groupes existants, et utilisation de ces groupes comme filtres pour un objet GPO. Remarque : Vous pouvez utiliser ces mêmes types d'options de sécurité avec les scripts d'ouverture de session définis dans la section précédente. Vous pouvez définir un script pour qu'il s'exécute uniquement pour les membres d'un groupe particulier ou pour tout le monde à l'exception des membres d'un groupe spécifique. Le filtrage des groupes de sécurité a deux fonctions : la première est de modifier le groupe affecté par un objet GPO particulier, la seconde de déléguer le groupe d'administrateurs autorisé à modifier le contenu de l'objet GPO en limitant le Contrôle total à un ensemble restreint d'administrateurs (via un groupe). Cette procédure est recommandée car elle limite les risques de modifications simultanées par plusieurs administrateurs. Héritage de stratégies En règle générale, la stratégie de groupe se transmet des conteneurs parents aux conteneurs enfants au sein d'un domaine. Elle n'est pas héritée des domaines parents aux domaines enfants. Si vous attribuez un paramètre de stratégie de groupe spécifique à un conteneur parent de haut niveau, ce paramètre s'applique à tous les conteneurs se trouvant sous ce conteneur, ainsi qu'aux objets utilisateur et ordinateur de chaque conteneur. Cependant, si vous spécifiez clairement un paramètre de stratégie de groupe pour un conteneur enfant, il a priorité sur celui du conteneur parent.

18 18 sur 27 21/10/ :01 Si certains paramètres de stratégie d'une unité d'organisation parent ne sont pas configurés, l'unité d'organisation enfant n'en hérite pas. Les paramètres de stratégie qui étaient désactivés le restent à la suite de l'héritage. De plus, si un même paramètre de stratégie est configuré (activé ou désactivé) pour une unité d'organisation parent, mais pas pour une unité enfant, cette dernière hérite automatiquement du paramètre activé ou désactivé de l'unité parent. Si un paramètre de stratégie appliqué à une unité d'organisation parent et un paramètre appliqué à une unité enfant sont compatibles, l'unité enfant hérite du paramètre de stratégie parent, mais le paramètre de l'unité enfant est également appliqué. Si un paramètre de stratégie configuré pour une unité d'organisation parent est incompatible avec le même paramètre configuré pour une unité enfant (il est possible que le paramètre soit activé pour l'un et désactivé pour l'autre), l'unité enfant n'hérite pas du paramètre de stratégie de l'unité parent. C'est le paramètre de stratégie de l'unité d'organisation enfant qui est appliqué. Blocage de l'héritage et option Ne pas passer outre L'option Bloquer l'héritage de stratégies bloque les objets GPO situés plus haut dans la hiérarchie Active Directory des sites, des domaines et des unités d'organisation. Elle ne bloque pas les objets GPO pour lesquels l'option Ne pas passer outre est activée L'option Bloquer l'héritage de stratégies n'est définie que sur des sites, des domaines et des unités d'organisation ; elle ne l'est pas sur des objets GPO individuels. Ces paramètres offrent un contrôle total sur les règles d'héritage par défaut. Dans la section suivante, vous allez définir, dans l'unité d'organisation Comptes, un objet GPO qui s'applique par défaut aux utilisateurs (et ordinateurs) de l'ensemble des objets enfants au sein de cette unité d'organisation. Vous allez ensuite établir un autre objet GPO dans l'unité d'organisation Comptes et activer son option Ne pas passer outre. Ces paramètres s'appliqueront à l'ensemble des objets enfants même s'ils sont en conflit avec d'autres paramètres appliqués via un objet GPO. Vous allez ensuite utiliser la fonction Bloquer l'héritage pour empêcher les stratégies de groupe définies dans un site, un domaine ou une unité d'organisation parent (Comptes, dans ce cas) d'être appliquées à l'unité d'organisation Production. Pour créer des objets GPO Dans la console MMC EtapesSG, sous contoso.com, cliquez avec le bouton droit sur l'unité d'organisation Comptes. Cliquez sur Propriétés, puis sur l'onglet Stratégie de groupe Cliquez sur Nouvelle, entrez Stratégies utilisateur par défaut comme nom d'objet GPO, puis appuyez sur Entrée. Cliquez à nouveau sur Nouvelle, entrez Stratégies utilisateur appliquées comme nom d'objet GPO, puis appuyez sur Entrée. Cliquez sur l'objet GPO Stratégies utilisateur appliquées, puis sur le bouton Haut pour le placer en haut de la liste. Remarque : L'objet GPO Stratégies utilisateur appliquées aura ainsi la priorité la plus élevée. Notez que cette étape sert uniquement à montrer le fonctionnement du bouton Haut ; un objet GPO appliqué est toujours prioritaire sur un objet non appliqué. Sélectionnez le paramètre Ne pas passer outre pour l'objet GPO Stratégies utilisateur appliquées en double-cliquant dans la colonne Ne pas passer outre ou en utilisant le bouton Options. La page Propriétés de Comptes doit s'afficher comme indiqué dans la figure 10.

19 19 sur 27 21/10/ :01 Figure 10. Stratégies utilisateur appliquées avec option Ne pas passer outre Pour activer les paramètres des objets GPO Stratégies utilisateur appliquées et Stratégies utilisateur par défaut Dans la page Propriétés de Comptes, double-cliquez sur l'objet GPO Stratégies utilisateur appliquées. Dans l'éditeur d'objets de stratégie de groupe, sous Configuration utilisateur, développez Modèles d'administration. Développez Système, puis cliquez sur Options Ctrl+Alt+Suppr. Dans le volet d'informations, double-cliquez sur la stratégie Supprimer le Gestionnaire de tâches. Dans la boîte de dialogue Supprimer le Gestionnaire de tâches, cliquez sur Activé, puis sur OK. Pour plus d'informations sur la stratégie, cliquez sur l'onglet Expliquer. Ce paramètre est à présent Activé, comme indiqué dans la figure 1 Figure 1 Désactivation de l'utilisation du Gestionnaire des tâches 5. Cliquez sur Fichier, puis sur Quitter pour fermer l'éditeur d'objets de stratégie de groupe. 6. Dans la boîte de dialogue Propriétés de Comptes, sous l'onglet Stratégie de groupe, doublecliquez sur l'objet GPO Stratégies utilisateur par défaut dans la liste Liaisons de l'objet Stratégie de groupe.

20 20 sur 27 21/10/ :01 7. Dans l'éditeur d'objets de stratégie de groupe, sous Configuration utilisateur, développez Modèles d'administration, Bureau, puis cliquez sur Active Desktop Dans le volet d'informations, double-cliquez sur la stratégie Désactiver Active Desktop. Cliquez sur, sur OK, puis à nouveau sur OK. Cliquez sur Fichier, puis sur Quitter pour fermer l'éditeur d'objets de stratégie de groupe. Si vous ouvrez une session sur une station de travail cliente en tant qu'utilisateur de l'unité d'organisation Comptes ou d'une unité d'organisation enfant, les objets GPO Stratégies utilisateur par défaut et Stratégies utilisateur appliquées seront appliqués. Le Gestionnaire des tâches et Active Desktop seront désactivés. Amélioration des performances des objets GPO Ces objets GPO étant uniquement utilisés pour la configuration utilisateur, la partie ordinateur de l'objet GPO peut être désactivée. La désactivation des paramètres de configuration ordinateur accélère le démarrage de l'ordinateur cible puisque ses objets GPO n'ont pas besoin d'être traités. S'il n'existe aucun ordinateur dans l'unité d'organisation Comptes ou dans une unité d'organisation enfant, la désactivation de la partie ordinateur de l'objet GPO ne présente aucun avantage immédiat. Cependant, dans la mesure où ces objets GPO peuvent être liés ultérieurement à un autre conteneur pouvant inclure des ordinateurs, il peut être bénéfique de procéder à cette opération. Pour désactiver la partie ordinateur d'un objet GPO Dans la boîte de dialogue Propriétés de Comptes, cliquez avec le bouton droit sur l'objet GPO Stratégies utilisateur appliquées, puis sélectionnez Propriétés. Dans la boîte de dialogue Propriétés de Stratégies utilisateur appliquées, cliquez sur l'onglet Général (par défaut), puis activez la case à cocher Désactiver les paramètres de configuration de l'ordinateur. Dans la boîte de dialogue Confirmez la désactivation, cliquez sur Oui, puis sur OK. Notez que la page de propriétés Général comprend deux cases à cocher permettant de désactiver une partie de l'objet GPO. Répétez les étapes 1 et 2 pour l'objet GPO Stratégies utilisateur par défaut. Blocage de l'héritage Vous pouvez bloquer l'héritage de sorte qu'un objet GPO n'hérite pas de la stratégie d'un autre objet GPO de la hiérarchie. L'exemple suivant montre comment bloquer l'héritage afin que seuls les paramètres de Stratégies utilisateur appliquées affectent les utilisateurs de l'unité d'organisation Production. Pour bloquer l'héritage de la stratégie de groupe pour l'unité d'organisation Production Dans la boîte de dialogue Propriétés de Comptes, cliquez sur Fermer. Sous l'unité d'organisation Comptes de la console EtapesSG, cliquez avec le bouton droit sur l'unité d'organisation Production, sélectionnez Propriétés dans le menu contextuel, puis cliquez sur l'onglet Stratégie de groupe. Activez la case à cocher Bloquer l'héritage de stratégies, puis cliquez sur OK. Pour vérifier que les paramètres d'héritage sont bloqués, vous pouvez ouvrir une session en tant qu'utilisateur de l'unité d'organisation Production. Notez qu'active Desktop est disponible mais que le Gestionnaire des tâches est désactivé puisque l'objet GPO de désactivation était défini comme Ne pas passer outre dans l'unité d'organisation parent. Liaison d'un objet GPO à plusieurs sites, domaines et unités d'organisation Cette section montre comment lier un objet GPO à plusieurs conteneurs (site, domaine ou unité