Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Table des matières Vue d'ensemble 1 Leçon : Configuration de paramètres de stratégie de groupe 2 Leçon : Attribution de scripts avec la stratégie de groupe 11 Leçon : Configuration de la redirection de dossiers 19 Leçon : Détermination des objets de stratégie de groupe appliqués 32 Atelier A : Utilisation de rapports de stratégie de groupe 54

Les informations contenues dans ce document, notamment les adresses URL et les références à des sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes, les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et événements existants ou ayant existé serait purement fortuite. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicables dans son pays. Sans limitation des droits d'auteur, aucune partie de ce manuel ne peut être reproduite, stockée ou introduite dans un système d'extraction, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre), sans la permission expresse et écrite de Microsoft Corporation. Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle. 2003 Microsoft Corporation. Tous droits réservés. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, IntelliMirror, MSDN, PowerPoint, Visual Basic et Windows Media sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation, aux États-Unis d'amérique et/ou dans d'autres pays. Les autres noms de produits et de sociétés mentionnés dans ce document sont des marques de leurs propriétaires respectifs.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe iii Notes du formateur Présentation : 130 minutes Atelier : 50 minutes Ce module présente la fonction d'implémentation de la stratégie de groupe. Plus particulièrement, il dispense aux stagiaires les connaissances et les compétences nécessaires pour décrire l'objectif et la fonction d'une stratégie de groupe dans un environnement Microsoft Windows Server 2003. À la fin de ce module, les stagiaires seront à même d'effectuer les tâches suivantes :! configurer les paramètres de stratégie de groupe ;! attribuer des scripts avec la stratégie de groupe ;! configurer la redirection de dossiers ;! déterminer les objets Stratégie de groupe appliqués. Matériel requis Préparation Pour animer ce module, vous devez disposer des éléments suivants :! Fichier Microsoft PowerPoint 2144A_09.ppt Pour préparer ce module, vous devez effectuer les tâches suivantes :! lire tous les supports de cours de ce module ;! réaliser les applications pratiques et l'atelier.

iv Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Comment animer ce module Cette section contient des informations qui ont pour but de vous aider à animer ce module. Pages de procédures, applications pratiques et ateliers Pages de procédures Applications pratiques Ateliers Expliquez aux stagiaires la relation entre les pages de procédures, les applications pratiques ainsi que les ateliers et ce cours. Un module contient au minimum deux leçons. La plupart des leçons comprennent des pages de procédures et une application pratique. À la fin de toutes les leçons, le module se termine par un atelier. Les pages de procédures permettent au formateur de montrer comment réaliser une tâche. Les stagiaires n'effectuent pas avec le formateur les tâches de la page de procédure. Ils suivent ces étapes pour exécuter l'application pratique prévue à la fin de chaque leçon. Une fois que vous avez couvert le contenu de la section et montré les procédures de la leçon, expliquez aux stagiaires qu'une application pratique portant sur toutes les tâches abordées est prévue à l'issue de la leçon. À la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique les tâches traitées et appliquées tout au long du module. À l'aide de scénarios appropriés à la fonction professionnelle, l'atelier fournit aux stagiaires un ensemble d'instructions dans un tableau à deux colonnes. La colonne de gauche indique la tâche (par exemple : Créer un groupe). La colonne de droite contient des instructions spécifiques dont les stagiaires auront besoin pour effectuer la tâche (par exemple : Dans Gestion de l'ordinateur, double-cliquez sur le nœud de domaine.). Chaque exercice d'atelier dispose d'une clé de réponse que les stagiaires trouveront sur le CD-ROM du stagiaire s'ils ont besoin d'instructions étape par étape pour terminer l'atelier. Ils peuvent également consulter les applications pratiques et les pages de procédures du module. Leçon : Configuration de paramètres de stratégie de groupe Vue d'ensemble de la leçon Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette leçon. Dans cette leçon, vous apprendrez aux stagiaires pourquoi utiliser une stratégie de groupe, vous identifierez les paramètres de stratégie de groupe et expliquerez comment les modifier. Soyez prêt à expliquer aux stagiaires pourquoi utiliser une stratégie de groupe et préparez des exemples réels à partager en cours. Proposez des lectures complémentaires aux stagiaires.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe v Leçon : Attribution de scripts avec la stratégie de groupe Vue d'ensemble de la leçon Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette leçon. Dans cette leçon, les stagiaires découvriront les paramètres des scripts de stratégie de groupe. D'autres informations sur les scripts sont disponibles au TechNet Script Center à l'adresse http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/scriptcenter/default.asp (en anglais). Leçon : Configuration de la redirection de dossiers Vue d'ensemble de la leçon Considérations en matière de sécurité pour la configuration de la redirection des dossiers. Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette leçon. Dans cette leçon, les stagiaires apprendront à configurer la Redirection de dossiers. Vous leur expliquerez ce qu'est la Redirection de dossiers et pourquoi l'utiliser. Mettez l'accent sur les règles régissant la redirection de dossiers et les paramètres requis. Passez en revue les autorisations NTFS (Système de Fichier Windows NT) et de dossier partagé décrites dans le tableau. Expliquez les différences entre ces deux types d'autorisations et les cas dans lesquels ces paramètres s'appliquent en matière de sécurité. Application pratique : Configuration de la redirection de dossiers Rappelez aux stagiaires d'utiliser l'assistant pour créer le dossier partagé. Leçon : Détermination des objets de stratégie de groupe appliqués Vue d'ensemble de la leçon Application pratique : Utilisation de Gpupdate et Gpresult Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette leçon. Dans cette leçon, les stagiaires apprendront à déterminer les objets Stratégie de groupe appliqués. Expliquez aux stagiaires pourquoi utiliser les utilitaires de ligne de commande gpupdate et gpresult. Illustrez leur utilisation respective par d'autres exemples. La réalisation de cette application pratique peut prendre du temps. Tenez-vous prêt à aider les stagiaires dans sa réalisation. Atelier A : Utilisation de rapports de stratégie de groupe Les stagiaires doivent avoir terminé toutes les applications pratiques avant de commencer l'atelier. Rappelez aux stagiaires qu'ils peuvent revenir aux pages des procédures du module afin d'obtenir de l'aide. La clé de réponse correspondant à chaque atelier est fournie sur le CD-ROM du stagiaire.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 1 Vue d'ensemble *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Objectifs Ce module présente le travail d'administration de l'environnement utilisateur à l'aide d'une stratégie de groupe. Plus particulièrement, il dispense aux stagiaires les connaissances et les compétences nécessaires pour configurer la Redirection de dossiers, la connectivité Microsoft Internet Explorer et le Bureau à l'aide d'une stratégie de groupe. À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :! configurer les paramètres de stratégie de groupe ;! attribuer des scripts avec la stratégie de groupe ;! configurer la redirection de dossiers ;! déterminer les objets de stratégie de groupe appliqués.

2 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Leçon : Configuration de paramètres de stratégie de groupe *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Objectifs de la leçon À la fin de cette leçon, vous serez à même de configurer les paramètres de la stratégie de groupe. À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :! expliquer pourquoi utiliser une stratégie de groupe ;! décrire les paramètres de stratégie de groupe activés et désactivés ;! modifier un paramètre de stratégie de groupe.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 3 Pourquoi utiliser une stratégie de groupe? *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Tâches possibles à l'aide d'une stratégie de groupe L'administration de l'environnement utilisateurs implique le contrôle des tâches que les utilisateurs peuvent effectuer lorsqu'ils ouvrent une session sur le réseau. Pour ce faire, vous contrôlez leur Bureau, leurs connexions réseau et les interfaces utilisateur à l'aide d'une stratégie de groupe. Vous administrez l'environnement utilisateur pour garantir aux utilisateurs les ressources nécessaires pour mener à bien les responsabilités qui leur incombent, sans courir le risque d'endommager ou de configurer incorrectement leur environnement. Lorsque vous configurez et administrez un environnement utilisateur depuis un emplacement centralisé, vous pouvez effectuer les tâches suivantes :! Administration des utilisateurs et des ordinateurs La gestion des paramètres du Bureau de l'utilisateur à l'aide de stratégies basées sur le Registre vous permet de vous assurer que les utilisateurs disposent toujours du même environnement de travail quel que soit l'ordinateur sur lequel ils ouvrent une session. Vous pouvez contrôler la façon dont Microsoft Windows Server 2003 gère les profils utilisateur, y compris l'accessibilité des données personnelles des utilisateurs. La redirection des dossiers du disque dur local de l'utilisateur vers un emplacement central sur un serveur vous permet de garantir l'accessibilité des données de l'utilisateur quel que soit l'ordinateur sur lequel il ouvre une session.! Déploiement de logiciels Les logiciels sont déployés sur les ordinateurs et à l'attention des utilisateurs par le biais du service d'annuaire Active Directory. Vous vous assurez ainsi que tous les utilisateurs disposent des programmes, service packs et correctifs nécessaires.

4 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe! Application des paramètres de sécurité La stratégie de groupe dans Active Directory permet à l'administrateur système d'appliquer depuis un emplacement centralisé les paramètres de sécurité nécessaires pour protéger l'environnement utilisateur. Dans Windows Server 2003, vous pouvez utiliser le module d'extension Paramètres de sécurité dans Stratégie de groupe pour définir les paramètres de sécurité des stratégies de sécurité locales et du domaine.! Application d'un environnement de Bureau cohérent Les paramètres de stratégie de groupe sont très utiles pour appliquer les normes, par exemple les scripts d'ouverture de session et la configuration de mot de passe. Par exemple, vous pouvez empêcher les utilisateurs d'apporter à leur Bureau des modifications qui peuvent compliquer inutilement leur environnement utilisateur. Lectures complémentaires Pour plus d'informations sur la gestion du Bureau, reportez-vous aux articles suivants (en anglais) :! «Windows 2000 Desktop Management Overview» à l'adresse http://www.microsoft.com/windows2000/techinfo/howitworks/ management/ccmintro.asp! «Introduction to Windows 2000 Group Policy» à l'adresse http://www.microsoft.com/windows2000/techinfo/howitworks/ management/grouppolicyintro.asp! Groupe de discussion sur les stratégies de groupe à l'adresse http://www.microsoft.com/windows2000/community/newsgroups/

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 5 Que sont les paramètres de stratégie de groupe activés et désactivés? *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Désactiver un paramètre de stratégie Activer un paramètre de stratégie Non configuré Lorsque vous désactivez un paramètre de stratégie, vous désactivez l'action de ce paramètre. Par exemple, les utilisateurs ont par défaut accès au Panneau de configuration. Il n'est donc pas nécessaire de désactiver le paramètre de stratégie Empêcher l'accès au Panneau de configuration pour permettre à un utilisateur d'accéder au Panneau de configuration à moins qu'un paramètre de stratégie précédemment appliqué ne l'avait activé. Dans ce cas, vous devez définir un autre paramètre de stratégie qui désactive l'ancien paramètre. Cette fonction est utile lorsque vous avez des paramètres de stratégie hérités et vous ne voulez pas utiliser la fonction de filtrage pour appliquer des paramètres de façon sélective. Vous pouvez appliquer un objet Stratégie de groupe qui active un paramètre de stratégie dans l'unité d'organisation parent et un autre qui désactive l'objet Stratégie de groupe dans une unité d'organisation enfant. Lorsque vous activez un paramètre de stratégie, vous activez l'action de ce paramètre. Par exemple, pour supprimer l'accès d'un utilisateur au Panneau de configuration, vous activez le paramètre de stratégie Empêcher l'accès au Panneau de configuration. Un objet Stratégie de groupe stocke les valeurs qui modifient le Registre des utilisateurs et des ordinateurs affectés par l'objet Stratégie de groupe. Un paramètre de stratégie est par défaut réglé sur Non configuré. Pour définir le paramètre de stratégie d'un ordinateur ou d'un utilisateur à sa valeur par défaut ou le redéfinir à la stratégie locale, sélectionnez l'option Non configuré. Par exemple, vous pouvez activer un paramètre de stratégie pour certains clients, et lorsque l'option Non configuré est activée, la stratégie revient au paramètre de stratégie locale par défaut.

6 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Paramètres de stratégie à valeurs multiples Certains objets Stratégie de groupe impliquent que vous fournissiez d'autres informations après avoir activé l'objet. Il peut parfois s'avérer nécessaire de sélectionner un groupe ou un ordinateur si le paramètre de stratégie doit être rediriger l'utilisateur vers certaines informations. Parfois également, comme le montre la diapositive, vous devez indiquer le nom ou l'adresse IP (Internet Protocol) du serveur proxy et son numéro de port pour pouvoir activer les paramètres proxy. Si un paramètre de stratégie comporte plusieurs valeurs qui engendrent des conflits avec un autre paramètre de stratégie, ces paramètres sont remplacés par le dernier paramètre de stratégie en conflit appliqué. Remarque L'onglet Paramètre indique les systèmes d'exploitation prenant en charge le paramètre de stratégie. L'onglet Expliquer contient des informations sur les répercussions des options Activé et Désactivé sur un compte d'utilisateur et d'ordinateur.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 7 Procédure de modification d'un paramètre de stratégie de groupe *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Procédure En tant qu'administrateur système, vous devez modifier les paramètres de stratégie de groupe. Pour ce faire, suivez la procédure ci-dessous. Pour modifier les paramètres de stratégie de groupe 1. Dans l'arborescence de la console Gestion des stratégies de groupe, allez à Objets de stratégie de groupe. 2. Cliquez avec le bouton droit sur un objet Stratégie de groupe, puis cliquez sur Modifier. 3. Dans l'éditeur d'objets de stratégie de groupe, allez au paramètre de stratégie de groupe à modifier, puis double-cliquez dessus. 4. Dans la boîte de dialogue Propriétés, configurez le paramètre de stratégie de groupe, puis cliquez sur OK.

8 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Application pratique : Modification des paramètres de stratégie de groupe *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Objectif Instructions Scénario Dans cette application pratique, vous allez modifier les paramètres de stratégie de groupe. Avant de commencer cette application pratique :! Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser.! Ouvrez CustomMMC à l'aide de la commande Exécuter en tant que. Utilisez le compte d'utilisateur Nwtraders\NomOrdinateurAdmin (Exemple : LondonAdmin).! Vérifiez que CustomMMC contient les composants logiciels enfichables suivants : Utilisateurs et ordinateurs Active Directory Gestion des stratégies de groupe! Passez en revue les procédures de cette leçon qui décrivent la façon d'effectuer cette tâche. Northwind Traders doit implémenter l'objet Stratégie de groupe NomOrdinateur Bureau Standard. Cet objet Stratégie de groupe est lié à l'unité d'organisation IT Test/NomOrdinateur pour l'environnement de test et à l'unité d'organisation Locations/NomOrdinateur pour l'environnement de production. Vous devez commencer par désactiver le lien de l'environnement de production. Northwind Traders veut ensuite implémenter les paramètres de stratégie de groupe suivants dans l'objet Stratégie de groupe NomOrdinateur Bureau Standard :! Supprimer le menu Exécuter du menu Démarrer! Empêcher l'accès au Panneau de configuration! Cacher l'icône Favoris réseau sur le bureau

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 9! Supprimer les Connexions réseau du menu Démarrer! Supprimer «Connecter un lecteur réseau» et «Déconnecter un lecteur réseau» Application pratique! Vérifier que les liens d'objets Stratégie de groupe sont configurés Vérifiez que l'objet Stratégie de groupe NomOrdinateur Bureau Standard est lié à l'unité d'organisation Locations/NomOrdinateur.! Configurer le filtrage de sécurité! Emplacement : Locations/NomOrdinateur! Lien objet de stratégie de groupe : NomOrdinateur Bureau Standard! Filtrage de sécurité : Supprimer tout le filtrage des groupes de sécurité Ajouter le groupe Tout le monde! Désactiver un lien d'objet Stratégie de groupe! Emplacement : Locations/NomOrdinateur! Lien objet de stratégie de groupe : NomOrdinateur Bureau Standard! Éditer un objet Stratégie de groupe Objet de stratégie de groupe : NomOrdinateur Bureau Standard! Supprimer Exécuter du menu Démarrer! Emplacement : Configuration utilisateur/modèles d'administration/menu Démarrer et Barre des tâches! Paramètres de stratégie de groupe : Supprimer le menu Exécuter du menu Démarrer! Option : Activé! Désactiver l'accès au Panneau de configuration! Emplacement : Configuration utilisateur/modèles d'administration/panneau de configuration! Paramètres de stratégie de groupe : Empêcher l'accès au Panneau de configuration! Option : Activé! Masquer l'icône Favoris réseau sur le bureau! Emplacement : Configuration utilisateur/modèles d'administration/bureau! Paramètres de stratégie de groupe : Cacher l'icône Favoris réseau sur le bureau! Option : Activé

10 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe! Supprimer les connexions réseau du menu Démarrer! Emplacement : Configuration utilisateur/modèles d'administration/menu Démarrer et Barre des tâches! Paramètres de stratégie de groupe : Supprimer les Connexions réseau du menu Démarrer! Option : Activé! Activer/Supprimer «Connecter un lecteur réseau» et «Déconnecter un lecteur réseau»! Emplacement : Configuration utilisateur/modèles d'administration/ Composants Windows/Explorateur Windows! Paramètres de stratégie de groupe : Supprimer les options «Connecter un lecteur réseau» et «Déconnecter un lecteur réseau»! Option : Activé! Activer un lien d'objet Stratégie de groupe! Emplacement : Locations/NomOrdinateur! Lien objet de stratégie de groupe : NomOrdinateur Bureau Standard! Créer un compte d'utilisateur 1. Créez un compte d'utilisateur (si celui-ci n'existe pas encore) avec les propriétés suivantes : Prénom : NomOrdinateur Nom : Test Nom d'ouverture de session de l'utilisateur : NomOrdinateurTest Mot de passe : P@ssw0rd Unité d'organisation : Locations/NomOrdinateur/Users 2. Fermez la session.! Ouvrir une session 1. Ouvrez une session en tant que NomOrdinateurTest avec le mot de passe P@ssw0rd. 2. Vérifiez que les conditions suivantes sont satisfaites : Le menu Exécuter a été supprimé du menu Démarrer. Le Panneau de configuration a été supprimé du menu Démarrer. L'icône Favoris réseau est masquée sur le Bureau. Connexions réseau a été supprimé du menu Démarrer. Les options Connecter un lecteur réseau et Déconnecter un lecteur réseau ont été supprimées de l'explorateur Windows. 3. Fermez la session.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 11 Leçon : Attribution de scripts avec la stratégie de groupe *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Objectifs de la leçon Vous pouvez utiliser une stratégie de groupe pour déployer des scripts sur des ordinateurs et à l'attention d'utilisateurs. Un script est un fichier batch ou un script Microsoft Visual Basic qui peut exécuter du code ou effectuer des tâches d'administration. Vous pouvez utiliser des paramètres de script de stratégie de groupe pour automatiser l'exécution des scripts. Les paramètres de script sont disponibles sous Configuration ordinateur et Configuration utilisateur dans la stratégie de groupe. Vous pouvez utiliser une stratégie de groupe pour exécuter des scripts au démarrage et à l'arrêt d'un ordinateur et à l'ouverture et la fermeture d'une session. Comme avec tous les paramètres de stratégie de groupe, vous ne configurez un paramètre de script de stratégie de groupe qu'une seule fois. Windows Server 2003 l'implémente ensuite systématiquement et l'applique à l'échelle du réseau. À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :! expliquer ce que sont les paramètres de script de stratégie de groupe ;! attribuer des scripts avec la stratégie de groupe.

12 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Que sont les paramètres de script de stratégie de groupe? *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Avantages des paramètres de script de stratégie de groupe Vous pouvez utiliser les paramètres de script de stratégie de groupe pour configurer l'exécution automatique des scripts depuis un emplacement au démarrage et à l'arrêt de l'ordinateur et à l'ouverture et la fermeture d'une session. Vous pouvez spécifier n'importe quel script qui s'exécute sur Windows Server 2003, notamment des fichiers batch, des programmes exécutables et des scripts pris en charge par Windows Script Host (WSH). Pour vous aider à administrer et configurer les environnements utilisateur, vous pouvez effectuer les tâches suivantes :! Exécuter des scripts qui exécutent les tâches que vous ne pouvez pas effectuer avec d'autres paramètres de stratégie de groupe. Par exemple, vous pouvez renseigner des environnements utilisateur avec des connexions réseau, des connexions d'imprimante, des raccourcis vers les applications et des documents d'entreprise.! Nettoyer les Bureaux à la fermeture d'une session et à l'arrêt des ordinateurs. Vous pouvez supprimer des connexions ajoutées avec des scripts d'ouverture de session ou de démarrage de façon à ce que l'état de l'ordinateur soit le même qu'au démarrage.! Exécuter des scripts préexistants préconfigurés pour administrer les environnements utilisateur jusqu'à ce que vous définissiez d'autres paramètres de stratégie de groupe qui les remplacent. Remarque Dans Utilisateurs et ordinateurs Active Directory, vous pouvez attribuer des scripts d'ouverture de session à chaque compte d'utilisateur figurant dans la boîte de dialogue Propriétés. Toutefois, l'utilisation d'une stratégie de groupe est la méthode d'exécution de scripts préférée car elle vous permet d'administrer ces scripts depuis un emplacement centralisé, de même que les scripts de démarrage, d'arrêt et de fermeture de session.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 13 Lectures complémentaires D'autres informations sur les scripts sont disponibles au TechNet Script Center à l'adresse http://www.microsoft.com/technet/treeview/default.asp?url=/ technet/scriptcenter/default.asp (en anglais).

14 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Procédure d'attribution des scripts avec une stratégie de groupe *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Procédure Pour implémenter un script, utilisez la stratégie de groupe pour ajouter ce script au paramètre approprié dans le modèle de stratégie de groupe. Ce paramètre indique que le script sera exécuté au démarrage, à l'arrêt et à la fermeture de session. Pour ajouter un script à un objet Stratégie de groupe : 1. Dans la console Gestion des stratégies de groupe, modifiez un objet Stratégie de groupe. 2. Dans l'arborescence de la console de l'éditeur d'objets de stratégie de groupe, allez à Configuration utilisateur/paramètres Windows/Scripts (ouverture de session/fermeture de session). 3. Dans le volet d'informations, double-cliquez sur Ouverture de session. 4. Dans la boîte de dialogue Propriétés de Ouverture de session, cliquez sur Ajouter. 5. Dans la boîte de dialogue Ajout d'un Script, configurez les paramètres suivants à utiliser, puis cliquez sur OK : Nom du script. Tapez le chemin d'accès du script ou cliquez sur Parcourir pour rechercher le fichier du script sur le partage Netlogon du contrôleur de domaine. Paramètres de scripts. Tapez tous les paramètres que vous souhaitez utiliser exactement comme vous l'avez fait sur la ligne de commande.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 15 6. Dans la boîte de dialogue Propriétés de Ouverture de session, configurer les paramètres suivants à utiliser : Ouverture de session scripts pour. Cette zone affiche tous les scripts actuellement attribués à l'objet Stratégie de groupe sélectionné. Si vous attribuez plusieurs scripts, ceux-ci sont traités dans l'ordre spécifié. Pour déplacer un script dans la liste, cliquez dessus, puis cliquez sur Monter ou Descendre. Ajouter. Cliquez sur Ajouter pour indiquer tout script supplémentaire à utiliser. Modifier. Cliquez sur Modifier pour modifier des informations du script, comme son nom et ses paramètres. Supprimer. Cliquez sur Supprimer pour supprimer le script sélectionné de la liste Ouverture de session scripts pour. Afficher les fichiers. Cliquez sur Afficher les fichiers pour afficher les fichiers de script stockés dans l'objet Stratégie de groupe sélectionné. Remarque Les scripts d'ouverture de session sont exécutés dans le contexte du compte d'utilisateur et non dans le contexte du compte administrateur.

16 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Application pratique : Attribution de scripts avec la stratégie de groupe *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Objectif Instructions Dans cette application pratique, vous allez attribuer des scripts à l'aide d'une stratégie de groupe. Avant de commencer cette application pratique :! Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurAdmin. Remarque Cette application pratique porte sur les concepts évoqués dans cette leçon. Elle risque, en conséquence, de ne pas être conforme aux recommandations de sécurité énoncées par Microsoft. Par exemple, cet exercice n'est pas conforme à la recommandation selon laquelle les utilisateurs ouvrent une session avec un compte d'utilisateur de domaine et utilisent la commande Exécuter en tant que lors des tâches d'administration. Lorsque vous utilisez l'explorateur Windows, vous ne pouvez pas recourir à la commande Exécuter en tant que.! Ouvrez CustomMMC.! Vérifiez que CustomMMC contient les composants logiciels enfichables suivants : Utilisateurs et ordinateurs Active Directory Gestion des stratégies de groupe! Passez en revue les procédures de cette leçon qui décrivent la façon d'effectuer cette tâche. Scénario Northwind Traders souhaite que le lecteur S sur les ordinateurs de tout le personnel soit connecté à un dossier partagé appelé NomOrdinateur Public sur votre serveur membre. Vous devez lier un objet Stratégie de groupe nommé NomOrdinateur Logon Script à l'unité d'organisation IT Test/NomOrdinateur. Vous devez ensuite tester le script d'ouverture de session.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 17 Application pratique! Créer un dossier partagé sur votre ordinateur! Chemin du dossier : D:\NomOrdinateur Public! Nom du dossier partagé : NomOrdinateur Public! Autorisations : Les administrateurs ont un contrôle total ; les autres utilisateurs ont accès en lecture et en écriture! Créer et relier un objet de stratégie de groupe! Emplacement : IT Test/NomOrdinateur! Nom d'objet de stratégie de groupe : NomOrdinateur Logon Script! Éditer un objet de stratégie de groupe Objet de stratégie de groupe : NomOrdinateur Logon Script! Configurer un paramètre de stratégie de groupe pour un script d'ouverture de session! Emplacement : Configuration utilisateur/paramètres Windows/Scripts (ouverture/fermeture de session)! Paramètres de stratégie de groupe : Ouverture de session! Options : 1. Dans la boîte de dialogue des Propriétés de Ouverture de session, cliquez sur Afficher les fichiers. 2. Dans l'explorateur Windows, cliquez sur Options des dossiers dans le menu Outils. 3. Dans la boîte de dialogue Options des dossiers, dans l'onglet Affichage, désélectionnez la case à cocher Masquer les extensions des fichiers dont le type est connu sous Paramètres avancés, puis cliquez sur OK. 4. Dans l'explorateur Windows, pointez sur Nouveau dans le menu Fichier, puis cliquez sur Document texte. 5. Remplacez le nom du fichier Nouveau document texte.txt par Logon.vbs. 6. Dans la boîte de message, cliquez sur Oui. 7. Cliquez avec le bouton droit sur Logon.vbs, puis cliquez sur Modifier. 8. Dans la boîte de dialogue Téléchargement de fichier, cliquez sur Ouvrir. 9. Dans le Bloc-notes Microsoft, tapez les instructions suivantes : Set objnetwork = Wscript.CreateObject("WScript.Network") objnetwork.mapnetworkdrive "S:","\\NomOrdinateur\NomOrdinateur Public" msgbox "Votre script a fonctionné!!!!!" 10. Dans le menu Fichier, cliquez sur Enregistrer. 11. Fermez le Bloc-notes, puis l'explorateur Windows. 12. Dans la boîte de dialogue Propriétés de Ouverture de session, cliquez sur Ajouter. 13. Dans la boîte de dialogue Ajout d'un script, cliquez sur Parcourir. 14. Dans la boîte de dialogue Parcourir, cliquez sur logon.vbs, puis sur Ouvrir.

18 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 15. Dans la boîte de dialogue Ajout d'un Script, cliquez sur OK. 16. Dans la boîte de dialogue Propriétés de Ouverture de session, cliquez sur OK. 17. Fermez toutes les fenêtres et fermez la session.! Créer un compte d'utilisateur 1. Créez un compte d'utilisateur (si le compte d'utilisateur n'existe pas déjà) avec les propriétés suivants : " Prénom : NomOrdinateur " Nom : ScriptTest " Nom d'ouverture de session de l'utilisateur : NomOrdinateurScriptTest " Mot de passe : P@ssw0rd " Unité d'organisation : IT Test/NomOrdinateur 2. Fermez votre session.! Tester le script d'ouverture de session 1. Ouvrez une session en tant que NomOrdinateurScriptTest avec le mot de passe P@ssw0rd. 2. Dans la boîte de message Votre script a fonctionné!!!!!, cliquez sur OK. 3. Fermez toutes les fenêtres et fermez la session.! Supprimer un lien d'objet Stratégie de groupe " Emplacement : IT Test/NomOrdinateur " Objet de stratégie de groupe : NomOrdinateur Logon Script " Action : Supprimer le lien d'objet Stratégie de groupe

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 19 Leçon : Configuration de la redirection de dossiers *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Windows Server 2003 vous permet de rediriger des dossiers appartenant au profil utilisateur du disque dur local de l'utilisateur vers un emplacement central sur un serveur. En redirigeant ces dossiers, vous vous assurez que les données des utilisateurs sont stockées à un emplacement central et leur sont accessibles quel que soit l'ordinateur sur lequel ils ouvrent une session. La fonction Redirection de dossiers facilite l'administration et la sauvegarde des données centralisées. Les dossiers que vous pouvez rediriger sont les suivants : Mes documents, Application Data, Bureau et Menu Démarrer. Windows Server 2003 crée automatiquement ces dossiers et les intègre au profil utilisateur de chaque compte d'utilisateur. Objectifs de la leçon À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : " expliquer ce qu'est la redirection de dossiers ; " identifier les dossiers qui peuvent être redirigés ; " déterminer les paramètres requis pour configurer la redirection de dossiers ; " expliquer les considérations en matière de sécurité pour la configuration de la redirection des dossiers ; " configurer la redirection de dossiers.

20 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Qu'est-ce que la redirection de dossiers? *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Avantages de la redirection de dossiers Lorsque vous redirigez des dossiers, vous remplacez l'emplacement où ils résident sur le disque dur de l'ordinateur de l'utilisateur par un dossier partagé sur un serveur de fichiers réseau. Après avoir redirigé un dossier vers un serveur de fichiers, celui-ci reste visible à l'utilisateur comme s'il résidait toujours sur son disque dur local. Vous pouvez rediriger quatre dossiers appartenant au profil utilisateur : Mes documents, Application Data, Bureau et Menu Démarrer. En stockant des données sur le réseau, les utilisateurs bénéficient d'une plus grande disponibilité et de la sauvegarde fréquente de leur données. La redirection de dossiers présente les avantages suivants : " Les données contenues dans les dossiers sont accessibles à l'utilisateur quel que soit l'ordinateur sur lequel il ouvre une session. " Les données contenues dans les dossiers sont stockées à un emplacement centralisé de sorte que les fichiers soient plus faciles à gérer et sauvegarder. " Les fichiers qui se trouvent dans les dossiers redirigés, contrairement à ceux qui appartiennent à un profil utilisateur itinérant, ne sont pas copiés et enregistrés sur l'ordinateur sur lequel l'utilisateur ouvre une session. En d'autres termes, lorsqu'un utilisateur ouvre une session sur un ordinateur client, aucun espace de stockage n'est destiné à ces fichiers et les données confidentielles éventuelles ne sont pas conservées sur cet ordinateur. " Les données stockées dans un dossier réseau partagé peuvent être sauvegardées dans le cadre de l'administration système de routine. Cette procédure est plus sure car elle n'implique aucune intervention de l'utilisateur.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 21 " En tant qu'administrateur, vous pouvez utiliser la stratégie de groupe pour définir des quotas de disque, restreignant ainsi la quantité d'espace occupée par les dossiers spéciaux des utilisateurs. " Les données appartenant à un utilisateur particulier peuvent être redirigées vers un autre disque de l'ordinateur local de l'utilisateur plutôt que sur celui comprenant les fichiers du système d'exploitation. Les données de l'utilisateur sont ainsi protégées si le système d'exploitation doit être réinstallé.

22 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Dossiers pouvant être redirigés *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Dossiers redirigés Vous pouvez rediriger les dossiers Mes documents, Application Data, Bureau et Menu Démarrer. Il est recommandé de rediriger ces dossiers pour protéger les données et les paramètres importants de l'utilisateur. La redirection de chacun de ces dossiers présente plusieurs avantages, variables selon les besoins de l'organisation. La fonction Redirection de dossiers permet de rediriger l'un des dossiers suivants dans un profil utilisateur : " Mes documents " La redirection du dossier Mes documents est particulièrement utile car ce dossier a tendance à prendre du volume au fil du temps. " La technologie des fichiers hors connexion permet aux utilisateurs d'accéder au dossier Mes documents sans être connectés au réseau. Cette fonction est particulièrement utile pour les utilisateurs d'ordinateurs portables. " Application Data " Un paramètre de stratégie de groupe détermine le comportement des données d'application lorsque vous activez la mise en cache côté client. Ce paramètre synchronise les données d'application centralisées sur un serveur avec l'ordinateur local. Ainsi, l'utilisateur peut travailler en ligne ou hors connexion. Toute modification des données d'application est synchronisée sur le client et sur le serveur. " Bureau " Vous pouvez rediriger le dossier Bureau et tous les fichiers, raccourcis et dossiers qu'il contient vers un serveur centralisé. " Menu Démarrer " La redirection du Menu Démarrer entraîne celle de ses sous-dossiers.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 23 Paramètres requis pour la configuration de la redirection de dossiers *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Redirection de dossiers de base Trois paramètres s'appliquent à la redirection de dossiers : Non configuré, De base et Avancé. La redirection de dossiers de base est destinée aux utilisateurs qui doivent rediriger leurs dossiers vers une zone commune ou qui souhaitent garantir la confidentialité de leurs données. Vous avez le choix entre les options de redirection de dossiers de base suivantes : " Rediriger vers l'emplacement suivant Tous les utilisateurs qui redirigent leurs dossiers vers un emplacement commun peuvent voir ou utiliser les données les uns des autres dans le dossier redirigé. Pour cela, cliquez sur le paramètre De base, puis renseignez l'option Emplacement du dossier cible par Rediriger vers l'emplacement suivant. Appliquez ce paramètre à tous les dossiers redirigés contenant des données non confidentielles. Par exemple, vous pouvez rediriger le dossier Mes documents pour le personnel du service Compte client partageant les mêmes données. " Créer un dossier pour chaque utilisateur sous le chemin d'accès racine Pour les utilisateurs souhaitant garantir la confidentialité de leurs dossiers redirigés, choisissez le paramètre De base, puis renseignez l'option Emplacement du dossier cible par Créer un dossier pour chaque utilisateur sous le chemin d'accès racine. Utilisez cette option pour les utilisateurs qui doivent garantir la confidentialité de leurs données, comme les responsables de la gestion des données personnelles relatives aux employés.

24 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Redirection de dossiers avancée Lorsque vous sélectionnez l'option Avancé Spécifier les emplacements pour des groupes utilisateurs variés, les dossiers sont redirigés vers différents emplacements selon le groupe de sécurité auquel appartiennent les utilisateurs. Vous avez le choix entre les options de redirection de dossiers avancées suivantes : " Adhésion au groupe de sécurité. Indique les utilisateurs à l'attention desquels vous voulez déployer les dossiers redirigés. " Emplacement du dossier cible. Vous avez le choix entre les options suivantes : Créer un dossier pour chaque utilisateur sous le chemin d'accès racine. Sélectionnez cette option pour les données confidentielles. Rediriger vers l'emplacement suivant. Sélectionnez cette option pour les données partagées. Rediriger vers l'emplacement du profil utilisateur local. Sélectionnez cette option pour les utilisateurs qui utilisent une combinaison d'ordinateurs clients hérités optimisés et non optimisés pour Active Directory. " Chemin d'accès racine. Dans cette zone, indiquez le nom du serveur et du dossier partagé vers lesquels vous voulez rediriger les dossiers.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 25 Considérations en matière de sécurité pour la configuration de la redirection des dossiers *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction La fonction de redirection de dossiers peut créer automatiquement des dossiers, option qu'il est recommandé d'utiliser. Ainsi, les autorisations appropriées sont automatiquement configurées. Il n'est généralement pas nécessaire de connaître les autorisations. En revanche, si vous créez des dossiers manuellement, vous devez les connaître. Les tableaux ci-dessous indiquent les autorisations à définir pour la redirection de dossiers. Remarque Bien que cela ne soit pas recommandé, les administrateurs peuvent créer les dossiers redirigés avant que la fonction de Redirection de dossiers ne le fasse. Autorisations NTFS requises pour le dossier racine Définissez les autorisations NTFS suivantes pour le dossier racine. Compte d'utilisateur Paramètres par défaut de redirection de dossiers Autorisations minimum requises Créateur-Propriétaire Contrôle total, ce sousdossier, sous-dossier et fichiers Contrôle total, ce sousdossier, sous-dossier et fichiers Administrateurs Aucune autorisation Aucune autorisation Tout le monde Aucune autorisation Aucune autorisation Système local Contrôle total, ce sousdossier, sous-dossier et fichiers Contrôle total, ce sousdossier, sous-dossier et fichiers

26 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe (suite) Compte d'utilisateur Groupe de sécurité des utilisateurs qui doivent placer des données sur le serveur partagé du réseau Paramètres par défaut de redirection de dossiers Sans objet Autorisations minimum requises Liste du dossier/lecture de données, Création de dossiers/ajout de données Ce dossier seulement Autorisations des dossiers partagés requises pour le dossier racine Définissez les autorisations des dossiers partagés suivantes pour le dossier racine. Compte d'utilisateur Paramètres par défaut de redirection de dossiers Autorisations minimum requises Tout le monde Contrôle total Aucune autorisation (utiliser le groupe de sécurité) Groupe de sécurité des utilisateurs qui doivent placer des données sur le serveur partagé du réseau Sans objet Contrôle total Autorisations NTFS requises pour chaque dossier redirigé de l'utilisateur Définissez les autorisations NTFS suivantes pour chaque dossier redirigé de l'utilisateur. Compte d'utilisateur Paramètres par défaut de redirection de dossiers Autorisations minimum requises Nom de l'utilisateur Contrôle total, propriétaire du dossier Contrôle total, propriétaire du dossier Système local Contrôle total Contrôle total Administrateurs Aucune autorisation Aucune autorisation Tout le monde Aucune autorisation Aucune autorisation Remarque Lorsque les dossiers hors connexion sont synchronisés sur le réseau, les données sont transférées au format texte brut. Elles risquent alors d'être interceptées par des outils de surveillance réseau. Lectures complémentaires Pour plus d'informations sur la redirection des dossiers, reportez-vous à l'article «Best practices for Folder Redirection» à l'adresse http://www.microsoft.com/ technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/prod docs/server/sag_sp_bestprac_foldred.asp (en anglais).

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 27 Procédure de configuration de la redirection de dossiers *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Procédure Vous configurez les paramètres de redirection de dossiers à l'aide de l'éditeur d'objets de stratégie de groupe. Pour configurer la redirection de dossiers 1. Dans la console Gestion des stratégies de groupe, modifiez ou créez un objet Stratégie de groupe. 2. Dans l'arborescence de la console de l'éditeur d'objets de stratégie de groupe, développez Configuration utilisateur, Paramètres Windows, puis Redirection de dossiers. Les icônes représentant les quatre dossiers qui peuvent être redirigés s'affichent. 3. Cliquez avec le bouton droit sur le dossier à rediriger (par exemple, Mes Documents), puis cliquez sur Propriétés. 4. Dans la boîte de dialogue Propriétés, dans l'onglet Cible, cliquez sur l'une des options suivantes dans le zone Paramètre : De base Rediriger les dossiers de tout le monde vers le même emplacement. Tous les dossiers affectés par cet objet Stratégie de groupe sont stockés dans le même dossier réseau partagé. Avancé Spécifier les emplacements pour des groupes utilisateurs variés. Les dossiers sont redirigés vers différents dossiers réseau partagés selon l'appartenance de l'utilisateur à un groupe de sécurité. Par exemple, les dossiers appartenant à des utilisateurs membres du groupe Comptabilité sont redirigés vers le serveur Comptabilité, tandis que les dossiers appartenant à des utilisateurs membres du groupe Marketing sont redirigés vers le serveur Marketing.

28 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 5. Si vous avez choisi l'option Avancé Spécifier les emplacements pour des groupes utilisateurs variés, cliquez sur Ajouter dans la boîte de dialogue Propriétés. 6. Dans la boîte de dialogue Spécifier le groupe et l'emplacement, affectez le groupe désiré à la zone Adhésion au groupe de sécurité. 7. Sous Emplacement du dossier cible, dans la zone Chemin d'accès de la racine, tapez le nom du dossier réseau partagé à utiliser ou cliquez sur Parcourir pour le rechercher. 8. Dans l'onglet Paramètres, configurez les options à utiliser, puis cliquez sur OK. Les options suivantes sont disponibles : Accorder à l'utilisateur des droits exclusifs sur Mes documents. Règle le descripteur de sécurité NTFS du dossier unique des noms d'utilisateurs sur Contrôle total pour l'utilisateur et le système local seulement. Ainsi, les administrateurs et autres utilisateurs n'ont pas de droits d'accès au dossier. Cette option est active par défaut. Déplacer le contenu de Mes documents vers le nouvel emplacement. Déplace tout document de l'utilisateur dans le dossier local Mes documents vers le dossier réseau partagé. Cette option est active par défaut. Conserver le dossier dans le nouvel emplacement lorsque la stratégie sera supprimée. Indique de conserver les fichiers dans le nouvel emplacement si l'objet Stratégie de groupe ne s'applique plus. Cette option est active par défaut. Rediriger le dossier vers l'emplacement du profil utilisateur local lorsque la stratégie sera supprimée. Indique que le dossier est redéplacé vers l'emplacement du profil local si l'objet Stratégie de groupe ne s'applique plus. La boîte de dialogue des propriétés du dossier Mes documents comprend les options supplémentaires suivantes pour le dossier Mes images : Faire de Mes images un sous-dossier de Mes documents. Lorsque le dossier Mes documents est redirigé, le dossier Mes images est conservé en tant que sous-dossier de Mes documents. Cette option est active par défaut. Ne spécifier aucune stratégie d'administration pour Mes images. La stratégie de groupe ne contrôle pas l'emplacement du dossier Mes images. L'emplacement de ce dossier est déterminé par le profil utilisateur. Remarque Vous devriez laisser le système d'exploitation créer le répertoire et la sécurité de la redirection de dossiers. Ne créez pas manuellement le répertoire défini par nom d'utilisateur. La fonction de redirection de dossiers définit les autorisations appropriées sur le dossier. Si vous choisissez de créer manuellement les dossiers de chaque utilisateur, veillez à définir correctement les autorisations.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 29 Application pratique : Configuration de la redirection de dossiers *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Objectif Instructions Dans cette application pratique, vous allez configurer la redirection de dossiers. Avant de commencer cette application pratique : " Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser. " Ouvrez CustomMMC à l'aide de la commande Exécuter en tant que. " Utilisez le compte d'utilisateur Nwtraders\NomOrdinateurAdmin (Exemple : LondonAdmin). " Vérifiez que CustomMMC contient les composants logiciels enfichables suivants : Utilisateurs et ordinateurs Active Directory Gestion des stratégies de groupe Gestion de l'ordinateur (Local) " Passez en revue les procédures de cette leçon qui décrivent la façon d'effectuer cette tâche. Scénario Northwind Traders met en place un environnement de test afin de tester la redirection du dossier Mes documents de chaque ville au sein de l'organisation. Vous devez créer un dossier nommé D:\UserDataTest et le partager sous le nom UserDataTest$ sur votre serveur NomOrdinateur. Vous devez également créer un objet Stratégie de groupe lié à l'unité d'organisation IT Test/NomOrdinateur appelé NomOrdinateur Redirection des dossiers Test. Cet objet Stratégie de groupe doit rediriger le dossier Mes documents vers \\NomOrdinateur\UserDataTest$. N'accordez pas aux utilisateurs de droits exclusifs sur le dossier redirigé afin que les administrateurs puissent voir les documents éventuels qui y sont ajoutés.

30 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Application pratique! Créer un dossier partagé " Chemin du dossier : D:\ " Nom : UserDataTest " Nom du partage : UserDataTest$ " Autorisations des dossiers partagés : Utilisateurs authentifiés = Contrôle total " Autorisations NTFS : Par défaut! Créer un compte d'utilisateur pour le test (s'il n'existe pas déjà) " Unité d'organisation : Locations/NomOrdinateur " Prénom : NomOrdinateur " Nom : Test " Nom d'ouverture de session de l'utilisateur : NomOrdinateurTest " Mot de passe : P@ssw0rd! Lier un objet Stratégie de groupe " Unité d'organisation : Locations/NomOrdinateur " Nom d'objet de stratégie de groupe : NomOrdinateur Redirection des dossiers " Filtrage de sécurité : Utilisateurs authentifiés! Éditer un objet de stratégie de groupe " Objet de stratégie de groupe : NomOrdinateur Redirection des dossiers! Configurer la redirection de dossiers " Emplacement : /Configuration utilisateur/paramètres Windows/Redirection de dossiers " Paramètres de stratégie de groupe : Mes documents " Options : Paramètre du dossier de destination : De base Redirige les dossiers de tout le monde vers le même emplacement Emplacement du dossier cible : Créer un dossier pour chaque utilisateur sous le chemin d'accès racine Chemin d'accès de la racine : \\NomOrdinateur\UserDataTest$ Paramètres de redirection : Désélectionnez la case Accorder à l'utilisateur des droits exclusifs sur Mes documents. Suppression de stratégie : Rediriger le dossier vers l'emplacement du profil utilisateur local lorsque la stratégie sera supprimée Préférences du dossier Mes images : Faire de Mes images un sous-dossier de Mes documents

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 31! Tester la redirection du dossier Mes documents 1. Fermez la session. 2. Ouvrez une session en tant que NomOrdinateurTest avec le mot de passe P@ssw0rd. 3. Dans le message, cliquez sur OK. 4. Cliquez sur Démarrer. 5. Cliquez avec le bouton droit de la souris sur Mes documents, puis cliquez sur Propriétés. 6. Dans la boîte de dialogue des propriétés de Mes documents, vérifiez que la zone Cible est renseignée comme suit : \\NomOrdinateur\UserDataTest$\NomOrdinateurTest\Mes Documents 7. Cliquez sur OK. 8. Cliquez sur Démarrer, puis sur Mes documents. 9. Dans Mes documents, pointez sur Nouveau dans le menu Fichier, puis cliquez sur Document texte. 10. Fermez toutes les fenêtres et fermez la session.! Tester les autorisations des dossiers redirigés 1. Ouvrez une session en tant que NomOrdinateurAdmin avec le mot de passe P@ssw0rd. 2. Allez à : D:\UserDataTest. 3. Dans D:\UserDataTest\NomOrdinateurTest, double-cliquez sur Documents de NomOrdinateurTest. 4. Dans D:\UserDataTest\NomOrdinateurTest\Documents de NomOrdinateurTest, vérifiez que le fichier Nouveau Document texte.txt a bien été créé. 5. Fermez toutes les fenêtres et fermez la session.

32 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Leçon : Détermination des objets de stratégie de groupe appliqués *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Objectifs de la leçon La stratégie de groupe est le principal outil d'administration permettant de définir et de contrôler le comportement des programmes, des systèmes d'exploitation et des ressources réseau au sein d'une organisation. Dans un environnement Active Directory, la stratégie de groupe est appliquée aux utilisateurs ou aux ordinateurs en fonction de leur appartenance aux sites, aux domaines ou aux unités d'organisation. À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : " expliquer ce qu'est gpupdate ; " expliquer ce qu'est gpresult ; " expliquer ce qu'est un rapport sur la stratégie de groupe ; " utiliser la fonction de rapport sur la stratégie de groupe ; " expliquer ce qu'est la modélisation d'une stratégie de groupe ; " utiliser la fonction de modélisation de la stratégie de groupe ; " expliquer les résultats d'une stratégie de groupe ; " utiliser les résultats de la stratégie de groupe.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 33 Qu'est-ce que Gpupdate? *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Exemples d'utilisation de gpupdate Gpupdate est un utilitaire de ligne de commande qui actualise les paramètres de la stratégie de groupe locale et ceux stockés dans Active Directory, y compris les paramètres de sécurité. Les paramètres de sécurité sont par défaut actualisés toutes les 90 minutes sur un poste de travail ou un serveur, et toutes les cinq minutes sur un contrôleur de domaine. Vous pouvez exécuter gpupdate pour tester ou forcer l'application d'un paramètre de stratégie de groupe. Les exemples suivants décrivent les utilisations possibles de la commande gpupdate : " C:\gpupdate " C:\gpupdate /target:computer " C:\gpupdate /force /wait:100 " C:\gpupdate /boot

34 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Paramètres de gpupdate Gpupdate comprend les paramètres suivants. Valeur /Target:{Computer User} /Force /Wait:{Valeur} /Logoff /Boot /Sync Description Indique que seuls les paramètres de stratégie de l'utilisateur ou de l'ordinateur sont actualisés. Par défaut, les paramètres de stratégie de l'utilisateur et de l'ordinateur sont actualisés. Applique de nouveau tous les paramètres de stratégie. Par défaut, seuls les paramètres de stratégie qui ont été modifiés sont réappliqués. Définit l'intervalle d'attente en secondes avant la fin du traitement de la stratégie. Ce paramètre est de 600 secondes par défaut. La valeur «0» indique un intervalle d'attente nul. La valeur «-1» indique un intervalle d'attente indéfini. Entraîne la fermeture de la session une fois les paramètres de stratégie de groupe actualisés. Ce paramètre est obligatoire pour les modules d'extension Stratégie de groupe côté client qui ne traitent pas les paramètres de stratégie pendant l'exécution d'un cycle d'actualisation en arrière-plan mais les traitent en fait à l'ouverture d'une session. Par exemple, l'installation du logiciel ciblé sur l'utilisateur et la redirection de dossiers. Cette option n'a aucune incidence si aucun module d'extension impliquant une fermeture de session n'est appelé. Entraîne le redémarrage de l'ordinateur une fois les paramètres de stratégie de groupe actualisés. Ce paramètre est obligatoire pour les modules d'extension Stratégie de groupe côté client qui ne traitent pas les paramètres de stratégie pendant l'exécution d'un cycle d'actualisation en arrière-plan mais les traitent en fait au démarrage de l'ordinateur. Par exemple, l'installation du logiciel ciblé sur un ordinateur. Cette option n'a aucune incidence si zaucun module d'extension impliquant le redémarrage de l'ordinateur n'est appelé. Entraîne l'application synchronisée du paramètre de stratégie d'avant-plan. Les paramètres de stratégie d'avant-plan sont appliqués au démarrage de l'ordinateur et à une ouverture de session. Vous pouvez définir ces paramètres pour l'utilisateur, l'ordinateur ou les deux à l'aide du paramètre /Target. Les paramètres /Force et /Wait sont ignorés.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 35 Qu'est-ce que Gpresult? *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Exemples d'utilisation de gpresult Étant donné que vous pouvez appliquer des niveaux de paramètres de stratégie qui se chevauchent sur n'importe quel ordinateur ou utilisateur, la stratégie de groupe génère un jeu de stratégies résultant à l'ouverture de session. Gpresult affiche le jeu de stratégies résultant appliqué sur l'ordinateur à l'ouverture de session de l'utilisateur spécifié. La commande gpresult affiche les paramètres de stratégie de groupe et les données du jeu de stratégies résultant (RSoP) d'un utilisateur ou d'un ordinateur. Vous pouvez l'utiliser pour afficher le paramètre de stratégie en vigueur et dépanner les incidents. " Les exemples suivants décrivent les utilisations possibles de la commande gpresult : " C:\gpresult /user targetusername /scope computer " C:\gpresult /s srvmain /u maindom\hiropln /p p@ssw23 /user targetusername /scope USER " C:\gpresult /s srvmain /u maindom\hiropln /p p@ssw23 /user targetusername /z >policy.txt " C:\gpresult /s srvmain /u maindom\hiropln /p p@ssw23

36 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Paramètres de gpresult Gpresult comprend les paramètres suivants : Valeur Description /s Ordinateur Indique le nom ou l'adresse IP d'un ordinateur distant. N'utilisez pas de barres obliques inverses. L'ordinateur local est défini par défaut. /u Domaine\Utilisateur Exécute la commande avec les autorisations du compte de l'utilisateur spécifié par le paramètre Utilisateur ou Domaine\Utilisateur. Les autorisations appliquées par défaut sont celles de l'utilisateur dont une session est actuellement ouverte sur l'ordinateur qui a émis la commande. /p Mot de passe Indique le mot de passe du compte d'utilisateur spécifié par le paramètre /u. /user Nom d'utilisateur cible /scope {user computer} Indique le nom de l'utilisateur dont les données RSoP doivent être affichées. Affiche les paramètres de stratégies de l'utilisateur ou de l'ordinateur. Les valeurs correctes du paramètre /scope sont user ou computer. Si vous omettez le paramètre /scope, gpresult affiche les paramètres de stratégie de l'utilisateur et de l'ordinateur. /v Indique que la sortie affichera de nombreuses informations sur la stratégie. /z Indique que la sortie affichera toutes les informations disponibles sur la stratégie de groupe. Ce paramètre générant davantage d'informations que le paramètre /v, redirigez la sortie vers un fichier texte lorsque vous utilisez ce paramètre (par exemple, vous pouvez taper gpresult / z>policy.txt). /? Affiche l'aide dans la fenêtre d'invite de commandes.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 37 Application pratique : Utilisation de Gpupdate et Gpresult *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Objectif Instructions Dans cette application pratique, vous allez utiliser gpupdate et gpresult pour tester les paramètres de stratégie sur votre ordinateur local. Avant de commencer cette application pratique : " Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser. " Ouvrez CustomMMC à l'aide de la commande Exécuter en tant que. Utilisez le compte d'utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin). " Vérifiez que CustomMMC contient Gestion des stratégies de groupe. " Ouvrez une Invite de commandes à l'aide de la commande Exécuter en tant que. A partir de Exécuter, tapez runas/user:nwtraders\nomordinateuradmin cmd et cliquez sur OK. Lorsque vous êtes invité à entrer le mot de passe, tapez P@ssw0rd et appuyez sur ENTRÉE. " Assurez-vous qu'un compte d'utilisateur nommé NomOrdinateurTest a bien été créé. " Passez en revue les procédures de cette leçon qui décrivent la façon d'effectuer cette tâche. Scénario Gpupdate sans commutateur Vous testez certains paramètres de stratégie de groupe sur votre ordinateur local. Vous ne voulez pas attendre l'écoulement de l'intervalle d'actualisation pour afficher la stratégie de groupe mise à jour. Vous devez donc exécuter la commande gpupdate.! Utiliser gpupdate sans commutateur À l'invite de commandes, tapez gpupdate

38 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe! Utiliser gpupdate avec le commutateur /force À l'invite de commandes, tapez gpupdate /force. Si vous êtes invité à fermer la session, tapez N et appuyez sur ENTRÉE. Scénario Gpresult sans commutateur Vous devez utiliser gpresult pour afficher les paramètres de stratégie de groupe en vigueur sur votre serveur afin de pouvoir dépanner les incidents sur les ordinateurs distants.! Utiliser gpresult sans commutateur 1. À l'invite de commandes, tapez gpresult 2. Faites défiler la fenêtre d'invite pour afficher le résultat de l'application des paramètres de stratégie de groupe à votre ordinateur.! Utiliser gpresult avec le commutateur /scope 1. À l'invite de commandes, tapez gpresult /scope computer 2. Faites défiler la fenêtre d'invite pour afficher le résultat de l'application des paramètres de stratégie de groupe à votre ordinateur. 3. À l'invite de commandes, tapez gpresult /scope user 4. Faites défiler la fenêtre d'invite pour afficher le résultat de l'application des paramètres de stratégie de groupe à votre ordinateur.! Envoyer les données gpresult vers un fichier texte avec le commutateur /z 1. À l'invite de commandes, tapez gpresult /z >gp.txt 2. À l'invite de commandes, tapez notepad gp.txt 3. Dans le Bloc-notes, faites défiler les résultats, puis fermez le programme. Scénario Test des paramètres de stratégie de groupe Votre patron veut que vous testiez un paramètre de stratégie de groupe. Ce paramètre supprime l'option Rechercher du menu Démarrer et ne s'applique qu'à votre ordinateur local. Lorsque vous avez terminé, votre patron veut générer un rapport afin de vérifier que les modifications ont été correctement effectuées.! Ouvrir une session en tant que NomOrdinateurTest et exécuter CustomMMC 1. Ouvrez une session en tant que NomOrdinateurTest avec le mot de passe P@ssw0rd. 2. Ouvrez C:\MOC\CustomMMC à l'aide de la commande Exécuter en tant queen utilisant le compte d'utilisateur nwtraders\nomordinateuradmin. 3. Tapez votre mot de passe, puis cliquez sur OK.! Créer et relier un objet de stratégie de groupe " Emplacement : Locations/NomOrdinateur " Nom d'objet de stratégie de groupe : NomOrdinateur gpresult

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 39! Éditer un objet de stratégie de groupe Objet de stratégie de groupe : NomOrdinateur gpresult! Supprimer le menu Rechercher des propriétés du menu Démarrer " Emplacement : Configuration utilisateur/modèles d'administration/menu Démarrer et Barre des tâches " Paramètres de stratégie de groupe : Supprimer le menu Rechercher du menu Démarrer " Option : Activé! Vérifier que le paramètre de stratégie de groupe a bien été appliqué 1. À l'invite de commandes, tapez gpresult /z >1.txt 2. À l'invite de commandes, tapez notepad 1.txt 3. Dans le menu Edition du Bloc-notes, cliquez sur Rechercher. 4. Dans la zone Rechercher de la boîte de dialogue Rechercher, tapez NomOrdinateur gpresult, puis cliquez sur Suivant. 5. Dans le Bloc-notes, vérifiez que le message Impossible de trouver «NomOrdinateur gpresult» s'affiche, puis cliquez sur OK. 6. Dans la boîte de dialogue Rechercher, cliquez sur Annuler, puis fermez Bloc-notes. 7. À l'invite de commandes, tapez gpupdate! Vérifier de nouveau que le paramètre de stratégie de groupe a bien été appliqué 1. À l'invite de commandes, tapez gpresult /z >2.txt 2. À l'invite de commandes, tapez notepad 2.txt 3. Dans le menu Edition du Bloc-notes, cliquez sur Rechercher. 4. Dans la zone Rechercher de la boîte de dialogue Rechercher, tapez NomOrdinateur gpresult, puis cliquez sur Suivant. 5. Dans le Bloc-notes, vérifiez que NomOrdinateur gpresult est mis en évidence sous Objets Stratégie de groupe appliqués. 6. Dans la boîte de dialogue Rechercher, cliquez sur Suivant. 7. Dans le Bloc-notes, vérifiez que NomOrdinateur gpresult est mis en évidence sous Modèles d'administration. 8. Dans la boîte de dialogue Rechercher, cliquez sur Annuler, puis fermez Bloc-notes. 9. Fermez toutes les fenêtres et fermez la session.

40 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Description d'un rapport de stratégie de groupe *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Définition Onglet Paramètres Un administrateur système peut apporter des centaines de modifications à un objet de stratégie de groupe. Pour vérifier les modifications apportées à un objet de stratégie de groupe sans avoir à l'ouvrir et à développer tous les dossiers, vous pouvez générer un rapport Hypertext Markup Language (HTML) répertoriant les éléments de l'objet de stratégie de groupe qui sont configurés. L'onglet Paramètres du volet d'informations d'un objet de stratégie de groupe ou d'un lien d'objet de stratégie de groupe dans Gestion des stratégies de groupe comporte un rapport HTML qui contient tous les paramètres définis dans l'objet de stratégie de groupe. Tous les utilisateurs disposant d'un accès en lecture à l'objet de stratégie de groupe peuvent générer ce rapport. En outre, un menu contextuel vous permet d'imprimer les rapports ou de les enregistrer dans un fichier HTML ou Extensible Markup Language (XML).

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 41 Utilisation des rapports de stratégie de groupe *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Procédure Utilisez la procédure suivante pour déterminer les paramètres Stratégie de groupe appliqués en utilisant un rapport de stratégie de groupe. Pour utiliser un rapport de stratégie de groupe : 1. Dans l'arborescence de la console Gestion des stratégies de groupe, cliquez sur l'objet de stratégie de groupe pour lequel vous voulez générer un rapport. Vous devez développer la forêt, le domaine et le nom de domaine afin de localiser l'objet de stratégie de groupe. 2. Dans le volet d'informations, cliquez sur Paramètres.

42 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Application pratique : Utilisation d'un rapport de stratégie de groupe *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Objectif Instructions Dans cette application pratique, vous allez utiliser des rapports de stratégie de groupe afin de vérifier les modifications apportées à des objets de stratégie de groupe. Avant de commencer cette application pratique : " Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser. " Ouvrez CustomMMC à l'aide de la commande Exécuter en tant que. " Utilisez le compte d'utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin). " Vérifiez que CustomMMC contient Gestion des stratégies de groupe. " Passez en revue les procédures de cette leçon qui décrivent la façon d'effectuer cette tâche. Scénario Application pratique Vous êtes chargé de documenter les paramètres de stratégie de groupe de l'objet de stratégie de groupe Stratégie de domaine par défaut.! Afficher le rapport de stratégie de domaine par défaut " Dans l'arborescence de la console Gestion des stratégies de groupe, développez Objets de stratégie de groupe. 1. Cliquez sur Default Domain Policy. 2. Dans le volet d'informations, cliquez sur Paramètres. 3. Dans la zone Internet Explorer, cliquez sur Fermer.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 43 4. Vérifiez les paramètres de stratégie de groupe de la stratégie de domaine par défaut. 5. Cliquez avec le bouton droit n'importe où dans le rapport, puis cliquez sur Enregistrer le rapport. 6. Dans la boîte de dialogue Enregistrer le rapport sur les objets GPO, cliquez sur Enregistrer.

44 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Description de la modélisation de stratégie de groupe *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Configuration requise Windows Server 2003 permet de simuler le déploiement d'un objet de stratégie de groupe appliqué aux utilisateurs et aux ordinateurs avant de déployer proprement dit l'objet. La simulation crée un rapport qui prend en compte l'unité d'organisation de l'utilisateur et celle de l'ordinateur, de l'appartenance à un groupe ou le filtrage Windows Management Instrumentation (WMI). Il tient compte également des problèmes ou conflits d'héritage de stratégie de groupe. Pour pouvoir utiliser la modélisation de stratégie de groupe, un contrôleur de domaine Windows Server 2003 doit exister dans la forêt. Ceci s'explique par le fait que la simulation est réalisée par un service présent uniquement sur les contrôleurs de domaine Windows Server 2003.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 45 Résultats de la modélisation de stratégie de groupe Pour effectuer une requête de modélisation de stratégie de groupe, vous devez utiliser l'assistant Modélisation de stratégie de groupe. Une fois que l'utilisateur a fourni toutes les informations nécessaires à l'assistant Modélisation de stratégie de groupe, un nouveau nœud apparaît dans l'arborescence de la console Gestion des stratégies de groupe, sous Modélisation de stratégie de groupe, et affiche les résultats. L'onglet Contenu du volet d'informations de la modélisation de stratégie de groupe contient le résumé de toutes les requêtes de modélisation de stratégie de groupe que l'utilisateur a effectuées. La gestion de stratégie de groupe donne les informations suivantes pour chaque requête : " Nom. Il s'agit du nom fourni par l'utilisateur pour les résultats de modélisation. " Utilisateur. Il s'agit de l'objet utilisateur (ou de l'unité d'organisation dans laquelle se trouve l'objet utilisateur) sur lequel la requête de modélisation est basée. " Ordinateur. Il s'agit de l'objet ordinateur (ou de l'unité d'organisation dans laquelle se trouve l'objet ordinateur) sur lequel la requête de modélisation est basée. " Date de dernière actualisation. Il s'agit de l'heure de la dernière actualisation de la requête de modélisation. Pour chaque requête, le volet d'informations du nœud contient les trois onglets suivants : " Résumé. Cet onglet contient le rapport HTML des informations résumées, y compris la liste des objets de stratégie de groupe, l'adhésion au groupe de sécurité et les filtres WMI. " Paramètres. Cet onglet contient le rapport HTML des paramètres de stratégie appliqués dans cette simulation. " Requête. Cet onglet répertorie les paramètres utilisés pour générer la requête.

46 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Utilisation de la modélisation de stratégie de groupe *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Procédure Pour déterminer les paramètres de stratégie de groupe appliqués, utilisez l'assistant Modélisation de Stratégie de groupe. Cet Assistant permet de simuler les résultats de l'application d'un nouvel objet de stratégie de groupe avant de l'appliquer véritablement. Pour utiliser la Modélisation de stratégie de groupe : 1. Dans l'arborescence de la console Gestion des stratégies de groupe, doublecliquez sur la forêt dans laquelle vous voulez créer une requête de Modélisation de stratégie de groupe, cliquez avec le bouton droit sur Modélisation de stratégie de groupe, puis cliquez sur Assistant Modélisation de stratégie de groupe. 2. Dans l'assistant Modélisation de stratégie de groupe, cliquez sur Suivant et entrez les informations suivantes : Si vous voulez modéliser l'effet d'un nouvel objet de stratégie de groupe pour un utilisateur ou un ordinateur, entrez le nom du conteneur de l'utilisateur ou de l'ordinateur. Si vous voulez modéliser l'effet d'un nouvel objet de stratégie de groupe pour un compte d'utilisateur ou d'ordinateur spécifique qui sera migré vers une unité d'organisation différente, entrez le nom de l'utilisateur ou de l'ordinateur. L'Assistant vous demande ensuite la destination de l'utilisateur ou de l'ordinateur. 3. Une fois que vous avez terminé, cliquez sur Terminer.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 47 Application pratique : Utilisation de l'assistant Modélisation de stratégie de groupe *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Objectif Instructions Dans cette application pratique, vous allez utiliser l'assistant Modélisation de stratégie de groupe. Avant de commencer cette application pratique : " Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser. " Ouvrez CustomMMC à l'aide de la commande Exécuter en tant que. " Utilisez le compte d'utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin). " Vérifiez que CustomMMC contient Gestion des stratégies de groupe. " Passez en revue les procédures de cette leçon qui décrivent la façon d'effectuer cette tâche. Scénario Votre responsable a besoin de savoir comment la stratégie de groupe sera appliquée si votre compte d'ordinateur NomOrdinateur est déplacé vers l'unité d'organisation IT Test/NomOrdinateur.

48 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Application pratique! Générer un rapport de modélisation de stratégie de groupe 1. Dans l'arborescence de la console Gestion des stratégies de groupe, cliquez avec le bouton droit sur Modélisation de stratégie de groupe, puis cliquez sur Assistant Modélisation de stratégie de groupe. 2. Dans la page Bienvenue de l'assistant Modélisation de stratégie de groupe, cliquez sur Suivant. 3. Dans la page Sélection du contrôleur de domaine, cliquez sur Suivant. 4. Dans la page Sélection d'ordinateurs et d'utilisateurs, cliquez sur Ordinateur, tapez nwtraders\nomordinateur, puis cliquez sur Suivant. 5. Dans la page Options de simulation avancées, cliquez sur Suivant. 6. Dans la page Autres chemins d'accès Active Directory, dans la zone Emplacement de l'ordinateur, tapez OU=NomOrdinateur,OU=IT Test,DC=nwtraders,DC=msft puis cliquez sur Suivant. 7. Dans la page Groupe de sécurité ordinateur, cliquez sur Suivant. 8. Dans la page Filtres WMI pour ordinateurs, cliquez sur Suivant. 9. Dans la page Aperçu des sélections, cliquez sur Suivant. 10. Cliquez sur Terminer. 11. Dans la zone Internet Explorer, cliquez sur Fermer.! Afficher le rapport de modélisation de stratégie de groupe 1. Dans l'onglet Résumé, parcourez le rapport. 2. Dans le volet d'informations NomOrdinateur, cliquez sur l'onglet Paramètres. 3. Dans la zone Internet Explorer, cliquez sur Fermer. 4. Lisez le rapport. 5. Cliquez sur l'onglet Requête. 6. Lisez le rapport.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 49 Description des résultats de la stratégie de groupe *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Configuration requise Les données présentées dans les résultats de la stratégie de groupe sont similaires aux données de modélisation de stratégie de groupe. Toutefois, à la différence des données de modélisation de stratégie de groupe, ces données ne correspondent pas à une simulation. Il s'agit des données RSoP réelles obtenues de l'ordinateur cible. Par défaut, cet accès est donné à tous les utilisateurs sur Microsoft Windows XP, mais pas aux utilisateurs sur Windows Server 2003. Contrairement à la modélisation de stratégie de groupe, les données des résultats de la stratégie de groupe sont obtenues auprès du client et ne sont pas simulées sur le contrôleur de domaine. Techniquement, il n'est pas nécessaire que la forêt contienne un contrôleur de domaine Windows Server 2003 pour accéder aux résultats de la stratégie de groupe. Cependant, il faut que le client exécute Windows XP ou Windows Server 2003. Il n'est pas possible d'obtenir les résultats d'une stratégie de groupe d'un client qui exécute Microsoft Windows 2000. Remarque Par défaut, seuls les utilisateurs disposant de privilèges d'administration locale sur l'ordinateur cible peuvent accéder à distance aux résultats de la stratégie de groupe. Pour pouvoir collecter ces données, l'utilisateur qui effectue la requête doit pouvoir afficher à distance le journal des événements. Résultats de la stratégie de groupe Chaque requête de résultats de stratégie de groupe est représentée par un nœud dans le conteneur des résultats de la stratégie de groupe dans l'arborescence de la console Gestion des stratégies de groupe. Le volet d'informations de chaque nœud contient les trois onglets suivants : " Résumé. Cet onglet contient le rapport HTML des informations résumées, y compris la liste des objets de stratégie de groupe, l'adhésion au groupe de sécurité et les filtres WMI.

50 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe " Paramètres. Cet onglet contient un rapport HTML des paramètres de stratégie appliqués. " Événements de stratégie. Cet onglet indique tous les événements associés à la stratégie de l'ordinateur cible.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 51 Utilisation des résultats de la stratégie de groupe *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Procédure Suivez la procédure ci-dessous pour utiliser les résultats de la stratégie de groupe. Pour utiliser les résultats de la stratégie de groupe : 1. Dans l'arborescence de la console Gestion des stratégies de groupe, doublecliquez sur la forêt dans laquelle vous voulez créer une requête de résultats de stratégie de groupe, cliquez avec le bouton droit sur Résultats de stratégie de groupe, puis cliquez sur Assistant Résultats de stratégie de groupe. 2. Dans l'assistant Résultats de stratégie de groupe, cliquez sur Suivant et tapez les informations appropriées. 3. Une fois que vous avez terminé, cliquez sur Terminer.

52 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Application pratique : Utilisation de l'assistant Résultats de stratégie de groupe *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Introduction Instructions Dans cette application pratique, vous allez vérifier que les paramètres de stratégie ont été mis à jour, à l'aide de l'assistant Résultats de stratégie de groupe. Avant de commencer cette application pratique : " Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser. " Ouvrez CustomMMC à l'aide de la commande Exécuter en tant que. " Utilisez le compte d'utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin). " Vérifiez que CustomMMC contient Gestion des stratégies de groupe. " Passez en revue les procédures de cette leçon qui décrivent la façon d'effectuer cette tâche. Scénario Vous voulez vérifier que les paramètres de stratégie sont mis à jour sur l'ordinateur des stagiaires. Vous voulez examiner le paramètre de stratégie d'ordinateur appliqué à votre ordinateur avec le compte NomOrdinateurAdmin.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 53 Application pratique! Générer un rapport de résultats de stratégie de groupe 1. Dans Gestion des stratégies de groupe, cliquez avec le bouton droit sur Résultats de stratégie de groupe, puis cliquez sur Assistant Résultats de stratégie de groupe. 2. Dans la page Bienvenue de l'assistant Résultats de stratégie de groupe, cliquez sur Suivant. 3. Dans la page Sélection des ordinateurs, cliquez sur Suivant. 4. Dans la page Sélection de l'utilisateur, cliquez sur Utilisateur spécifique, cliquez sur NWTRADERS\NomOrdinateurAdmin, puis cliquez sur Suivant. 5. Dans la page Aperçu des sélections, cliquez sur Suivant. Si un message apparaît à propos d'autorisations insuffisantes, cliquez sur Fermer. 6. Dans la page Fin de l'assistant Résultats de stratégie de groupe, cliquez sur Terminer. 7. Dans la boîte de dialogue Internet Explorer, cliquez sur Fermer.! Afficher un rapport de résultats de stratégie de groupe 1. Dans l'onglet Résumé, parcourez le rapport. 2. Dans l'onglet Événements de stratégie, double-cliquez sur Source. 3. Faites défiler l'écran jusqu'à la source SceCli. 4. Double-cliquez sur le premier événement avec la source SceCli. 5. Dans la boîte de dialogue Propriétés de l'événement, notez la date et l'heure auxquelles le paramètre de stratégie de sécurité a été appliqué avec succès. 6. Cliquez sur la touche fléchée vers le bas pour voir l'événement suivant, notez la date et l'heure auxquelles le paramètre de stratégie de sécurité a été appliqué avec succès, puis cliquez sur OK.

54 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Atelier A : Utilisation de rapports de stratégie de groupe *********************DOCUMENT A L USAGE EXCLUSIF DE L INSTRUCTEUR******************** Objectifs À la fin de cet atelier, vous serez à même d'effectuer les tâches suivantes : " créer et appliquer des objets de stratégie de groupe ; " créer un rapport en utilisant l'assistant Modélisation de stratégie de groupe ; " vérifier que les paramètres de stratégie ont été appliqués, à l'aide de l'assistant Résultats de stratégie de groupe. Instructions Avant de commencer cet atelier : " Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser. " Ouvrez CustomMMC à l'aide de la commande Exécuter en tant que. Utilisez le compte d'utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin). " Vérifiez que CustomMMC contient les composants logiciels enfichables suivants : Utilisateurs et ordinateurs Active Directory Gestion de l'ordinateur (Local) Gestion des stratégies de groupe " Vérifiez que vous disposez des unités d'organisation Laptops et Desktops dans l'unité d'organisation Locations/NomOrdinateur/Computers.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 55 Scénario Durée approximative de cet atelier : 50 minutes Northwind Traders a fini de tester les objets de stratégie de groupe et doit configurer plusieurs objets de stratégie de groupe qui affecteront de nombreux utilisateurs et ordinateurs dans votre ville. Vous devez créer et appliquer des objets de stratégie de groupe en utilisant toutes les propriétés des tableaux ci-dessous. Après avoir configuré tous les objets de stratégie de groupe, vous devez créer des rapports pour montrer que les groupes appropriés ne sont pas affectés par certains paramètres de stratégie et que les paramètres de stratégie appropriés sont appliqués.

56 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Exercice 1 Création d'un objet de stratégie de groupe pour des ordinateurs de bureau standard Dans cet exercice, vous allez créer un objet de stratégie de groupe. Scénario Northwind Traders a fini de tester un objet de stratégie de groupe permettant au personnel du département de Marketing d'utiliser un bureau standard. Créez un objet de stratégie de groupe ayant les propriétés suivantes. Propriétés 1. Créer un objet de stratégie de groupe. 2. Créer un lien d'objet de stratégie de groupe. 3. Définir le filtrage de sécurité. Instructions spéciales " Nom d'objet de stratégie de groupe : NomOrdinateur Bureau standard 2 " Emplacement : Locations/NomOrdinateur " Nom d'objet de stratégie de groupe : NomOrdinateur Bureau standard 2 " Emplacement : Locations/NomOrdinateur " Objet de stratégie de groupe : NomOrdinateur Bureau standard 2 " Filtrage de sécurité : Supprimez les Utilisateurs authentifiés. Ajoutez le groupe G NWTraders Marketing Personnel. Refusez l'autorisation d'appliquer la stratégie de groupe au groupe G NWTraders Marketing Managers.

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 57 (suite) Propriétés 4. Affecter la valeur Activé aux paramètres de stratégie de groupe suivants. Instructions spéciales " Objet de stratégie de groupe : NomOrdinateur Bureau standard 2 " Paramètre d'emplacement de la stratégie de groupe : Configuration utilisateur/modèles d'administration/composants Windows/Compatibilité des applications/empêcher l'accès aux applications 16 bits " Paramètre d'emplacement de la stratégie de groupe : Configuration utilisateur/modèles d'administration/composants Windows/Explorateur Windows/Supprimer le bouton Rechercher de l'explorateur Windows " Paramètre d'emplacement de la stratégie de groupe : Configuration utilisateur/modèles d'administration/composants Windows/ Explorateur Windows/Supprimer l'onglet Matériel " Paramètre d'emplacement de la stratégie de groupe : Configuration utilisateur/modèles d'administration/menu Démarrer et Barre des tâches/supprimer les liens et l'accès à Windows Update " Paramètre d'emplacement de la stratégie de groupe : Configuration utilisateur/modèles d'administration/menu Démarrer et Barre des tâches/supprimer les Connexions réseau du menu Démarrer " Paramètre d'emplacement de la stratégie de groupe : Configuration utilisateur/modèles d'administration/menu Démarrer et Barre des tâches/supprimer le menu Exécuter du menu Démarrer

58 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Exercice 2 Création d'un objet de stratégie de groupe pour rediriger les dossiers Dans cet exercice, vous allez définir des refus d'autorisations pour tous les employés saisonniers de Northwind Traders afin qu'ils ne reçoivent pas l'objet de stratégie de groupe NomOrdinateur Redirection des dossiers. Scénario Northwind Traders a fini de tester un objet de stratégie de groupe pour la rediriger les dossiers. Vous devez créer un objet de stratégie de groupe qui redirige les dossiers du personnel du service de comptabilité uniquement. Tâches 1. Créer un objet de stratégie de groupe. 2. Créer un lien d'objet de stratégie de groupe. 3. Définir le filtrage de sécurité. Instructions spéciales " Nom d'objet de stratégie de groupe : NomOrdinateur Redirection de dossiers de comptabilité " Emplacement : Locations/NomOrdinateur/Users " Nom d'objet de stratégie de groupe : NomOrdinateur Redirection de dossiers de comptabilité " Emplacement : Locations/NomOrdinateur " Objet de stratégie de groupe : NomOrdinateur Redirection de dossiers de comptabilité " Filtrage de sécurité : Supprimez les Utilisateurs authentifiés. Ajoutez DL NWTraders Accounting Personnel Full Control. 4. Créer un dossier partagé. " Chemin d'accès au dossier : D:\Données de comptabilité " Nom du partage : Données de comptabilité$ " Autorisations : Accordez l'autorisation Contrôle total à DL NWTraders Accounting Personnel Full Control

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 59 (suite) Tâches 5. Définir les paramètres de stratégie de groupe. Instructions spéciales " Emplacement : Locations/NomOrdinateur/Users " Objet de stratégie de groupe : NomOrdinateur Redirection de dossiers de comptabilité " Emplacement du paramètre de stratégie de groupe : Configuration utilisateur/paramètres Windows/Redirection des dossiers/mes Documents " Options : Paramètre de la cible : De base Rediriger les dossiers de tout le monde vers le même emplacement Emplacement du dossier cible : Créez un dossier pour chaque utilisateur dans le chemin d'accès racine Chemin d'accès de la racine : \\NomOrdinateur\Données de comptabilité$ Paramètres de redirection : Accordez à l'utilisateur des droits exclusifs sur Mes Documents Redirigez le dossier vers l'emplacement du profil utilisateur local lorsque la stratégie sera supprimée

60 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Exercice 3 Création d'un objet de stratégie de groupe pour les ordinateurs portables Dans cet exercice, vous allez configurer un objet de stratégie de groupe pour les ordinateurs portables. Scénario Northwind Traders a fini de tester un objet de stratégie de groupe pour les ordinateurs portables. Créez un objet de stratégie de groupe avec les propriétés suivantes qui seront appliquées à tous les ordinateurs portables. Tâches 1. Créer un objet de stratégie de groupe. 2. Créer un lien d'objet de stratégie de groupe. 3. Affecter la valeur Activé aux paramètres de stratégie de groupe suivants. Instructions spéciales " Nom d'objet de stratégie de groupe : NomOrdinateur Configuration pour ordinateur portable " Emplacement : Locations/NomOrdinateur/Computers/Laptops " Nom d'objet de stratégie de groupe : NomOrdinateur Configuration pour ordinateur portable " Objet de stratégie de groupe : NomOrdinateur Configuration pour ordinateur portable " Emplacement du paramètre de stratégie de groupe : Configuration utilisateur/modèles d'administration/système/gestion de l'alimentation/demander le mot de passe lors de la reprise à partir de la mise en veille prolongée / suspension " Emplacement du paramètre de stratégie de groupe : Configuration utilisateur/modèles d'administration/réseau/fichiers hors connexion/synchroniser tous les fichiers hors connexion lors de l'ouverture de session " Emplacement du paramètre de stratégie de groupe : Configuration utilisateur/modèles d'administration/réseau/fichiers hors connexion/synchroniser tous les fichiers hors connexion avant de terminer la session

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 61 Exercice 4 Création d'un objet de stratégie de groupe pour les ordinateurs de bureau Dans cet exercice, vous allez configurer un objet de stratégie de groupe pour les ordinateurs de bureau. Scénario Northwind Traders a fini de tester un objet de stratégie de groupe pour les ordinateurs de bureau. Créez un objet de stratégie de groupe avec les propriétés suivantes qui seront appliquées à tous les ordinateurs de bureau. Tâches 1. Créer un objet de stratégie de groupe. 2. Créer un lien d'objet de stratégie de groupe. 3. Affecter la valeur Activé aux paramètres de stratégie de groupe suivants. Instructions spéciales " Nom d'objet de stratégie de groupe : NomOrdinateur Configuration pour ordinateur de bureau " Emplacement : Locations/NomOrdinateur/Computers/Desktops " Nom d'objet de stratégie de groupe : NomOrdinateur Configuration pour ordinateur de bureau " Objet de stratégie de groupe : NomOrdinateur Configuration pour ordinateur de bureau " Paramètre d'emplacement de la stratégie de groupe : Configuration utilisateur/modèles d'administration/réseau/fichiers hors connexion/empêcher l'utilisation de dossiers de fichiers hors connexion

62 Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe Exercice 5 Génération d'un rapport de modélisation de stratégie de groupe Dans cet exercice, vous allez générer deux rapports de modélisation de stratégie de groupe. Vous allez générer un rapport pour les responsables du service de comptabilité qui dispose d'ordinateurs portables, et un autre pour le personnel du service comptabilité qui utilise des ordinateurs de bureau. Nom du rapport 1. Créer un rapport de modélisation de stratégie de groupe pour les ordinateurs portables. 2. Créer un rapport de modélisation de stratégie de groupe pour les ordinateurs de bureau. Instructions spéciales " Conteneur utilisateur : OU=Users,OU=NomOrdinateur,OU=Locations,DC=nwtraders, DC=msft " Conteneur ordinateur : OU=Laptops,OU=Computers,OU=NomOrdinateur,OU=Locations, DC=nwtraders,DC=msft " Groupes de sécurité utilisateur : Utilisateurs authentifiés, Tout le monde, NWTRADERS\G NWTraders Accounting Managers " Conteneur utilisateur : OU=Users,OU=NomOrdinateur,OU=Locations,DC=nwtraders, DC=msft " Conteneur ordinateur : OU=Desktops,OU=Computers,OU=NomOrdinateur,OU=Locations, DC=nwtraders,DC=msft " Groupes de sécurité utilisateur : Utilisateurs authentifiés, Tout le monde, NWTRADERS\G NWTraders Accounting Personnel

Module 9 : Administration de l'environnement utilisateur au moyen de la stratégie de groupe 63 Exercice 6 Génération d'un rapport de résultats de la stratégie de groupe Dans cet exercice, vous allez générer un rapport de résultats de stratégie de groupe afin de voir les paramètres de stratégie ayant été appliqués au compte nwtraders\administrator sur le serveur Glasgow. Tâche 1. Créer un rapport de résultats de stratégie de groupe. 2. Afficher un rapport de résultats de stratégie de groupe. Instructions spéciales " Sélection des ordinateurs : Glasgow " Sélection des utilisateurs : NWTRADERS\administrateur " Déterminez la dernière actualisation des paramètres de stratégie.

THIS PAGE INTENTIONALLY LEFT BLANK