Guide d utilisation de Microsoft Advanced Group Policy Management 3.0 Microsoft Corporation Publication : octobre 2008 Résumé Ce guide comporte des instructions pas à pas pour l exécution de tâches à l aide de Microsoft Gestion avancée des stratégies de groupe (AGPM) 3.0. Il comprend toutes les informations de l Aide d AGPM.
Copyright Les informations contenues dans ce document, y compris les URL et autres références à des sites Web Internet, peuvent faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, organisations, produits, noms de domaines, adresses électroniques, logos, personnes, lieux ou événements mentionnés dans les exemples sont fictifs. Toute ressemblance avec des entreprises, organisations, produits, noms de domaines, adresses électroniques, logos, personnes, lieux ou événements réels est purement fortuite et involontaire. L'utilisateur est tenu de respecter la réglementation relative aux droits d'auteur applicable dans son pays. Sans restriction des droits dérivés des droits d'auteur, aucune partie de ce document ne peut être reproduite, stockée ou introduite dans un système de restitution, ou transmise sous quelque forme, par quelque moyen (électronique, mécanique, photocopie, enregistrement ou autre) ou à quelque fin que ce soit sans la permission expresse et écrite de Microsoft Corporation. Microsoft peut détenir des brevets, avoir déposé des demandes d'enregistrement de brevets ou être titulaire de marques, droits d'auteur ou autres droits de propriété intellectuelle portant sur tout ou partie des éléments qui font l'objet du présent document. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d"auteur ou autres droits de propriété intellectuelle. 2008 Microsoft Corporation. Tous droits réservés. Microsoft, Windows et Windows Server sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation, aux États-Unis d'amérique et/ou dans d'autres pays. Toutes les autres marques sont la propriété de leurs détenteurs respectifs.
Contenu Advanced Group Policy Management 3.0... 11 Vue d'ensemble d'advanced Group Policy Management... 12 Développement d'objet de stratégie de groupe avec contrôle des modifications... 12 Délégation basée sur les rôles... 12 Délégation dans un environnement comportant plusieurs administrateurs de stratégie de groupe... 13... 13 Liste de vérification : Création, modification et déploiement d'un objet de stratégie de groupe... 13 Exécution de tâches d'administrateur AGPM... 14 Considérations supplémentaires... 15 Configuration de la connexion au serveur AGPM... 16 Configuration de la connexion au serveur AGPM... 16 Considérations supplémentaires... 18... 18 Configuration de la notification par courrier électronique... 18 Considérations supplémentaires... 19... 19 Délégation d'accès au niveau du domaine... 20 Considérations supplémentaires... 20... 21 Délégation d'accès à un objet de stratégie de groupe individuel... 21 Considérations supplémentaires... 22... 22 Délégation d'accès à l'environnement de production... 22 Considérations supplémentaires... 23... 24 Limitation des versions d'objet de stratégie de groupe stockées... 24 Considérations supplémentaires... 25... 25 Configuration de la journalisation et du suivi... 25 Considérations supplémentaires... 26... 26
Configuration de la sécurité de messagerie électronique pour AGPM... 26 Considérations supplémentaires... 28... 28 Gestion du service AGPM... 28 Démarrage et arrêt du service AGPM... 29... 29 Modification du service AGPM... 29... 31 Exécution de tâches d'éditeur... 31 Considérations supplémentaires... 32 Création, contrôle ou importation d'un objet de stratégie de groupe... 32 Demande de contrôle d'un objet de stratégie de groupe non contrôlé... 33 Considérations supplémentaires... 33... 33 Demande de création d'un objet de stratégie de groupe contrôlé... 34 Considérations supplémentaires... 34... 35 Importation d'un objet de stratégie de groupe à partir de l'environnement de production... 35 Considérations supplémentaires... 35... 36 Modification d'un objet de stratégie de groupe... 36 Modification d'un objet de stratégie de groupe hors connexion... 36 Modification d'un objet de stratégie de groupe hors connexion... 37 Considérations supplémentaires... 38... 38 Utilisation d'un environnement test... 39 Considérations supplémentaires... 39... 39 Demande de déploiement d'un objet de stratégie de groupe... 39 Considérations supplémentaires... 40... 40 Étiquetage de la version actuelle d'un objet de stratégie de groupe... 40 Considérations supplémentaires... 41... 41
Modification du nom d'un objet de stratégie de groupe ou d'un modèle... 41 Considérations supplémentaires... 42... 42 Création d'un modèle et définition d'un modèle par défaut... 43 Création d'un modèle... 43 Considérations supplémentaires... 44... 44 Définition d'un modèle par défaut... 44 Considérations supplémentaires... 45... 45 Suppression ou restauration d'un objet de stratégie de groupe... 45 Demande de suppression d'un objet de stratégie de groupe... 46 Considérations supplémentaires... 47... 47 Demande de restauration d'un objet de stratégie de groupe supprimé... 47 Considérations supplémentaires... 48... 48 Exécution de tâches d'approbateur... 48 Considérations supplémentaires... 49 Approbation ou rejet d'un objet de stratégie de groupe en attente... 49 Considérations supplémentaires... 50... 50 Création, contrôle ou importation d'un objet de stratégie de groupe... 50 Contrôle d'un objet de stratégie de groupe non contrôlé... 51 Considérations supplémentaires... 51... 51 Création d'un objet de stratégie de groupe contrôlé... 51 Considérations supplémentaires... 52... 52 Délégation de la gestion d'un objet de stratégie de groupe contrôlé... 53 Considérations supplémentaires... 54... 54 Importation d'un objet de stratégie de groupe à partir de l'environnement de production... 54 Considérations supplémentaires... 55... 55
Archivage d'un objet de stratégie de groupe... 55 Considérations supplémentaires... 56... 56 Déploiement d'un objet de stratégie de groupe... 56 Considérations supplémentaires... 57... 57 Restauration d'une version précédente d'un objet de stratégie de groupe... 57 Considérations supplémentaires... 58... 58 Suppression, restauration ou destruction d'un objet de stratégie de groupe... 58 Suppression d'un objet de stratégie de groupe contrôlé... 58 Considérations supplémentaires... 59... 60 Restauration d'un objet de stratégie de groupe supprimé... 60 Considérations supplémentaires... 60... 61 Destruction d'un objet de stratégie de groupe... 61 Considérations supplémentaires... 61... 61 Exécution de tâches de Réviseur... 62 Considérations supplémentaires... 62 Configuration de la connexion au serveur AGPM... 62 Considérations supplémentaires... 63... 63 Révision des paramètres d'objet de stratégie de groupe... 63 Considérations supplémentaires... 63... 64 Révision de liens d'objet de stratégie de groupe... 64 Révision de liens d'objet de stratégie de groupe... 64 Considérations supplémentaires... 65... 65 Identification des différences entre objets de stratégie de groupe, versions d'objet de stratégie de groupe ou modèles... 65 Identification des différences entre objets de stratégie de groupe, versions d'objet de stratégie de groupe ou modèles... 66 Clé pour les rapports des différences... 67
Considérations supplémentaires... 68... 68 Dépannage d'advanced Group Policy Management... 68 Quels problèmes rencontrez-vous?... 68 Je ne peux pas accéder à une archive... 69 L'état de l'objet de stratégie de groupe varie pour les différents administrateurs de stratégie de groupe... 69 Je ne peux pas modifier la connexion au serveur AGPM... 69 Je ne peux pas modifier le modèle par défaut ni afficher, créer, modifier, renommer, déployer ou supprimer des objets de stratégie de groupe... 70 Je ne peux pas utiliser un nom d'objet de stratégie de groupe particulier... 70 Je ne reçois pas de notifications par courrier électronique AGPM... 70 Je ne peux pas utiliser le port 4600 pour le service AGPM... 71 Le service AGPM ne démarre pas... 71 L'installation des logiciels de stratégie de groupe échoue... 71 Une erreur s'est produite lorsque j'ai restauré l'archive sur un nouveau serveur AGPM. 71 Interface utilisateur : Advanced Group Policy Management... 72 Onglet Contenu... 72... 73 Options de l'onglet Contenu... 73 Section Objets de stratégie de groupe... 73 Section Groupes et utilisateurs... 74 Considérations supplémentaires... 75... 75 Fenêtre Historique... 75 Filtrage d'événements dans la fenêtre Historique... 75 Informations sur les événements... 76 Rapports... 77 Clé pour les rapports des différences... 77... 78 Commandes d'objet de stratégie de groupe contrôlé... 78 Contrôle et historique... 79 Rapports... 79 Modification... 80 Gestion des versions... 80 Divers... 81... 82 Commandes d'objet de stratégie de groupe non contrôlé... 82
Contrôle et historique... 82 Rapports... 83 Divers... 83... 83 Commandes d'objet de stratégie de groupe en attente... 84 Contrôle et historique... 84 Rapports... 85 Divers... 85... 85 Commandes de modèle... 85 Contrôle... 86 Rapports... 86 Gestion des modèles... 87 Divers... 87... 87 Commandes de Corbeille... 88 Rapports... 88 Gestion des versions... 88 Divers... 89... 89 Onglet Délégation de domaine... 89 Configuration d'une notification par courrier électronique... 89 Délégation basée sur les rôles au niveau du domaine... 90 Considérations supplémentaires... 91... 91 Onglet Serveur AGPM... 91 Spécification du serveur AGPM... 91 Suppression d'anciennes versions d'objet de stratégie de groupe... 91... 92 Onglet Délégation de production... 92... 92 Dossier Modèles d'administration... 93... 93 Paramètres de journalisation et de suivi... 93... 94 Paramètres de connexion au serveur AGPM... 94... 94
Paramètres de visibilité de fonctionnalité... 95... 95
Advanced Group Policy Management 3.0 Microsoft Gestion avancée des stratégies de groupe (AGPM) permet d'étendre les fonctionnalités de la console de gestion des stratégies de groupe (GPMC), en fournissant un contrôle des modifications complet et une gestion améliorée pour les Objets de stratégie de groupe. Avec AGPM, vous pouvez : modifier hors connexion des objets de stratégie de groupe, donc les créer et tester avant leur déploiement dans un environnement de production ; conserver plusieurs versions d'un objet de stratégie de groupe dans une archive centrale de façon à pouvoir les restaurer en cas de problème ; partager la responsabilité de la modification, de l'approbation et de la révision des objets de stratégie de groupe entre plusieurs personnes à l'aide d'une délégation basée sur les rôles ; éliminer le danger de plusieurs administrateurs de stratégie de groupe écrasant le travail les uns des autres en utilisant d'une fonctionnalité d'archivage/extraction pour les objets de stratégie de groupe ; analyser les modifications apportées à un objet de stratégie de groupe, en le comparant à un autre objet de stratégie de groupe ou à une autre version du même objet de stratégie de groupe à l'aide de rapports des différences ; simplifier la création d'objets de stratégie de groupe en utilisant des modèles d'objet de stratégie de groupe contenant des paramètres standard utilisables comme points de départ pour la création d'objets de stratégie de groupe. AGPM ajoute un dossier Contrôle des modifications dans chaque domaine affiché dans la GPMC, ainsi qu'un onglet Historique pour chaque objet de stratégie de groupe et lien de stratégie de groupe affiché dans la GPMC. Vue d'ensemble d'advanced Group Policy Management Liste de vérification : Création, modification et déploiement d'un objet de stratégie de groupe Exécution de tâches d'administrateur AGPM Exécution de tâches d'éditeur Exécution de tâches d'approbateur Exécution de tâches de Réviseur Dépannage d'advanced Group Policy Management Interface utilisateur : Advanced Group Policy Management 11
Vue d'ensemble d'advanced Group Policy Management Gestion avancée des stratégies de groupe (AGPM) permet d'étendre les fonctionnalités de la console de gestion des stratégies de groupe (GPMC), en fournissant un contrôle des modifications complet et une gestion améliorée pour les Objets de stratégie de groupe. Développement d'objet de stratégie de groupe avec contrôle des modifications AGPM permet de conserver une copie de chaque objet de stratégie de groupe dans une archive centrale de façon à ce que les administrateurs de stratégie de groupe puissent consulter et modifier les objets de stratégie de groupe hors connexion sans que cela ait un impact immédiat sur leur version déployée. En outre, AGPM conserve une copie de chaque version de chaque objet de stratégie de groupe contrôlé dans l'archive, de sorte que vous pouvez restaurer une version antérieure si nécessaire. Les termes «archiver» et «extraire» sont utilisés de façon assez similaire à leur acception en relation avec une bibliothèque (ou des applications offrant des fonctionnalités de contrôle des modifications, de la version ou du code source pour le développement de programmes). Pour utiliser un livre conservé dans une bibliothèque, vous l'en extrayez. Une fois extrait, personne d'autre ne peut l'utiliser. Lorsque vous avez fini de consulter le livre, vous le réarchivez dans la bibliothèque afin que d'autres puissent l'utiliser. Lors du développement d'objets de stratégie de groupe à l'aide d'agpm : 1. Créez un objet de stratégie de groupe contrôlé ou contrôlez un objet de stratégie de groupe précédemment non contrôlé. 2. Extrayez l'objet de stratégie de groupe de façon à ce que vous seul puissiez le modifier. 3. Modifiez l'objet de stratégie de groupe. 4. Archivez l'objet de stratégie de groupe modifié de façon à permettre à d'autres de le modifier ou le déployer. 5. Révisez les modifications. 6. Déployez l'objet de stratégie de groupe dans l'environnement de production. Délégation basée sur les rôles AGPM offre une fonctionnalité de délégation basée sur les rôles complète et facile à utiliser. Les autorisations au niveau du domaine permettent aux administrateurs AGPM de donner accès à des domaines individuels sans donner accès à d'autres domaines. Une délégation basée sur l'objet de stratégie de groupe permet aux administrateurs AGPM de n'autoriser l'accès qu'à des objets de stratégie de groupe spécifiques. 12
Dans AGPM, il y a des rôles spécialement définis : Administrateur AGPM (contrôle total), Approbateur, Éditeur et Réviseur. Le rôle Administrateur AGPM inclut les autorisations de tous les autres rôles. Par défaut, seuls des approbateurs ont le pouvoir de déployer des objets de stratégie de groupe dans l'environnement de production, en protégeant l'environnement contre des erreurs involontaires d'éditeurs moins expérimentés. Par défaut également, tous les rôles incluent le rôle Réviseur et ont donc la possibilité de consulter des paramètres d'objet de stratégie de groupe dans des rapports. Toutefois, AGPM offre à un Administrateur AGPM la flexibilité nécessaire pour personnaliser l'accès à l'objet de stratégie de groupe en fonction des besoins de votre organisation. Délégation dans un environnement comportant plusieurs administrateurs de stratégie de groupe Dans un environnement où plusieurs personnes apportent des modifications à des objets de stratégie de groupe, un Administrateur AGPM délègue des autorisations à des éditeurs, approbateurs et réviseurs, soit en tant que groupes, soit en tant qu'individus. Pour un processus classique de développement d'objet de stratégie de groupe pour un Éditeur ou un Approbateur, voir Liste de vérification : Création, modification et déploiement d'un objet de stratégie de groupe. Liste de vérification : Création, modification et déploiement d'un objet de stratégie de groupe Exécution de tâches d'administrateur AGPM Exécution de tâches d'éditeur Exécution de tâches d'approbateur Exécution de tâches de Réviseur Dépannage d'advanced Group Policy Management Interface utilisateur : Advanced Group Policy Management Liste de vérification : Création, modification et déploiement d'un objet de stratégie de groupe Dans un environnement où plusieurs personnes apportent des modifications à des Objets de stratégie de groupe à l'aide d'gestion avancée des stratégies de groupe (AGPM), un Administrateur AGPM (contrôle total) délègue des autorisations à des éditeurs, approbateurs et réviseurs, soit en tant que groupes, soit en tant qu'individus. Voici un processus classique de développement d'objet de stratégie de groupe pour un Éditeur ou un Approbateur. 13
Tâche Un Éditeur demande la création d'un objet de stratégie de groupe ou un Approbateur crée un objet de stratégie de groupe. L'Approbateur approuve la création de l'objet de stratégie de groupe si elle a été demandée par un Éditeur. Un Éditeur extrait une copie de l'objet de stratégie de groupe de l'archive, de façon à ce que personne d'autre ne puisse modifier l'objet de stratégie de groupe. Un Éditeur apporte des modifications à l'objet de stratégie de groupe, puis contrôle l'objet de stratégie de groupe modifié dans l'archive. Un Éditeur demande le déploiement de l'objet de stratégie de groupe dans l'environnement de production Des réviseurs, tels que des approbateurs ou des éditeurs analysent l'objet de stratégie de groupe. Un Approbateur approuve et déploie l'objet de stratégie de groupe dans l'environnement de production ou le rejette. Référence Demande de création d'un objet de stratégie de groupe contrôlé Création d'un objet de stratégie de groupe contrôlé Approbation ou rejet d'un objet de stratégie de groupe en attente Modification d'un objet de stratégie de groupe hors connexion Demande de déploiement d'un objet de stratégie de groupe Exécution de tâches de Réviseur Approbation ou rejet d'un objet de stratégie de groupe en attente Exécution de tâches d'administrateur AGPM Un Administrateur AGPM (contrôle total) configure des options pour l'ensemble du domaine et délègue des autorisations aux approbateurs, éditeurs, réviseurs et autres administrateurs AGPM. Par défaut, un Administrateur AGPM est un individu disposant d'un contrôle total (toutes les autorisations Gestion avancée des stratégies de groupe (AGPM)), qui peut donc également exécuter des tâches associées à tout rôle. Dans un environnement dans lequel plusieurs personnes développent des Objets de stratégie de groupe, vous pouvez décider si tous les utilisateurs AGPM exécutent les mêmes tâches et ont le même niveau d'accès ou si les administrateurs AGPM délèguent des autorisations à des éditeurs qui apportent des modifications à des objets de stratégie de groupe et à des approbateurs qui déploient des objets de stratégie de groupe dans l'environnement de production. Les 14
administrateurs AGPM peuvent configurer des autorisations en fonction des besoins de votre organisation. Configuration de la connexion au serveur AGPM Configuration de la notification par courrier électronique Délégation d'accès au niveau du domaine Délégation d'accès à un objet de stratégie de groupe individuel Délégation d'accès à l'environnement de production Limitation des versions d'objet de stratégie de groupe stockées Configuration de la journalisation et du suivi Configuration de la sécurité de messagerie électronique pour AGPM Gestion du service AGPM Démarrage et arrêt du service AGPM Modification du service AGPM De même, comme le rôle Administrateur AGPM inclut les autorisations octroyées à tous les autres rôles, un Administrateur AGPM peut exécuter les tâches normalement associées à tout autre rôle. Exécution de tâches d'approbateur, telles que la création, le déploiement et la suppression d'objets de stratégie de groupe Exécution de tâches d'éditeur, telles que la modification, le changement de nom, l'étiquetage ou l'importation d'objets de stratégie de groupe, la création de modèles ou la définition d'un modèle par défaut Exécution de tâches de Réviseur, telles que la révision de paramètres et la comparaison d'objets de stratégie de groupe Considérations supplémentaires Par défaut, le rôle Administrateur AGPM dispose d'un contrôle total sur toutes les autorisations AGPM : Répertorier le contenu Lire les paramètres Modifier les paramètres Créer un objet de stratégie de groupe Déployer un objet de stratégie de groupe Supprimer un objet de stratégie de groupe Modifier des options Modifier la sécurité Créer un modèle 15
Les autorisations Modifier des options et Modifier la sécurité sont propres au rôle Administrateur AGPM. Configuration de la connexion au serveur AGPM Toutes les versions de chaque Objet de stratégie de groupe contrôlé sont conservées dans une archive centrale de façon à ce que les administrateurs de stratégie de groupe puissent consulter et modifier les objets de stratégie de groupe hors connexion sans que cela ait un impact immédiat sur leur version déployée. Pour exécuter ces procédures de configuration centralisée d'emplacements d'archive pour tous les administrateurs de stratégie de groupe, un compte d'utilisateur auquel est attribué le rôle Administrateur AGPM (contrôle total), le compte d'utilisateur de l'approbateur ayant créé l'objet de stratégie de groupe utilisé dans ces procédures ou un compte d'utilisateur disposant des autorisations nécessaires dans Gestion avancée des stratégies de groupe (AGPM) est requis. Consultez les informations détaillées de la section Considérations supplémentaires de cette rubrique. Configuration de la connexion au serveur AGPM En tant qu'administrateur AGPM, vous pouvez veiller à ce que tous les administrateurs de stratégie de groupe se connectent au même serveur AGPM en configurant le paramètre associé de façon centralisée. Si votre environnement requiert des serveurs AGPM distincts pour une partie ou l'ensemble des domaines, configurez ces serveurs AGPM supplémentaires comme exceptions au paramétrage par défaut. Si vous ne configurez pas de façon centralisée les connexions au serveur AGPM, chaque administrateur de stratégie de groupe doit configurer manuellement le serveur AGPM à afficher pour chaque domaine. Configuration d'un serveur AGPM pour tous les administrateurs de stratégie de groupe Configuration de serveurs AGPM supplémentaires pour tous les administrateurs de stratégie de groupe Configuration manuelle d'un serveur AGPM pour votre compte Configuration d'un serveur AGPM pour tous les administrateurs de stratégie de groupe 1. Dans l'arborescence Console de gestion des stratégies de groupe, modifiez un objet de stratégie de groupe appliqué à tous les administrateurs de stratégie de groupe (pour plus d'informations, voir Modification d'un objet de stratégie de groupe). 2. Dans la fenêtre Éditeur de gestion des stratégies de groupe, cliquez sur Configuration utilisateur, Stratégies, Modèles d'administration, Composants Windows, puis sur AGPM. 3. Dans le volet d'informations, double-cliquez sur AGPM : Spécifier le serveur AGPM par 16
défaut (tous les domaines). 4. Dans la fenêtre Propriétés, sélectionnez la case à cocher Activé, puis tapez le nom complet de l'ordinateur et le port (par exemple, serveur.contoso.com:4600). 5. Cliquez sur OK. Si vous ne voulez pas configurer d'autres connexions au serveur AGPM, fermez la fenêtre Éditeur de gestion des stratégies de groupe, puis déployez l'objet de stratégie de groupe (pour plus d'informations, voir Déploiement d'un objet de stratégie de groupe). Une fois la stratégie de groupe mise à jour, la connexion au serveur AGPM est configurée pour tous les administrateurs de stratégie de groupe. Configuration de serveurs AGPM supplémentaires pour tous les administrateurs de stratégie de groupe 1. Si aucune connexion au serveur AGPM n'a été configurée, suivez la procédure précédente pour configurer un serveur AGPM par défaut pour tous les domaines. 2. Pour configurer des serveurs AGPM distincts pour une partie ou l'ensemble des domaines (remplaçant le serveur AGPM par défaut), dans l'arborescence Console de gestion des stratégies de groupe, modifiez un objet de stratégie de groupe appliqué à tous les administrateurs de stratégie de groupe (pour plus d'informations, voir Modification d'un objet de stratégie de groupe). 3. Dans la fenêtre Éditeur de gestion des stratégies de groupe, cliquez sur Configuration utilisateur, Stratégies, Modèles d'administration, Composants Windows, puis sur AGPM. 4. Dans le volet d'informations, double-cliquez sur AGPM : Spécifier les serveurs AGPM. 5. Dans la fenêtre Propriétés, activez la case à cocher Activé, puis cliquez sur Afficher. 6. Dans la fenêtre Afficher le contenu : a. Cliquez sur Ajouter. b. Dans le champ Nom de la valeur, tapez le nom de domaine (par exemple, serveur1.contoso.com). c. Dans le champ Valeur, tapez le nom de serveur AGPM et le port à utiliser pour ce domaine (par exemple, serveur2.contoso.com:4600), puis cliquez sur OK (par défaut, le service AGPM écoute le port 4600 ; pour utiliser un autre port, voir Modification du service AGPM). d. Répétez l'opération pour chaque domaine n'utilisant pas le serveur AGPM par défaut. 7. Cliquez sur OK pour fermer les fenêtres Afficher le contenu et Propriétés. 8. Fermez la fenêtre Éditeur de gestion des stratégies de groupe (pour plus d'informations, voir Déploiement d'un objet de stratégie de groupe). Une fois la stratégie de groupe mise à jour, les nouvelles connexions au serveur AGPM sont configurées pour tous les administrateurs de stratégie de groupe. Si vous avez configuré de façon centrale la connexion au serveur AGPM, l'option de configuration manuelle de celui-ci est indisponible pour tous les administrateurs de stratégie de groupe. 17
Configuration manuelle du serveur AGPM à afficher pour votre compte 1. Dans l'arborescence de la Console de gestion des stratégies de groupe, cliquez sur Contrôle des modifications dans la forêt et le domaine où vous souhaitez gérer les objets de stratégie de groupe. 2. Dans le volet d'informations, cliquez sur l'onglet Serveur AGPM. 3. Entrez le nom complet de l'ordinateur pour le serveur AGPM qui gère l'archive utilisée pour ce domaine (par exemple, serveur.contoso.com) et le port que le service AGPM doit écouter (par défaut, le port 4600). 4. Cliquez sur Appliquer, puis sur Oui pour confirmer. Considérations supplémentaires Pour pouvoir exécuter les procédures de configuration centrale des connexions au serveur AGPM pour tous les administrateurs de stratégie de groupe, vous devez être en mesure de modifier et de déployer un objet de stratégie de groupe. Pour plus de détails, voir Modification d'un objet de stratégie de groupe et Déploiement d'un objet de stratégie de groupe. Le serveur AGPM sélectionné détermine les objets de stratégie de groupe affichés sous l'onglet Contenu et l'emplacement auquel les paramètres de l'onglet Délégation de domaine sont appliqués. À défaut de gestion centralisée via le modèle d'administration, chaque administrateur de stratégie de groupe doit configurer ce paramètre afin qu'il pointe sur le serveur AGPM pour le domaine. Les membres du groupe Propriétaires créateurs de la stratégie de groupe doivent être limités, afin que ce groupe ne soit pas utilisé pour contourner la gestion AGPM des accès aux objets de stratégie de groupe. (Dans la Console de gestion des stratégies de groupe, cliquez sur Objets de stratégie de groupe dans la forêt et le domaine où vous souhaitez gérer les objets de stratégie de groupe, cliquez sur Délégation, puis configurez les paramètres en fonction des besoins de votre entreprise.) Exécution de tâches d'administrateur AGPM Configuration de la notification par courrier électronique Quand un Éditeur ou un Réviseur tente de créer, déployer ou supprimer un Objet de stratégie de groupe, une demande relative à cette action est envoyée à une ou plusieurs adresses électroniques désignées de façon à ce qu'un Approbateur puisse évaluer la demande et la mettre 18
en œuvre ou la rejeter. Vous déterminez la ou les adresses de messagerie auxquelles des notifications sont envoyées, ainsi que l'alias à partir duquel elles le sont. Pour exécuter cette procédure, un compte d'utilisateur auquel est attribué le rôle Administrateur AGPM (contrôle total) ou les autorisations nécessaires dans Gestion avancée des stratégies de groupe (AGPM) est requis. Consultez les informations détaillées de la section Considérations supplémentaires de cette rubrique. Configuration d'une notification par courrier électronique pour AGPM 1. Dans l'arborescence de la Console de gestion des stratégies de groupe, cliquez sur Contrôle des modifications dans la forêt et le domaine où vous souhaitez gérer les objets de stratégie de groupe. 2. Dans le volet d'informations, cliquez sur l'onglet Délégation de domaine. 3. Dans le champ Adresse de messagerie d'expéditeur, tapez l'alias de messagerie pour AGPM à partir duquel les notifications doivent être envoyées. 4. Dans le champ Adresse du destinataire, tapez une liste délimitée par des virgules d'adresses de messagerie d'approbateurs qui doivent recevoir des demandes d'approbation. 5. Dans le champ Serveur SMTP, tapez un nom de serveur de messagerie SMTP valide. 6. Dans les champs Nom d'utilisateur et Mot de passe, tapez les informations d'identification d'un utilisateur ayant accès au service SMTP. 7. Cliquez sur Appliquer. Considérations supplémentaires Pour exécuter cette procédure, par défaut, vous devez être Administrateur AGPM (contrôle total). Plus précisément, vous devez disposer des autorisations Répertorier le contenu et Modifier les options sur le domaine. La notification par courrier électronique pour AGPM est un paramètre au niveau du domaine. Vous pouvez enter plusieurs adresses de messagerie d'approbateur ou alias de messagerie AGPM sous l'onglet Délégation de domaine de chaque domaine ou utiliser les mêmes adresses de messagerie dans l'ensemble de votre environnement. Par défaut, les messages électroniques envoyés à la suite d'actions dans Gestion avancée des stratégies de groupe (AGPM) ne sont pas chiffrés. Toutefois, vous pouvez configurer une sécurité de messagerie pour AGPM à l'aide de paramètres de Registre pour spécifier s'il faut utiliser un chiffrement SSL et le port SMTP à utiliser. Pour plus d'informations, voir Configuration de la sécurité de messagerie électronique pour AGPM. Exécution de tâches d'administrateur AGPM 19
Délégation d'accès au niveau du domaine Configurez une délégation pour votre environnement, de façon à ce que les administrateurs de stratégie de groupe puissent accéder aux Objets de stratégie de groupe et les contrôler de façon appropriée. Il existe des autorisations de base que vous pouvez appliquer pour rendre le fonctionnement plus efficace. Vous pouvez octroyer des autorisations de toute manière correspondant aux besoins de votre organisation. Pour exécuter cette procédure, un compte d'utilisateur auquel est attribué le rôle Administrateur AGPM (contrôle total) ou les autorisations nécessaires dans Gestion avancée des stratégies de groupe (AGPM) est requis. Consultez les informations détaillées de la section Considérations supplémentaires de cette rubrique. Délégation d'accès de façon à ce que les utilisateurs et les groupes disposent d'autorisations appropriées sur tous les objets de stratégie de groupe dans l'ensemble d'un domaine 1. Dans l'arborescence de la Console de gestion des stratégies de groupe, cliquez sur Contrôle des modifications dans la forêt et le domaine où vous souhaitez gérer les objets de stratégie de groupe. 2. Cliquez sur l'onglet Délégation de domaine, puis configurez l'accès à tous les objets de stratégie de groupe dans le domaine : a. Pour ajouter l'accès d'un utilisateur ou d'un groupe, cliquez sur le bouton Ajouter, sélectionnez l'utilisateur ou le groupe, puis cliquez sur OK. Dans la boîte de dialogue Ajouter un utilisateur ou un groupe, sélectionnez un rôle, puis cliquez sur OK. b. Pour supprimer l'accès d'un utilisateur ou d'un groupe, sélectionnez-le, puis cliquez sur le bouton Supprimer. c. Pour modifier les rôles et les autorisations délégués à un utilisateur ou un groupe, cliquez sur le bouton Avancé. Dans la boîte de dialogue Autorisations, sélectionnez l'utilisateur ou le groupe, activez la case à cocher de chaque rôle à lui attribuer, puis cliquez sur OK. Remarque L'Éditeur et l'approbateur incluent des autorisations de Réviseur. Considérations supplémentaires Pour exécuter cette procédure, par défaut, vous devez être Administrateur AGPM (contrôle total). Plus précisément, vous devez disposer d'une autorisation Modifier la sécurité sur le domaine. Pour déléguer un accès en écriture à des administrateurs de stratégie de groupe qui utilisent AGPM, vous devez leur octroyer des autorisations Répertorier le contenu et Lire les paramètres. Cela leur permet d'afficher des objets de stratégie de groupe sous l'onglet Contenu d'agpm. Les autres autorisations doivent être déléguées de façon explicite. 20
Les éditeurs doivent disposer d'une autorisation Lecture sur la copie déployée d'un objet de stratégie de groupe pour pouvoir utiliser pleinement l'installation des logiciels de stratégie de groupe. Les membres du groupe Propriétaires créateurs de la stratégie de groupe doivent être limités, afin que ce groupe ne soit pas utilisé pour contourner la gestion AGPM des accès aux objets de stratégie de groupe. (Dans la Console de gestion des stratégies de groupe, cliquez sur Objets de stratégie de groupe dans la forêt et le domaine où vous souhaitez gérer les objets de stratégie de groupe, cliquez sur Délégation, puis configurez les paramètres en fonction des besoins de votre entreprise.) Exécution de tâches d'administrateur AGPM Délégation d'accès à un objet de stratégie de groupe individuel En tant qu'administrateur AGPM (contrôle total), vous devez déléguer la gestion d'un Objet de stratégie de groupe contrôlé de façon à ce que des groupes et des éditeurs sélectionnés puissent le modifier, des réviseurs le réviser et des approbateurs l'approuver. Pour exécuter cette procédure, un compte d'utilisateur auquel est attribué le rôle Administrateur AGPM (contrôle total), le compte d'utilisateur de l'approbateur ayant créé l'objet de stratégie de groupe ou un compte d'utilisateur disposant des autorisations nécessaires dans Gestion avancée des stratégies de groupe (AGPM) est requis. Consultez les informations détaillées de la section Considérations supplémentaires de cette rubrique. Délégation de la gestion d'un objet de stratégie de groupe contrôlé 1. Dans l'arborescence de la Console de gestion des stratégies de groupe, cliquez sur Contrôle des modifications dans la forêt et le domaine où vous souhaitez gérer les objets de stratégie de groupe. 2. Sous l'onglet Contenu du volet d'informations, cliquez sur l'onglet Contrôlé pour afficher les objets de stratégie de groupe contrôlés, puis cliquez sur l'objet de stratégie de groupe à déléguer : a. Pour ajouter l'accès d'un utilisateur ou d'un groupe, cliquez sur le bouton Ajouter, sélectionnez l'utilisateur ou le groupe, puis cliquez sur OK. Dans la boîte de dialogue Ajouter un utilisateur ou un groupe, sélectionnez un rôle, puis cliquez sur OK. b. Pour supprimer l'accès d'un utilisateur ou d'un groupe, sélectionnez-le, puis cliquez sur le bouton Supprimer. Remarque Si un utilisateur ou un groupe hérite d'un accès à l'ensemble du 21
domaine, le bouton Supprimer est indisponible. Vous pouvez modifier l'accès à l'ensemble du domaine sous l'onglet Délégation de domaine. c. Pour modifier les rôles et les autorisations délégués à un utilisateur ou un groupe, cliquez sur le bouton Avancé. Dans la boîte de dialogue Autorisations, sélectionnez l'utilisateur ou le groupe, activez la case à cocher pour chaque rôle à lui attribuer, puis cliquez sur OK. Remarque L'Éditeur et l'approbateur disposent des autorisations de Réviseur. Considérations supplémentaires Pour exécuter cette procédure, par défaut, vous devez être l'approbateur ayant créé ou contrôlé l'objet de stratégie de groupe ou un Administrateur AGPM (contrôle total). Plus précisément, vous devez disposer d'une autorisation Répertorier le contenu pour le domaine et une autorisation Modifier la sécurité sur l'objet de stratégie de groupe. Pour déléguer un accès en écriture à des administrateurs de stratégie de groupe qui utilisent AGPM, vous devez leur octroyer des autorisations Répertorier le contenu et Lire les paramètres. Cela leur permet d'afficher des objets de stratégie de groupe sous l'onglet Contenu d'agpm. Les autres autorisations doivent être déléguées de façon explicite. Les éditeurs doivent disposer d'une autorisation Lecture sur la copie déployée d'un objet de stratégie de groupe pour pouvoir utiliser pleinement l'installation des logiciels de stratégie de groupe. Les membres du groupe Propriétaires créateurs de la stratégie de groupe doivent être limités, afin que ce groupe ne soit pas utilisé pour contourner la gestion AGPM des accès aux objets de stratégie de groupe. (Dans la Console de gestion des stratégies de groupe, cliquez sur Objets de stratégie de groupe dans la forêt et le domaine où vous souhaitez gérer les objets de stratégie de groupe, cliquez sur Délégation, puis configurez les paramètres en fonction des besoins de votre entreprise.) Exécution de tâches d'administrateur AGPM Délégation d'accès à l'environnement de production Vous pouvez personnaliser l'accès aux Objets de stratégie de groupe dans l'environnement de production, en remplaçant toute autorisation existante sur ces objets de stratégie de groupe. Lorsque des objets de stratégie de groupe sont contrôlés ou déployés, l'accès de tout autre compte, à l'exception de ceux disposant d'autorisations Lecture et Appliquer est supprimé. 22
Pour exécuter cette procédure, un compte d'utilisateur auquel est attribué le rôle Administrateur AGPM (contrôle total) ou les autorisations nécessaires dans Gestion avancée des stratégies de groupe (AGPM) est requis. Consultez les informations détaillées de la section Considérations supplémentaires de cette rubrique. Modification de l'accès aux objets de stratégie de groupe dans l'environnement de production 1. Dans l'arborescence de la Console de gestion des stratégies de groupe, cliquez sur Contrôle des modifications dans la forêt et le domaine où vous souhaitez gérer les objets de stratégie de groupe. 2. Cliquez sur l'onglet Délégation de production. 3. Pour ajouter des autorisations pour un utilisateur ou un groupe n'ayant pas accès à l'environnement de production ou pour remplacer les autorisations d'un utilisateur ou d'un groupe n'ayant pas d'accès : a. Cliquez sur Ajouter, sélectionnez un utilisateur ou un groupe, puis cliquez sur OK. b. Sélectionnez les autorisations à déléguer à cet utilisateur ou ce groupe pour l'environnement de production, puis cliquez sur OK. 4. Pour supprimer toutes les autorisations relatives à l'environnement de production pour un utilisateur ou un groupe, sélectionnez-le, cliquez sur Supprimer, puis cliquez sur OK. Considérations supplémentaires Pour exécuter cette procédure, par défaut, vous devez être Administrateur AGPM (contrôle total). Plus précisément, vous devez disposer d'une autorisation Modifier la sécurité sur le domaine. Il n'est pas possible de modifier les autorisations du compte de service AGPM sous l'onglet Délégation de production. Par défaut, les comptes suivants disposent d'autorisations sur les objets de stratégie de groupe dans l'environnement de production : 23
Compte <Compte de service AGPM> Utilisateurs authentifiés Administrateurs du domaine Administrateurs de l'entreprise Enterprise Domain Controllers Système Autorisations par défaut pour les objets de stratégie de groupe Modifier les paramètres, Supprimer, Modifier la sécurité Lecture, Appliquer Modifier les paramètres, Supprimer, Modifier la sécurité Modifier les paramètres, Supprimer, Modifier la sécurité Lecture Modifier les paramètres, Supprimer, Modifier la sécurité Les membres du groupe Propriétaires créateurs de la stratégie de groupe doivent être limités, afin que ce groupe ne soit pas utilisé pour contourner la gestion AGPM des accès aux objets de stratégie de groupe. (Dans la Console de gestion des stratégies de groupe, cliquez sur Objets de stratégie de groupe dans la forêt et le domaine où vous souhaitez gérer les objets de stratégie de groupe, cliquez sur Délégation, puis configurez les paramètres en fonction des besoins de votre entreprise.) Exécution de tâches d'administrateur AGPM Limitation des versions d'objet de stratégie de groupe stockées Par défaut, toutes les versions de chaque Objet de stratégie de groupe contrôlé sont conservées dans l'archive sur le serveur AGPM. Toutefois, vous pouvez limiter le nombre de versions conservées pour chaque objet de stratégie de groupe et supprimer des versions plus anciennes en cas de dépassement de cette limite. En cas de suppression d'une version d'un objet de stratégie de groupe, un enregistrement de celle-ci est conservé dans l'historique de l'objet de stratégie de groupe mais cette version particulière est supprimée de l'archive. Pour exécuter cette procédure, un compte d'utilisateur auquel est attribué le rôle Administrateur AGPM (contrôle total) ou les autorisations nécessaires dans Gestion avancée des stratégies de groupe (AGPM) est requis. Consultez les informations détaillées de la section Considérations supplémentaires de cette rubrique. 24
Limitation du nombre de versions d'objet de stratégie de groupe conservées 1. Dans l'arborescence de la Console de gestion des stratégies de groupe, cliquez sur Contrôle des modifications dans la forêt et le domaine où vous souhaitez gérer les objets de stratégie de groupe. 2. Dans le volet d'informations, cliquez sur l'onglet Serveur AGPM. 3. Activez la case à cocher Supprimer les anciennes versions de chaque objet de stratégie de groupe de l'archive, puis tapez le nombre maximal de versions à conserver pour chaque objet de stratégie de groupe, version en cours d'utilisation non incluse. Pour ne conserver que la version en cours d'utilisation, entrez 0. La valeur maximale est 999. Important Seules les versions d'objet de stratégie de groupe affichées sous l'onglet Versions uniques de la fenêtre Historique comptent par rapport à la limite. 4. Cliquez sur le bouton Appliquer. Considérations supplémentaires Pour exécuter cette procédure, par défaut, vous devez être Administrateur AGPM (contrôle total). Plus précisément, vous devez disposer des autorisations Répertorier le contenu et Modifier les options sur le domaine. Vous pouvez empêcher la suppression d'une version d'un objet de stratégie de groupe en la marquant dans l'historique comme inéligible pour la suppression. Pour ce faire, cliquez avec le bouton droit sur la version dans l'historique de l'objet de stratégie de groupe, puis cliquez sur Ne pas supprimer. Exécution de tâches d'administrateur AGPM Configuration de la journalisation et du suivi Vous pouvez configurer de façon centralisée une journalisation et un suivi facultatifs à l'aide de modèles d'administration. Pour exécuter ces procédures, un compte d'utilisateur auquel est attribué le rôle Administrateur AGPM (contrôle total), le compte d'utilisateur de l'approbateur ayant créé l'objet de stratégie de groupe utilisé dans ces procédures ou un compte d'utilisateur disposant des autorisations nécessaires dans Gestion avancée des stratégies de groupe (AGPM) est requis. En outre, un compte d'utilisateur ayant accès au serveur AGPM est requis pour initier la journalisation sur le serveur AGPM. Consultez les informations détaillées de la section Considérations supplémentaires de cette rubrique. 25
Configuration de la journalisation et du suivi pour AGPM 1. Dans l'arborescence Console de gestion des stratégies de groupe, modifiez un objet de stratégie de groupe appliqué à tous les administrateurs de stratégie de groupe pour lesquels vous voulez activer la journalisation et le suivi (pour plus d'informations, voir Modification d'un objet de stratégie de groupe). 2. Dans la fenêtre Éditeur de gestion des stratégies de groupe, cliquez sur Configuration utilisateur, Stratégies, Modèles d'administration, Composants Windows, puis sur AGPM. 3. Dans le volet d'informations, double-cliquez sur AGPM : Configuration de la journalisation. 4. Dans la fenêtre Propriétés, cliquez sur Activé, puis configurez le niveau de détail d'enregistrement dans les journaux. 5. Cliquez sur OK. 6. Fermez la fenêtre Éditeur de gestion des stratégies de groupe (pour plus d'informations, voir Déploiement d'un objet de stratégie de groupe). Une fois la stratégie de groupe mise à jour, vous devez redémarrer le service AGPM pour démarrer, modifier ou arrêter la journalisation sur le serveur AGPM. Les administrateurs de stratégie de groupe doivent fermer et redémarrer la GPMC pour démarrer, modifier ou arrêter la journalisation sur leurs ordinateurs. Suivi des emplacements de fichier : Client : %LocalAppData%\Microsoft\AGPM\agpm.log Serveur : %ProgramData%\Microsoft\AGPM\agpmserv.log Considérations supplémentaires Vous devez être en mesure de modifier et déployer un objet de stratégie de groupe pour configurer la journalisation et le suivi AGPM. Pour plus de détails, voir Modification d'un objet de stratégie de groupe et Déploiement d'un objet de stratégie de groupe. Exécution de tâches d'administrateur AGPM Configuration de la sécurité de messagerie électronique pour AGPM Par défaut, les messages électroniques envoyés à la suite d'actions dans Gestion avancée des stratégies de groupe (AGPM) ne sont pas chiffrés et sont envoyés via le port SMTP 25. Toutefois, vous pouvez configurer une sécurité de messagerie électronique pour AGPM à l'aide 26
de paramètres de Registre pour spécifier s'il faut utiliser un chiffrement SSL et le port SMTP à utiliser. Attention Une modification incorrecte du Registre peut endommager gravement votre système. Avant d'apporter des modifications au Registre, il est conseillé de sauvegarder les données de valeur stockées dans l'ordinateur. Pour exécuter ces procédures, un compte d'utilisateur auquel est attribué le rôle Administrateur AGPM (contrôle total), le compte d'utilisateur de l'approbateur ayant créé l'objet de stratégie de groupe utilisé dans ces procédures ou un compte d'utilisateur disposant des autorisations nécessaires dans AGPM est requis. Consultez les informations détaillées de la section Considérations supplémentaires de cette rubrique. Configuration de la sécurité de messagerie électronique pour AGPM à l'aide des préférences de stratégie de groupe 1. Dans l'arborescence Console de gestion des stratégies de groupe, modifiez un objet de stratégie de groupe appliqué à tous les serveurs SGPM pour lesquels vous voulez configurer la sécurité de messagerie électronique (pour plus d'informations, voir Modification d'un objet de stratégie de groupe). 2. Dans la fenêtre Éditeur de gestion des stratégies de groupe, développez les dossiers Configuration ordinateur, Préférences, Paramètres Windows et Registre. 3. Dans l'arborescence de la console, cliquez avec le bouton droit sur Registre, pointez sur Nouveau, cliquez sur Élément de la collection, puis tapez Sécurité de messagerie électronique AGPM. 4. Créez un élément de préférence de Registre pour activer le chiffrement : a. Dans l'arborescence de la console, cliquez avec le bouton droit sur Sécurité de messagerie électronique AGPM, pointez sur Nouveau, puis cliquez sur Élément de Registre. b. Dans la boîte de dialogue Nouvelles propriétés de Registre, sélectionnez l'action Mettre à jour. c. Pour Ruche, sélectionnez HKEY_LOCAL_MACHINE. d. Pour Chemin d'accès à la clé, tapez SOFTWARE\Microsoft\AGPM. e. Pour Nom de la valeur, tapez EncryptSmtp. f. Pour Type de la valeur, sélectionnez REG_DWORD. g. Pour Base, sélectionnez Décimale et, pour Données de la valeur, tapez 1 afin d'utiliser le chiffrement SSL ou 0 afin d'autoriser l'envoi de messages électroniques sans chiffrement. Par défaut, le message électronique est envoyé sans chiffrement. h. Cliquez sur OK. 5. Créez un élément de préférence de Registre pour spécifier le port SMTP : a. Dans l'arborescence de la console, cliquez avec le bouton droit sur Sécurité de 27
messagerie électronique AGPM, pointez sur Nouveau, puis cliquez sur Élément de Registre. b. Dans la boîte de dialogue Nouvelles propriétés de Registre, sélectionnez l'action Mettre à jour. c. Pour Ruche, sélectionnez HKEY_LOCAL_MACHINE. d. Dans la boîte de dialogue Chemin d'accès à la clé, tapez SOFTWARE\Microsoft\AGPM. e. Pour Nom de la valeur, tapez SmtpPort. f. Pour Type de la valeur, sélectionnez REG_DWORD. g. Pour Base, sélectionnez Décimale et, pour Données de la valeur, tapez un numéro pour le port SMTP. Par défaut, le port SMTP est le port 25 si le chiffrement n'est pas activé ou le port 587 si le chiffrement SSL est activé. h. Cliquez sur OK. 6. Fermez la fenêtre Éditeur de gestion des stratégies de groupe, puis archivez et déployez l'objet de stratégie de groupe (pour plus d'informations, voir Déploiement d'un objet de stratégie de groupe). Considérations supplémentaires Vous devez être en mesure de modifier et déployer un objet de stratégie de groupe pour configurer des paramètres de Registre à l'aide de préférences de stratégie de groupe. Pour plus de détails, voir Modification d'un objet de stratégie de groupe et Déploiement d'un objet de stratégie de groupe. Exécution de tâches d'administrateur AGPM Gestion du service AGPM Le service AGPM est un service Windows qui agit comme proxy de sécurité, gérant l'accès du client aux Objets de stratégie de groupe dans l'archive et l'environnement de production. Il applique une délégation Gestion avancée des stratégies de groupe (AGPM) et offre un niveau de sécurité amélioré. Le service AGPM est hébergé sur le serveur sur lequel le serveur Microsoft Advanced Group Policy Management est installé. Attention Ne modifiez pas les paramètres du service AGPM via les Outils d'administration et les Services dans le système d'exploitation. Dans le cas contraire, le service AGPM risquerait de ne pas démarrer. Démarrage et arrêt du service AGPM 28