Partager via

Guide pas à pas de la Gestion avancée des stratégies de groupe Microsoft 4.0

  • Article

Ce guide pas à pas présente des techniques avancées pour la gestion des stratégies de groupe qui utilisent la console de gestion des stratégies de groupe (GPMC) et la gestion avancée des stratégies de groupe (AGPM) Microsoft. AGPM augmente les fonctionnalités de la console GPMC, en fournissant :

  • Rôles standard pour la délégation d’autorisations de gestion des objets de stratégie de groupe (GPO) à plusieurs administrateurs de stratégie de groupe, en plus de la possibilité de déléguer l’accès aux objets de stratégie de groupe dans l’environnement de production.

  • Archive permettant aux administrateurs de stratégie de groupe de créer et de modifier des objets de stratégie de groupe hors connexion avant que les objets de stratégie de groupe ne soient déployés dans un environnement de production.

  • Possibilité de restaurer une version antérieure d’un objet de stratégie de groupe dans l’archive et de limiter le nombre de versions stockées dans l’archive.

  • Fonctionnalité d’archivage et d’extraction pour les objets de stratégie de groupe afin de s’assurer que les administrateurs de stratégie de groupe ne remplacent pas involontairement le travail des autres.

  • Possibilité de rechercher des objets de stratégie de groupe avec des attributs spécifiques et de filtrer la liste des objets de stratégie de groupe affichés.

Vue d’ensemble du scénario AGPM

Pour ce scénario, vous allez utiliser un compte d’utilisateur distinct pour chaque rôle dans AGPM afin de montrer comment la stratégie de groupe peut être gérée dans un environnement qui a plusieurs administrateurs de stratégie de groupe qui ont différents niveaux d’autorisations. Plus précisément, vous allez effectuer les tâches suivantes :

  • À l’aide d’un compte membre du groupe Administrateurs du domaine, installez le serveur AGPM et attribuez le rôle Administrateur AGPM à un compte ou à un groupe.

  • À l’aide des comptes auxquels vous allez attribuer des rôles AGPM, installez le client AGPM.

  • À l’aide d’un compte qui a le rôle Administrateur AGPM, configurez AGPM et déléguez l’accès aux objets de stratégie de groupe en attribuant des rôles à d’autres comptes.

  • À partir d’un compte qui a le rôle Éditeur, demandez qu’un nouvel objet de stratégie de groupe soit créé que vous approuvez ensuite à l’aide d’un compte qui a le rôle Approbateur. Utilisez le compte Éditeur pour extraire l’objet de stratégie de groupe de l’archive, modifier l’objet de stratégie de groupe, vérifier l’objet de stratégie de groupe dans l’archive, puis demander le déploiement.

  • À l’aide d’un compte qui a le rôle Approbateur, passez en revue l’objet de stratégie de groupe et déployez-le dans votre environnement de production.

  • À l’aide d’un compte qui a le rôle Éditeur, créez un modèle d’objet de stratégie de groupe et utilisez-le comme point de départ pour créer un nouvel objet de stratégie de groupe.

  • À l’aide d’un compte qui a le rôle Approbateur, supprimez et restaurez un objet de stratégie de groupe.

processus de développement d’objets de stratégie de groupe.

Configuration requise du serveur AGPM

AGPM Server 4.0 nécessite Windows Server 2012 ou Windows 10 et versions ultérieures et la console GPMC à partir des outils d’administration de serveur distant (RSAT). Les versions 32 bits et 64 bits sont prises en charge.

Avant d’installer AGPM Server, vous devez être membre du groupe Administrateurs du domaine et les fonctionnalités Windows suivantes doivent être présentes, sauf indication contraire :

  • GPMC

    • Windows Server 2012 ou version ultérieure : si la console GPMC n’est pas présente, elle est automatiquement installée par AGPM.

    • Windows 10 ou version ultérieure : vous devez installer la console GPMC à partir de RSAT avant d’installer AGPM. Pour plus d’informations, consultez Outils d’administration de serveur distant (RSAT) pour Windows.

Les fonctionnalités Windows suivantes sont requises par AGPM Server et sont automatiquement installées si elles ne sont pas présentes :

  • Activation WCF ; Activation non HTTP

  • Service d'activation des processus Windows

    • Modèle de processus

    • L’environnement .NET

    • API de configuration

Configuration requise du client AGPM

AGPM Client 4.0 nécessite Windows Server 2012 ou Windows 10 et versions ultérieures et la console GPMC de RSAT. Les versions 32 bits et 64 bits sont prises en charge. Le client AGPM peut être installé sur un ordinateur qui exécute le serveur AGPM.

Les fonctionnalités Windows suivantes sont requises par le client AGPM et, sauf indication contraire, sont automatiquement installées si elles ne sont pas présentes :

  • GPMC

    • Windows Server 2012 et versions ultérieures : si la console GPMC n’est pas présente, elle est automatiquement installée par AGPM.

    • Windows 10 et versions ultérieures : vous devez installer la console GPMC à partir de RSAT avant d’installer AGPM. Pour plus d’informations, consultez Outils d’administration de serveur distant (RSAT) pour Windows.

Conditions requises pour le scénario

Avant de commencer ce scénario, créez quatre comptes d’utilisateur. Au cours du scénario, vous allez attribuer l’un des rôles AGPM suivants à chacun de ces comptes : Administrateur AGPM (contrôle total), Approbateur, Éditeur et Réviseur. Ces comptes doivent être en mesure d’envoyer et de recevoir des messages électroniques. Attribuez l’autorisation Lier des objets de stratégie de groupe aux comptes qui ont les rôles Administrateur AGPM, Approbateur et (éventuellement) Éditeur.

Remarque

L’autorisation Lier les objets de stratégie de groupe est attribuée aux membres des administrateurs de domaine et des administrateurs d’entreprise par défaut. Pour attribuer l’autorisation Lier des objets de stratégie de groupe à d’autres utilisateurs ou groupes (tels que les comptes qui ont les rôles d’administrateur AGPM ou d’approbateur), sélectionnez le nœud pour le domaine, puis sélectionnez l’onglet Délégation , sélectionnez Lier des objets de stratégie de groupe, sélectionnez Ajouter, puis sélectionnez les utilisateurs ou les groupes auxquels vous souhaitez attribuer l’autorisation.

Étapes d’installation et de configuration d’AGPM

Vous devez effectuer les étapes suivantes pour installer et configurer AGPM.

Étape 1 : Installer le serveur AGPM

Étape 2 : Installer le client AGPM

Étape 3 : Configurer une connexion au serveur AGPM

Étape 4 : Configurer la notification par e-mail

Étape 5 : Déléguer l’accès

Étape 1 : Installer le serveur AGPM

Dans cette étape, vous installez le serveur AGPM sur le serveur membre ou le contrôleur de domaine qui exécutera le service AGPM, puis vous configurez l’archive. Toutes les opérations AGPM sont gérées via ce service Windows et sont exécutées avec les informations d’identification du service. L’archive gérée par un serveur AGPM peut être hébergée sur ce serveur ou sur un autre serveur dans la même forêt.

Pour installer le serveur AGPM sur l’ordinateur qui hébergera le service AGPM

  1. Connectez-vous avec un compte membre du groupe Administrateurs du domaine.

  2. Démarrez le CD microsoft Desktop Optimization Pack et suivez les instructions à l’écran pour sélectionner Gestion avancée des stratégies de groupe - Serveur.

  3. Dans la boîte de dialogue Bienvenue , sélectionnez Suivant.

  4. Dans la boîte de dialogue Termes du contrat de licence logiciel Microsoft , acceptez les termes, puis sélectionnez Suivant.

  5. Dans la boîte de dialogue Chemin d’accès de l’application , sélectionnez un emplacement dans lequel installer le serveur AGPM. L’ordinateur sur lequel le serveur AGPM est installé héberge le service AGPM et gère l’archive. Sélectionnez Suivant.

  6. Dans la boîte de dialogue Chemin d’archivage , sélectionnez un emplacement pour l’archive par rapport au serveur AGPM. Le chemin d’archivage peut pointer vers un dossier sur le serveur AGPM ou ailleurs. Toutefois, vous devez sélectionner un emplacement avec suffisamment d’espace pour stocker toutes les GPO et les données d’historique gérées par ce serveur AGPM. Sélectionnez Suivant.

  7. Dans la boîte de dialogue Compte de service AGPM , sélectionnez un compte de service sous lequel le service AGPM s’exécute, puis sélectionnez Suivant.

    Ce compte doit être membre du groupe Administrateurs du domaine ou, pour une configuration avec privilège minimum, des groupes suivants dans chaque domaine géré par le serveur AGPM :

    • Propriétaires créateurs de stratégie de groupe

    • Opérateurs de sauvegarde

    Ce compte doit être membre du groupe Administrateurs local sur l’ordinateur serveur AGPM. Cela est nécessaire pour gérer correctement

    En outre, ce compte nécessite l’autorisation Contrôle total pour les dossiers suivants :

    • Dossier d’archive AGPM pour lequel cette autorisation est automatiquement accordée lors de l’installation du serveur AGPM s’il est installé sur un lecteur local.

    • Dossier temporaire du système local, généralement %windir%\temp.

  8. Dans la boîte de dialogue Propriétaire de l’archive , sélectionnez un compte ou un groupe auquel vous attribuez le rôle Administrateur AGPM (contrôle total). Les administrateurs AGPM peuvent attribuer des rôles et des autorisations AGPM à d’autres administrateurs de stratégie de groupe, afin que vous puissiez ultérieurement attribuer le rôle d’administrateur AGPM à d’autres administrateurs de stratégie de groupe. Pour ce scénario, sélectionnez le compte à servir dans le rôle Administrateur AGPM. Sélectionnez Suivant.

  9. Dans la boîte de dialogue Configuration du port , tapez un port sur lequel le service AGPM doit écouter. Ne décochez pas la case Ajouter une exception de port au pare-feu , sauf si vous configurez manuellement des exceptions de port ou utilisez des règles pour configurer des exceptions de port. Sélectionnez Suivant.

  10. Dans la boîte de dialogue Langues , sélectionnez une ou plusieurs langues d’affichage à installer pour le serveur AGPM.

  11. Sélectionnez Installer, puis Terminer pour quitter l’Assistant Installation.

    Prudence Ne modifiez pas les paramètres du service AGPM via les outils et servicesd’administration du système d’exploitation. Cela peut empêcher le service AGPM de démarrer. Pour plus d’informations sur la modification des paramètres du service, consultez Aide sur la gestion avancée des stratégies de groupe.

Étape 2 : Installer le client AGPM

Chaque administrateur de stratégie de groupe (toute personne qui crée, modifie, déploie, examine ou supprime des objets de stratégie de groupe) doit avoir le client AGPM installé sur les ordinateurs qu’il utilise pour gérer les objets de stratégie de groupe. Le nœud Contrôle des modifications, que vous utilisez pour effectuer de nombreuses tâches de gestion des objets de stratégie de groupe, s’affiche dans la console de gestion des stratégies de groupe uniquement si vous installez le client AGPM. Pour ce scénario, vous installez le client AGPM sur au moins un ordinateur. Vous n’avez pas besoin d’installer le client AGPM sur les ordinateurs des utilisateurs finaux qui n’effectuent pas d’administration de stratégie de groupe.

Pour installer le client AGPM sur l’ordinateur d’un administrateur de stratégie de groupe

  1. Démarrez le CD Microsoft Desktop Optimization Pack et suivez les instructions à l’écran pour sélectionner Gestion avancée des stratégies de groupe - Client.

  2. Dans la boîte de dialogue Bienvenue , sélectionnez Suivant.

  3. Dans la boîte de dialogue Termes du contrat de licence logiciel Microsoft , acceptez les termes, puis sélectionnez Suivant.

  4. Dans la boîte de dialogue Chemin d’accès de l’application, sélectionnez un emplacement dans lequel installer le client AGPM. Sélectionnez Suivant.

  5. Dans la boîte de dialogue Serveur AGPM , tapez le nom DNS ou l’adresse IP du serveur AGPM et le port auquel vous souhaitez vous connecter. Le port par défaut du service AGPM est 4600. Ne décochez pas la case Autoriser Microsoft Management Console via le pare-feu , sauf si vous configurez manuellement des exceptions de port ou utilisez des règles pour configurer des exceptions de port. Sélectionnez Suivant.

  6. Dans la boîte de dialogue Langues , sélectionnez une ou plusieurs langues d’affichage à installer pour le client AGPM.

  7. Sélectionnez Installer, puis Terminer pour quitter l’Assistant Installation.

Étape 3 : Configurer une connexion au serveur AGPM

AGPM stocke toutes les versions de chaque objet de stratégie de groupe (GPO) contrôlé, c’est-à-dire chaque objet de stratégie de groupe pour lequel AGPM fournit le contrôle des modifications, dans une archive centrale. Cela permet aux administrateurs de stratégie de groupe d’afficher et de modifier les objets de stratégie de groupe hors connexion sans affecter immédiatement la version déployée de chaque objet de stratégie de groupe.

Dans cette étape, vous configurez une connexion au serveur AGPM et vous assurez que tous les administrateurs de stratégie de groupe se connectent au même serveur AGPM. (Pour plus d’informations sur la configuration de plusieurs serveurs AGPM, consultez Aide pour la gestion avancée des stratégies de groupe.)

Pour configurer une connexion de serveur AGPM pour tous les administrateurs de stratégie de groupe

  1. Sur un ordinateur sur lequel vous avez installé le client AGPM, connectez-vous avec le compte d’utilisateur que vous avez sélectionné comme propriétaire de l’archive. Cet utilisateur a le rôle d’administrateur AGPM (contrôle total).

  2. Sélectionnez Démarrer, pointez sur Outils d’administration, puis sélectionnez Gestion des stratégies de groupe pour ouvrir la console GPMC.

  3. Modifier un objet de stratégie de groupe appliqué à tous les administrateurs de stratégie de groupe.

  4. Dans la fenêtre Éditeur de gestion des stratégies de groupe, double-sélectionnez Configuration utilisateur, Stratégies, Modèles d’administration, Composants Windows et AGPM.

  5. Dans le volet d’informations, double-sélectionnez AGPM : Spécifiez le serveur AGPM par défaut (tous les domaines).

  6. Dans la fenêtre Propriétés , sélectionnez Activé et tapez le nom DNS ou l’adresse IP et le port (par exemple, server.contoso.com:4600) du serveur hébergeant l’archive. Par défaut, le service AGPM utilise le port 4600.

  7. Sélectionnez OK, puis fermez la fenêtre Éditeur de gestion des stratégies de groupe . Lorsque la stratégie de groupe est mise à jour, la connexion au serveur AGPM est configurée pour chaque administrateur de stratégie de groupe.

Étape 4 : Configurer la notification par e-mail

En tant qu’administrateur AGPM (contrôle total), vous désignez les adresses de messagerie des approbateurs et des administrateurs AGPM auxquels un message électronique contenant une demande est envoyé lorsqu’un éditeur tente de créer, déployer ou supprimer un objet de stratégie de groupe. Vous déterminez également l’alias à partir duquel ces messages sont envoyés.

Pour configurer la notification par e-mail pour AGPM

  1. Dans l’Éditeur de gestion des stratégies de groupe , accédez au dossier Change Control

  2. Dans le volet d’informations, sélectionnez l’onglet Délégation de domaine .

  3. Dans le champ De l’adresse de messagerie , tapez l’alias de messagerie pour AGPM à partir duquel les notifications doivent être envoyées.

  4. Dans le champ Adresse de messagerie, tapez l’adresse de messagerie du compte d’utilisateur auquel vous envisagez d’attribuer le rôle Approbateur.

  5. Dans le champ Serveur SMTP , tapez un serveur de messagerie SMTP valide.

  6. Dans les champs Nom d’utilisateur et Mot de passe , tapez les informations d’identification d’un utilisateur qui a accès au service SMTP. Sélectionnez Appliquer.

Étape 5 : Déléguer l’accès

En tant qu’administrateur AGPM (contrôle total), vous délèguez l’accès au niveau du domaine aux objets de stratégie de groupe, en attribuant des rôles au compte de chaque administrateur de stratégie de groupe.

Remarque

Vous pouvez également déléguer l’accès au niveau de l’objet de stratégie de groupe au lieu du niveau du domaine. Pour plus d’informations, consultez Aide sur la gestion avancée des stratégies de groupe.

Important

Vous devez restreindre l’appartenance au groupe Propriétaires du créateur de stratégie de groupe afin qu’il ne puisse pas être utilisé pour contourner la gestion AGPM de l’accès aux objets de stratégie de groupe. (Dans la console de gestion des stratégies de groupe, sélectionnez Objets de stratégie de groupe dans la forêt et le domaine dans lesquels vous souhaitez gérer les objets de stratégie de groupe, sélectionnez Délégation, puis configurez les paramètres pour répondre aux besoins de votre organisation.)

Pour déléguer l’accès à tous les objets de stratégie de groupe dans un domaine

  1. Sous l’onglet Délégation de domaine , sélectionnez le bouton Ajouter , sélectionnez le compte d’utilisateur de l’administrateur de stratégie de groupe à servir d’approbateur, puis sélectionnez OK.

  2. Dans la boîte de dialogue Ajouter un groupe ou un utilisateur , sélectionnez le rôle Approbateur pour attribuer ce rôle au compte, puis sélectionnez OK. (Ce rôle inclut le rôle Réviseur.)

  3. Sélectionnez le bouton Ajouter , sélectionnez le compte d’utilisateur de l’administrateur de stratégie de groupe à utiliser en tant qu’éditeur, puis sélectionnez OK.

  4. Dans la boîte de dialogue Ajouter un groupe ou un utilisateur , sélectionnez le rôle Éditeur pour attribuer ce rôle au compte, puis sélectionnez OK. (Ce rôle inclut le rôle Réviseur.)

  5. Sélectionnez le bouton Ajouter , sélectionnez le compte d’utilisateur de l’administrateur de stratégie de groupe à servir de réviseur, puis sélectionnez OK.

  6. Dans la boîte de dialogue Ajouter un groupe ou un utilisateur , sélectionnez le rôle Réviseur pour attribuer uniquement ce rôle au compte.

Étapes de gestion des objets de stratégie de groupe

Vous devez effectuer les étapes suivantes pour créer, modifier, examiner et déployer des objets de stratégie de groupe à l’aide d’AGPM. En outre, vous allez créer un modèle, supprimer un objet de stratégie de groupe et restaurer un objet de stratégie de groupe supprimé.

Étape 1 : Créer un objet de stratégie de groupe

Étape 2 : Modifier un objet de stratégie de groupe

Étape 3 : Passer en revue et déployer un objet de stratégie de groupe

Étape 4 : Utiliser un modèle pour créer un objet de stratégie de groupe

Étape 5 : Supprimer et restaurer un objet de stratégie de groupe

Étape 1 : Créer un objet de stratégie de groupe

Dans un environnement qui a plusieurs administrateurs de stratégie de groupe, ceux qui ont le rôle Éditeur peuvent demander la création de nouveaux objets de stratégie de groupe. Toutefois, cette demande doit être approuvée par une personne disposant du rôle Approbateur.

Dans cette étape, vous utilisez un compte doté du rôle Éditeur pour demander la création d’un nouvel objet de stratégie de groupe. À l’aide d’un compte qui a le rôle Approbateur, vous approuvez cette demande de création de l’objet de stratégie de groupe.

Pour demander la création et la gestion d’un nouvel objet de stratégie de groupe via AGPM

  1. Sur un ordinateur sur lequel vous avez installé le client AGPM, connectez-vous avec un compte d’utilisateur auquel le rôle Éditeur est attribué dans AGPM.

  2. Dans l’arborescence Console de gestion des stratégies de groupe, sélectionnez Modifier le contrôle dans la forêt et le domaine dans lesquels vous souhaitez gérer les objets de stratégie de groupe.

  3. Sélectionnez avec le bouton droit le nœud Modifier le contrôle , puis sélectionnez Nouvel objet de stratégie de groupe contrôlé.

  4. Dans la boîte de dialogue Nouvel objet de stratégie de groupe contrôlé :

    1. Pour recevoir une copie de la demande, tapez votre adresse de messagerie dans le champ Cc .

    2. Tapez MyGPO comme nom du nouvel objet de stratégie de groupe.

    3. Tapez un commentaire pour le nouvel objet de stratégie de groupe.

    4. Sélectionnez Créer en direct pour que le nouvel objet de stratégie de groupe soit déployé dans l’environnement de production immédiatement après approbation. Sélectionnez Envoyer.

  5. Lorsque la fenêtre Progression AGPM indique que la progression globale est terminée, sélectionnez Fermer. Le nouvel objet de stratégie de groupe s’affiche sous l’onglet En attente .

Pour approuver la demande en attente de création d’un objet de stratégie de groupe

  1. Sur un ordinateur sur lequel vous avez installé le client AGPM, connectez-vous avec un compte d’utilisateur qui a le rôle Approbateur dans AGPM.

  2. Ouvrez la boîte de réception du compte et notez que vous avez reçu un message électronique de l’alias AGPM avec la demande de l’éditeur de créer un objet de stratégie de groupe.

  3. Dans l’arborescence Console de gestion des stratégies de groupe, sélectionnez Modifier le contrôle dans la forêt et le domaine dans lesquels vous souhaitez gérer les objets de stratégie de groupe.

  4. Sous l’onglet Contenu , sélectionnez l’onglet En attente pour afficher les objets de stratégie de groupe en attente.

  5. Sélectionnez Avec le bouton droit MyGPO, puis approuver.

  6. Sélectionnez Oui pour confirmer l’approbation et déplacer l’objet de stratégie de groupe vers l’onglet Contrôlé .

Étape 2 : Modifier un objet de stratégie de groupe

Vous pouvez utiliser des objets de stratégie de groupe pour configurer les paramètres de l’ordinateur ou de l’utilisateur et les déployer sur de nombreux ordinateurs ou utilisateurs. Dans cette étape, vous utilisez un compte doté du rôle Éditeur pour extraire un objet de stratégie de groupe à partir de l’archive, modifier l’objet de stratégie de groupe hors connexion, vérifier l’objet de stratégie de groupe modifié dans l’archive et demander le déploiement de l’objet de stratégie de groupe dans l’environnement de production. Pour ce scénario, vous configurez un paramètre dans l’objet de stratégie de groupe pour exiger que le mot de passe comporte au moins huit caractères.

Pour extraire l’objet de stratégie de groupe de l’archive pour le modifier

  1. Sur un ordinateur sur lequel vous avez installé le client AGPM, connectez-vous avec un compte d’utilisateur qui a le rôle Éditeur dans AGPM.

  2. Dans l’arborescence Console de gestion des stratégies de groupe, sélectionnez Modifier le contrôle dans la forêt et le domaine dans lesquels vous souhaitez gérer les objets de stratégie de groupe.

  3. Sous l’onglet Contenu du volet d’informations, sélectionnez l’onglet Contrôlé pour afficher les objets de stratégie de groupe contrôlés.

  4. Sélectionnez Avec le bouton droit MyGPO, puis sélectionnez Extraire.

  5. Tapez un commentaire à afficher dans l’historique de l’objet de stratégie de groupe lorsqu’il est extrait, puis sélectionnez OK.

  6. Lorsque la fenêtre Progression AGPM indique que la progression globale est terminée, sélectionnez Fermer. Sous l’onglet Contrôlé , l’état de l’objet de stratégie de groupe est identifié comme extrait.

Pour modifier l’objet de stratégie de groupe hors connexion et configurer la longueur minimale du mot de passe

  1. Sous l’onglet Contrôlé , sélectionnez avec le bouton droit MyGPO, puis sélectionnez Modifier pour ouvrir la fenêtre Éditeur de gestion des stratégies de groupe et modifier une copie hors connexion de l’objet de stratégie de groupe. Pour ce scénario, configurez la longueur minimale du mot de passe :

    1. Sous Configuration de l’ordinateur, double-sélectionnez Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies de compte et Stratégie de mot de passe.

    2. Dans le volet d’informations, double-sélectionnez Longueur minimale du mot de passe.

    3. Dans la fenêtre propriétés, cochez la case Définir ce paramètre de stratégie , définissez le nombre de caractères sur 8, puis sélectionnez OK.

  2. Fermez la fenêtre Éditeur de gestion des stratégies de groupe .

Pour vérifier l’objet de stratégie de groupe dans l’archive

  1. Sous l’onglet Contrôlé , sélectionnez avec le bouton droit MyGPO , puis sélectionnez Archiver.

  2. Tapez un commentaire, puis sélectionnez OK.

  3. Lorsque la fenêtre Progression AGPM indique que la progression globale est terminée, sélectionnez Fermer. Sous l’onglet Contrôlé , l’état de l’objet de stratégie de groupe est identifié comme étant archivé.

Pour demander le déploiement de l’objet de stratégie de groupe dans l’environnement de production

  1. Sous l’onglet Contrôlé , sélectionnez Avec le bouton droit MyGPO , puis sélectionnez Déployer.

  2. Étant donné que ce compte n’est pas un approbateur ou un administrateur AGPM, vous devez envoyer une demande de déploiement. Pour recevoir une copie de la demande, tapez votre adresse de messagerie dans le champ Cc . Tapez un commentaire à afficher dans l’historique de l’objet de stratégie de groupe, puis sélectionnez Envoyer.

  3. Lorsque la fenêtre Progression AGPM indique que la progression globale est terminée, sélectionnez Fermer. MyGPO s’affiche dans la liste des objets de stratégie de groupe sous l’onglet En attente .

Étape 3 : Passer en revue et déployer un objet de stratégie de groupe

Dans cette étape, vous agissez en tant qu’approbateur, en créant des rapports et en analysant les paramètres et les modifications apportées aux paramètres dans l’objet de stratégie de groupe pour déterminer si vous devez les approuver. Après avoir évalué l’objet de stratégie de groupe, vous le déployez dans l’environnement de production et liez l’objet de stratégie de groupe à un domaine ou à une unité d’organisation (UO). L’objet de stratégie de groupe prend effet lorsque la stratégie de groupe est actualisée pour les ordinateurs de ce domaine ou de cette unité d’organisation.

Pour passer en revue les paramètres dans l’objet de stratégie de groupe

  1. Sur un ordinateur sur lequel vous avez installé le client AGPM, connectez-vous avec un compte d’utilisateur auquel le rôle Approbateur est attribué dans AGPM. Tout administrateur de stratégie de groupe disposant du rôle Réviseur, qui est inclus dans tous les autres rôles, peut passer en revue les paramètres d’un objet de stratégie de groupe.

  2. Ouvrez la boîte de réception du compte et notez que vous avez reçu un message électronique de l’alias AGPM avec la demande de l’éditeur de déployer un objet de stratégie de groupe.

  3. Dans l’arborescence Console de gestion des stratégies de groupe, sélectionnez Modifier le contrôle dans la forêt et le domaine dans lesquels vous souhaitez gérer les objets de stratégie de groupe.

  4. Sous l’onglet Contenu du volet d’informations, sélectionnez l’onglet En attente .

  5. Double-sélectionnez MyGPO pour afficher son historique.

  6. Passez en revue les paramètres de la version la plus récente de MyGPO :

    1. Dans la fenêtre Historique , sélectionnez avec le bouton droit la version de l’objet de stratégie de groupe avec l’horodatage le plus récent, sélectionnez Paramètres, puis sélectionnez Rapport HTML pour afficher un résumé des paramètres de l’objet de stratégie de groupe.

    2. Dans le navigateur web, sélectionnez Afficher tout pour afficher tous les paramètres de l’objet de stratégie de groupe. Fermez le navigateur.

  7. Comparez la version la plus récente de MyGPO à la première version archivée dans l’archive :

    1. Dans la fenêtre Historique , sélectionnez la version de l’objet de stratégie de groupe avec l’horodatage le plus récent. Appuyez sur Ctrl, puis sélectionnez la version d’objet de stratégie de groupe la plus ancienne pour laquelle la version de l’ordinateur n’est pas \*.

    2. Sélectionnez le bouton Différences . La section Stratégies de compte/Stratégie de mot de passe est mise en surbrillance en vert et précédée de [+]. Cela indique que le paramètre est configuré uniquement dans la dernière version de l’objet de stratégie de groupe.

    3. Sélectionnez Stratégies de compte/Stratégie de mot de passe. Le paramètre Longueur minimale du mot de passe est également mis en surbrillance en vert et précédé de [+], indiquant qu’il n’est configuré que dans la dernière version de l’objet de stratégie de groupe.

    4. Fermez le navigateur Web.

Pour déployer l’objet de stratégie de groupe dans l’environnement de production

  1. Sous l’onglet En attente , sélectionnez Avec le bouton droit MyGPO , puis approuver.

  2. Tapez un commentaire à inclure dans l’historique de l’objet de stratégie de groupe.

  3. Sélectionnez Oui. Lorsque la fenêtre Progression AGPM indique que la progression globale est terminée, sélectionnez Fermer. L’objet de stratégie de groupe est déployé dans l’environnement de production.

Pour lier l’objet de stratégie de groupe à un domaine ou à une unité d’organisation

  1. Dans la console gpMC, sélectionnez avec le bouton droit le domaine ou une unité d’organisation (UO) à laquelle vous souhaitez appliquer l’objet de stratégie de groupe que vous avez configuré, puis sélectionnez Lier un objet de stratégie de groupe existant.

  2. Dans la boîte de dialogue Sélectionner un objet de stratégie de groupe, sélectionnez MyGPO, puis ok.

Étape 4 : Utiliser un modèle pour créer un objet de stratégie de groupe

Dans cette étape, vous utilisez un compte qui a le rôle Éditeur pour créer et utiliser un modèle. Ce modèle est une version statique d’un objet de stratégie de groupe à utiliser comme point de départ pour la création de nouveaux objets de stratégie de groupe. Bien que vous ne puissiez pas modifier un modèle, vous pouvez créer un nouvel objet de stratégie de groupe basé sur un modèle. Les modèles sont utiles pour créer rapidement plusieurs objets de stratégie de groupe qui incluent un grand nombre des mêmes paramètres de stratégie.

Pour créer un modèle basé sur un objet de stratégie de groupe existant

  1. Sur un ordinateur sur lequel vous avez installé le client AGPM, connectez-vous avec un compte d’utilisateur auquel le rôle Éditeur est attribué dans AGPM.

  2. Dans l’arborescence Console de gestion des stratégies de groupe, sélectionnez Modifier le contrôle dans la forêt et le domaine dans lesquels vous souhaitez gérer les objets de stratégie de groupe.

  3. Sous l’onglet Contenu du volet d’informations, sélectionnez l’onglet Contrôlé .

  4. Sélectionnez avec le bouton droit MyGPO, puis Sélectionnez Enregistrer en tant que modèle pour créer un modèle incorporant tous les paramètres actuellement dans MyGPO.

  5. Tapez MyTemplate comme nom pour le modèle et un commentaire, puis sélectionnez OK.

  6. Lorsque la fenêtre Progression AGPM indique que la progression globale est terminée, sélectionnez Fermer. Le nouveau modèle s’affiche sous l’onglet Modèles .

Pour demander la création et la gestion d’un nouvel objet de stratégie de groupe via AGPM

  1. Sélectionnez l’onglet Contrôlé .

  2. Sélectionnez avec le bouton droit le nœud Modifier le contrôle , puis sélectionnez Nouvel objet de stratégie de groupe contrôlé.

  3. Dans la boîte de dialogue Nouvel objet de stratégie de groupe contrôlé :

    1. Pour recevoir une copie de la demande, tapez votre adresse de messagerie dans le champ Cc .

    2. Tapez MyOtherGPO comme nom du nouvel objet de stratégie de groupe.

    3. Tapez un commentaire pour le nouvel objet de stratégie de groupe.

    4. Sélectionnez Créer en direct pour que le nouvel objet de stratégie de groupe soit déployé dans l’environnement de production immédiatement après approbation.

    5. Pour À partir du modèle D’objet de stratégie de groupe, sélectionnez MyTemplate. Sélectionnez Envoyer.

  4. Lorsque la fenêtre Progression AGPM indique que la progression globale est terminée, sélectionnez Fermer. Le nouvel objet de stratégie de groupe s’affiche sous l’onglet En attente .

Utilisez un compte auquel le rôle Approbateur est attribué pour approuver la demande en attente de création de l’objet de stratégie de groupe, comme vous l’avez fait à l’étape 1 : Créer un objet de stratégie de groupe. MyTemplate incorpore tous les paramètres que vous avez configurés dans MyGPO. Étant donné que MyOtherGPO a été créé à l’aide de MyTemplate, il contient d’abord tous les paramètres que MyGPO contenait au moment de la création de MyTemplate. Vous pouvez confirmer cela en générant un rapport de différence pour comparer MyOtherGPO à MyTemplate.

Pour extraire l’objet de stratégie de groupe de l’archive pour le modifier

  1. Sur un ordinateur sur lequel vous avez installé le client AGPM, connectez-vous avec un compte d’utilisateur auquel le rôle Éditeur est attribué dans AGPM.

  2. Sélectionnez Avec le bouton droit MyOtherGPO, puis sélectionnez Extraire.

  3. Tapez un commentaire à afficher dans l’historique de l’objet de stratégie de groupe lorsqu’il est extrait, puis sélectionnez OK.

  4. Lorsque la fenêtre Progression AGPM indique que la progression globale est terminée, sélectionnez Fermer. Sous l’onglet Contrôlé , l’état de l’objet de stratégie de groupe est identifié comme extrait.

Pour modifier l’objet de stratégie de groupe hors connexion et configurer la durée de verrouillage du compte

  1. Sous l’onglet Contrôlé , sélectionnez avec le bouton droit MyOtherGPO, puis sélectionnez Modifier pour ouvrir la fenêtre Éditeur de gestion des stratégies de groupe et modifier une copie hors connexion de l’objet de stratégie de groupe. Pour ce scénario, configurez la longueur minimale du mot de passe :

    1. Sous Configuration de l’ordinateur, double-sélectionnez Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies de compte et Stratégie de verrouillage de compte.

    2. Dans le volet d’informations, double-sélectionnez Durée du verrouillage du compte.

    3. Dans la fenêtre propriétés, cochez Définir ce paramètre de stratégie, définissez la durée sur 30 minutes, puis sélectionnez OK.

  2. Fermez la fenêtre Éditeur de gestion des stratégies de groupe .

Cochez MyOtherGPO dans l’archive et demandez le déploiement comme vous l’avez fait pour MyGPO à l’étape 2 : Modifier un objet de stratégie de groupe. Vous pouvez comparer MyOtherGPO à MyGPO ou à MyTemplate à l’aide de rapports de différence. Tout compte qui inclut le rôle Réviseur (administrateur AGPM [contrôle total], approbateur, éditeur ou réviseur) peut générer des rapports.

Pour comparer un objet de stratégie de groupe à un autre objet de stratégie de groupe et à un modèle

  1. Pour comparer MyGPO et MyOtherGPO :

    1. Sous l’onglet Contrôlé , sélectionnez MyGPO. Appuyez sur Ctrl, puis sélectionnez MyOtherGPO.

    2. Sélectionnez avec le bouton droit MyOtherGPO, pointez sur Différences, puis sélectionnez Rapport HTML.

  2. Pour comparer MyOtherGPO et MyTemplate :

    1. Sous l’onglet Contrôlé , sélectionnez MyOtherGPO.

    2. Sélectionnez avec le bouton droit MyOtherGPO, pointez sur Différences, puis sélectionnez Modèle.

    3. Sélectionnez MyTemplate et Rapport HTML, puis sélectionnez OK.

Étape 5 : Supprimer et restaurer un objet de stratégie de groupe

Dans cette étape, vous agissez en tant qu’approbateur pour supprimer un objet de stratégie de groupe.

Pour supprimer un objet de stratégie de groupe

  1. Sur un ordinateur sur lequel vous avez installé le client AGPM, connectez-vous avec un compte d’utilisateur auquel le rôle Approbateur est attribué.

  2. Dans l’arborescence Console de gestion des stratégies de groupe, sélectionnez Modifier le contrôle dans la forêt et le domaine dans lesquels vous souhaitez gérer les objets de stratégie de groupe.

  3. Sous l’onglet Contenu , sélectionnez l’onglet Contrôlé pour afficher les objets de stratégie de groupe contrôlés.

  4. Sélectionnez Avec le bouton droit MyGPO, puis sélectionnez Supprimer. Sélectionnez Supprimer l’objet de stratégie de groupe de l’archive et de la production pour supprimer à la fois la version dans l’archive et la version déployée de l’objet de stratégie de groupe dans l’environnement de production.

  5. Tapez un commentaire à afficher dans la piste d’audit de l’objet de stratégie de groupe, puis sélectionnez OK.

  6. Lorsque la fenêtre Progression AGPM indique que la progression globale est terminée, sélectionnez Fermer. L’objet de stratégie de groupe est supprimé de l’onglet Contrôlé et s’affiche sous l’onglet Corbeille , où il peut être restauré ou détruit.

Parfois, après avoir supprimé un objet de stratégie de groupe, vous pouvez découvrir qu’il est toujours nécessaire. Dans cette étape, vous agissez en tant qu’approbateur pour restaurer un objet de stratégie de groupe qui a été supprimé.

Pour restaurer un objet de stratégie de groupe supprimé

  1. Sous l’onglet Contenu , sélectionnez l’onglet Corbeille pour afficher les objets de stratégie de groupe supprimés.

  2. Sélectionnez Avec le bouton droit MyGPO, puis sélectionnez Restaurer.

  3. Tapez un commentaire à afficher dans l’historique de l’objet de stratégie de groupe, puis sélectionnez OK.

  4. Lorsque la fenêtre Progression AGPM indique que la progression globale est terminée, sélectionnez Fermer. L’objet de stratégie de groupe est supprimé de l’onglet Corbeille et s’affiche sous l’onglet Contrôlé .

    Remarque

    La restauration d’un objet de stratégie de groupe dans l’archive ne le redéploie pas automatiquement dans l’environnement de production. Pour renvoyer l’objet de stratégie de groupe dans l’environnement de production, déployez l’objet de stratégie de groupe comme à l’Étape 3 : Passer en revue et déployer un objet de stratégie de groupe.

Après avoir modifié et déployé un objet de stratégie de groupe, vous pouvez découvrir que les modifications récentes apportées à l’objet de stratégie de groupe provoquent un problème. Dans cette étape, vous agissez en tant qu’approbateur pour revenir à une version antérieure de l’objet de stratégie de groupe. Vous pouvez revenir à n’importe quelle version de l’historique de l’objet de stratégie de groupe. Vous pouvez utiliser des commentaires et des étiquettes pour identifier les versions correctes connues et le moment où des modifications spécifiques ont été apportées.

Pour revenir à une version antérieure d’un objet de stratégie de groupe

  1. Sous l’onglet Contenu , sélectionnez l’onglet Contrôlé pour afficher les objets de stratégie de groupe contrôlés.

  2. Double-sélectionnez MyGPO pour afficher son historique.

  3. Sélectionnez avec le bouton droit la version à déployer, sélectionnez Déployer, puis Oui.

  4. Lorsque la fenêtre Progression indique que la progression globale est terminée, sélectionnez Fermer. Dans la fenêtre Historique , sélectionnez Fermer.

    Remarque

    Pour vérifier que la version qui a été redéployée est bien la version prévue, examinez un rapport de différence pour les deux versions. Dans la fenêtre Historique de l’objet de stratégie de groupe, sélectionnez les deux versions, cliquez dessus avec le bouton droit, pointez sur Différence, puis sélectionnez Rapport HTML ou Rapport XML.