Bonjour tout le monde! Me revoici après un long moment d’absence! Je ne vais pas m’étaler sur le pourquoi de cette absence, mais j’espère bien pouvoir nourrir à nouveau ce blog de quelques billets techniques, qui, je l’espère, vous aideront! Nous voici donc reparti avec un sujet concernant Active Directory Domain Services et plus particulièrement les stratégies de groupe: le magasin central.

Petit Récap

Tous ceux qui ont un jour fait de la gestion avancée de stratégies de groupe sous Windows Server 2003 savent combien il est décourageant de devoir modifier les modèles d’administration, pour rajouter des paramètres ou bien pour modifier des options. En effet, dans Windows Server 2003, la console de gestion des stratégies de groupe utilise les modèles d’administration locaux (fichiers “.adm” présents dans le dossier “C:\Windows\Inf”) du serveur depuis lequel la console est exécutée.

Cela est relativement gênant, car cela implique que lorsque l’on effectue une modification sur ces fichiers pour rajouter des paramètres de stratégie de groupe ou encore modifier certaines valeurs de clés de registre possibles, il faut copier ces fichiers sur tous les serveurs ou machines pouvant potentiellement être utilisés pour modifier les stratégies de groupe et ce, afin que les modifications soient visibles et utilisables de partout. Cela complique énormément la gestion des fichiers “.adm”.

De plus, leur format n’est pas facilement utilisable et difficilement modifiable surtout si l’on doit travailler dans un environnement multilingue. En effet, les définitions des paramètres et leur description sont renseignés dans le même fichier “.adm” ce qui implique de recréer ces fichiers de définition dans toutes les langues.

Voici à quoi ressemble la définition des paramètres qui permettent de masquer et d’empêcher l’accès à certaines lettres dans le poste de travail, qui se trouve dans le fichier “system.adm”:

Je ne sais pas pour vous, mais pour moi, cela paraît un peu complexe à aborder… :)

Un peu plus bas, dans le même fichier, on trouve l’ensemble des textes associés aux paramètres et qui seront affichés dans la console de gestion des stratégies de groupe.

Tout ça n’est pas très pratique!

Nouveautés

Heureusement, Windows Server 2008 est arrivé avec son lot de bonnes nouvelles et notamment au niveau des modèles d’administration de stratégies de groupe.

Premièrement, nous avons le droit à un nouveau format de fichier: le “.admx” couplé à un “.adml”. Vous vous doutez donc que ces nouveaux modèles d’administration sont basés sur du XML.

Le fichier “.admx” contient la définition des paramètres ainsi que les valeurs possibles.

Le fichier “.adml” contient les textes associés aux paramètres comme leur description ou leur traduction dans les différentes langues. On retrouvera donc un fichier “.adml” pour chaque langue utilisable. Ceci va largement simplifier l’aspect multilangue et la modification des modèles d’administration.

Ces fichiers se trouvent maintenant dans le dossier “C:\Windows\PolicyDefinitions” sur Windows Server 2008.

Voici la syntaxe d’un fichier admx (WindowsExplorer.admx):

Cela est quand même bien plus clair, à condition d’avoir quelques notions pour la lecture du XML.

Voici le fichier adml correspondant (WindowsExplorer.adml dans le sous-dossier fr-FR):

Vous pouvez aller dans le dossier en-US si vous travaillez sur une version anglaise et vous aurez toutes les traductions des textes en anglais. On ne verra pas dans ce billet comment modifier ces fichiers pour les personnaliser et rajouter des paramètres ou encore des options sur des paramètres existants. Ceci fera sans doute parti d’un autre billet ou de billets spécifiques pour certains paramètres intéressants à modifier.

Mais ce qui va particulièrement nous intéresser, c’est ce qui s’appelle dans la langue de shakespeare le “Group Policy Central Store” ou le magasin central des stratégies de groupe.

C’est très simple, mais cela va grandement nous faciliter la gestion des modifications sur les fichiers de modèles d’administration. En effet, comme son nom l’indique, cette fonctionnalité va nous permettre de centraliser l’ensemble des fichiers de modèles d’administration des stratégies de groupe.

Ainsi, la console d’édition des stratégies de groupe ira chercher les définitions des stratégies directement dans le magasin central, quelque soit la machine depuis laquelle elle est exécutée. Ceci nous permet donc de maintenant une seule version des fichiers de façon très simple.

Pour créer ce magasin central, c’est très simple, il vous suffit de créer un dossier “PolicyDefinitions” dans le dossier suivant:

\\votredomaine.lan\SYSVOL\votredomaine.lan\Policies

Ensuite il vous suffit de copier l’intégralité du contenu du dossier “C:\Windows\PolicyDefinitions” de l’une de vos machines Windows Server 2008 dans le répertoire nouvellement créé dans SYSVOL.

Ensuite il ne vous reste plus qu’à relancer la console de gestion des stratégies de groupe et d’éditer une de vos stratégies. Vous pourrez voir sur la partie “Modèles d’administration” que ceux-ci sont chargés à partir du magasin central et tout ceci de façon complètement automatique.

En fait, la console de gestion fournie avec Windows Server 2008 commence par vérifier l’existence du magasin central. Si celui-ci existe, alors elle utilise les fichiers qu’il contient; sinon, elle utilise les fichiers locaux.

Vous voyez donc les améliorations qui ont été apportées à ce niveau avec Windows Server 2008. Bien sûr, tout ceci est encore valable dans Windows Server 2008 R2.

J’espère que ce petit article vous apportera quelque chose!