Analyser l’ordre d’application des stratégies de groupe

 

Vous avez pu lire dans l'article précédent quelle est l'ordre de priorité pour les stratégies de groupe :

Dans cet article nous allons voir les stratégies réellement appliqués et dans quel ordre. Nous avions définit l'ordre de priorité des stratégies et vous avez pu remarquer que j'ai présenté l'ordre du moins prioritaire au plus prioritaire :

  • Stratégie de sécurité locale
  • Stratégie de groupe du domaine lié à un site
  • Stratégie de domaine lié au domaine
  • Stratégie de l'unité d'organisation parent
  • Stratégie de l'unité d'organisation enfant

Il y a un intérêt à le présenter dans ce sens pour une meilleure compréhension. Il faut imaginer que les stratégies de groupe sont des calques qui se superposent. La stratégie la moins prioritaire est appliquée en premier et son paramètre sera pris en compte s'il n'est pas « recouvert » par un autre « calque » qui définirait une autre valeur pour le même paramètre. Donc la stratégie de groupe la plus prioritaire est par défaut la stratégie appliqué en dernier.

Dans notre exemple nous utilisons un domaine avec des contrôleurs de domaines en 2012R2 et un client en Windows 8.1, néanmoins l'exemple reste valable pour les autres versions. Le poste client appartient à l'unité d'organisation  « info » :

Nous utiliserons l'observateur d'événement pour analyser l'ordre d'application des stratégies de groupes. En effet depuis Windows Vista, il est possible de suivra l'application des stratégies de groupe dans « Journal des applications et des services / Microsoft / Windows / Group Policy » :

 

Afin d'améliorer la visibilité nous n'afficherons que les événements « 4017 » et « 5017 » :

Vous trouverez un article détaillé sur l'analyse des événements des stratégies de groupe dans l'article : https://technet.microsoft.com/fr-fr/library/cc749336(v=ws.10).aspx .

Parmi les événements 4017 on retrouve les accès au dossier des stratégies de groupe sur le partage « sysvol » du contrôleur de domaine

Il est possible de retrouver la stratégie correspondantes avec l'aide de l'identifiant :

On constate que la GPO appliqué en premier est la stratégie la moins prioritaire au niveau du domaine (je n'ai pas de stratégie définit sur les sites dans cet exemple)  :

 

Pour comprendre le mécanisme nous allons créer une première stratégie qui modifie le type de démarrage du service «registre à distance », pour le mettre en « automatique : début différé » et le démarrer.

 

Après avoir exécuté un « gpupdate /force », le service qui est par défaut arrêter est maintenant démarrer :

Nous rajoutons maintenant une autre stratégie de groupe qui arrête le service de registre à distance  sur l'unité d'organisation enfant « info » :

Après un « gpupate /force », les événements montrent l'ordre d'application des GPO de la moins prioritaire à la plus prioritaire. Si on regarde le journal système on constate à chaque rafraichissement des GPO que le service passe en mode automatique puis de suite en mode de démarrage manuel :

 

Si nous regardons l'état du service il est bien arrêté :

Nous avons donc pu voir que les stratégies de groupes sont exécutés une après l'autre de la moins prioritaire à la plus prioritaire. Vous savez également comment retrouver les événements liés à l'application des stratégies de groupes dans l'observateur d'événement.

Tags: 

Theme: 

Systeme: 

Annee: