Dans cet article nous allons voir plus en détail, comment sont enregistrées les informations des stratégies de groupe avec Active Directory Domain Services.
Lorsque vous créez une stratégie de groupe, il y a plusieurs emplacements où les informations sont enregistrées.
Le premier, sans doute le plus connu, est le dossier contenant les paramètres de la stratégie. Ils se trouvent dans un dossier partagé spécifique « Sysvol ». Chaque stratégie est représentée par un sous-dossier contenant des paramètres utilisateurs et des paramètres machines.
Une partie des informations est enregistrée directement dans l'annuaire AD avec un des objets de type « groupPolicyContainer ». Ces objets sont stockés dans le conteneur « System \ Policies » de la partition de domaine du domaine en question.
Il est possible d'afficher le conteneur « system » dans la console « Utilisateurs et Ordinateurs Active Directory » (dsa.msc), en activant les « Fonctionnalités avancées » dans le menu « Affichage » :
Dans l'image ci-dessous vous pouvez voir le contenu du dossier « Policies » et donc l'ensemble des stratégies de groupes existant sur le domaine.
Chaque objet de stratégie de groupe dispose d'un attribut « gPCFileSysPath » qui indique le chemin de la stratégie dans le partage « Sysvol » :
Néanmoins à ce stade nous ne savons pas où sont enregistrés les liens entre les stratégies et les OU sur lesquels, elles s'appliquent.
Les liens des stratégies de groupe qui s'appliquent à un conteneur (OU par exemple), sont enregistrés dans l'attribut « GPLink » de l'objet en question :
La valeur de l'attribut est la liste des noms LDAP des objets de stratégies de groupe qui lui sont liées :
Par exemple :
[LDAP://cn={085658F4-57F4-4935-A0FF-EA42EC761C96},cn=policies,cn=system,DC=htrab,DC=lan;0]
[LDAP://cn={3BD13B51-CBC7-45B2-9ADF-DC00C5BA0CD4},cn=policies,cn=system,DC=htrab,DC=lan;0]