Mettre en œuvre des stratégies système pour les ordinateurs clients Windows XP, Windows 2000 et Windows Server 2003 dans les environnements autres qu’Active Directory

S’applique à : Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows XP Professional

Résumé


Cet article explique comment implémenter des stratégies système pour les ordinateurs clients Microsoft Windows XP, Microsoft Windows 2000 et Microsoft Windows Server 2003 dans les environnements de service d’annuaire autre qu’Active Directory.

INTRODUCTION


Avant l’implémentation des paramètres de stratégie de groupe et d’Active Directory dans Windows 2000, les paramètres de stratégie de groupe et d’ordinateur ont été implémentés en tant que « stratégies système Microsoft Windows NT ». Les stratégies système pour Windows NT disposaient des limitations suivantes : les paramètres de stratégie de groupe Active Directory n’ont pas :
  • Les stratégies persistent dans le profil d’un utilisateur jusqu’à ce que la stratégie spécifiée soit annulée ou jusqu’à ce que vous ayez modifié le paramètre de Registre applicable. Ce comportement est souvent désigné sous le nom de « tatouage » du Registre.
  • Les stratégies ne sont pas sécurisées.
  • Les stratégies ne peuvent pas être actualisées sans redémarrage.
La stratégie de groupe inclut les fonctionnalités des stratégies système de Windows NT 4,0. La stratégie de groupe fournit également des paramètres de stratégie supplémentaires pour les éléments suivants :
  • Scripts
  • Installation et maintenance de logiciels
  • Paramètres de sécurité
  • Maintenance de Microsoft Internet Explorer
  • Redirection de dossiers
Le tableau suivant compare les stratégies de groupe et la stratégie système Windows NT 4,0.
ComparatifStratégie de groupeStratégie système pour Windows NT 4,0
Outil utiliséComposant logiciel enfichable de la stratégie de groupe Microsoft Management Console (MMC)Éditeur de stratégie système (Poledit. exe)
Nombre de paramètresPlus de 150 des paramètres liés à la sécurité et plus que des paramètres de base de registres 620paramètres 72
Appliqué àUtilisateurs ou ordinateurs dans un conteneur Active Directory (site, domaine ou unité d’organisation) ou ordinateurs locaux et utilisateursDomaines ou ordinateurs locaux et utilisateurs
SécuritéSécuriséNon sécurisé
Extensible parFichiers MMC ou. admfichiers. adm
PersistanceNe conserve pas les paramètres dans les profils utilisateur lorsque la stratégie d’effectivité est modifiée.Permanent dans les profils utilisateur tant que la stratégie spécifiée n’est pas annulée ou que vous n’avez pas modifié le registre
Définie parAppartenance à un utilisateur ou à un ordinateur dans des groupes de sécuritéAppartenance des utilisateurs à des groupes de sécurité
Usages principauxMettre en œuvre des paramètres de Registre pour contrôler le bureau et l’utilisateur. Configurer de nombreux types de paramètres de sécurité. Appliquez les scripts d’ouverture de session, de connexion, de démarrage et d’arrêt. Mettre en œuvre la maintenance et l’installation de logiciels IntelliMirror. Mettre en œuvre la gestion des paramètres et des données IntelliMirror. Optimisez et gérez Internet Explorer. Implémentez des paramètres basés sur le Registre qui régissent le comportement des applications et des composants du système d’exploitation, comme le menu Démarrer.

Informations supplémentaires


Outil à utiliser pour une tâche de gestion spécifique

Dans un environnement sans Active Directory, vous pouvez utiliser un large éventail d’outils pour gérer la stratégie système. Voici quelques exemples d’outils que vous pouvez utiliser :
  • Microsoft Systems Management Server (SMS) 2003 pour gérer la distribution de logiciels
  • Kit d’administration d’Internet Explorer pour gérer les paramètres d’Internet Explorer
  • Stratégie système pour gérer les paramètres de Registre
Par ailleurs, chaque ordinateur local possède son propre objet de stratégie de groupe local, que l’ordinateur y participe ou non. Bien que les administrateurs puissent configurer divers paramètres à l’aide de l’objet de stratégie de groupe local, la stratégie système évolue plus facilement vers de nombreux clients. L’objet de stratégie de groupe local est utile si vous voulez appliquer certains paramètres à un petit nombre de clients Active Directory d’un domaine Windows NT 4,0 ou dans d’autres domaines non Active Directory. Pour les ordinateurs de bureau du client Active Directory qui fonctionnent dans d’autres environnements, comme dans Windows NT 4,0, UNIX, Novell ou des environnements mixtes, les fonctionnalités et outils de gestion du Bureau varient. Le tableau suivant récapitule les différences dans les outils de gestion de bureau et les fonctionnalités dans les environnements Active Directory et les environnements non-Active Directory.
Tâche de gestionActive DirectoryNon-Active Directory
Configurer les paramètres de Registre pour les ordinateurs et les utilisateurs.Modèles d’administration déployés à l’aide d’une stratégie de groupe. Modèles d’administration déployés à l’aide de l’objet de stratégie de groupe local. Stratégie système. Objet de stratégie de groupe local.
Gestion de la sécurité locale, du domaine et du réseau.Paramètres de sécurité déployés via une stratégie de groupe. Paramètres de sécurité déployés à l’aide de l’objet de stratégie de groupe local. Objet de stratégie de groupe local.
Installer, mettre à jour et supprimer des logiciels de manière centralisée.Spécialiste. Distribution de logiciels basée sur une stratégie de groupe. Spécialiste.
Gérer les paramètres de configuration d’Internet Explorer après le déploiement.Maintenance d’Internet Explorer dans le composant logiciel enfichable Stratégie de groupe de la console MMC. Maintenance d’Internet Explorer déployée à l’aide de l’objet de stratégie de groupe local. Kit d’administration Internet Explorer (IEAK). Objet de stratégie de groupe local. É.
Appliquez des scripts lors de la connexion/déconnexion d’un utilisateur et au démarrage/à l’arrêt de l’ordinateur.Les scripts d’ouverture de session et de fermeture de session et de démarrage/arrêt peuvent être configurés de manière centralisée en utilisant une stratégie de groupe ou indépendamment à l’aide de l’objet de stratégie de groupe local.Objet de stratégie de groupe local.
Gestion centralisée des dossiers et des fichiers utilisateur sur le réseau.Objet de stratégie de groupe local.Stratégie système. Manipulation des paramètres du Registre à l’aide de scripts d’ouverture de session.
Gestion centralisée des paramètres utilisateur sur le réseau.Profils utilisateur errants.Profils utilisateur errants pour les domaines Windows.
Vous pouvez également gérer les postes de travail Microsoft Windows XP professionnel sur les réseaux UNIX et Novell à l’aide de protocoles standard tels que TCP/IP, protocole SNMP (simple Network Management Protocol), Telnet et échange de paquets par réseau. Pour activer l’administration basée sur les stratégies sur les réseaux UNIX et Novell, utilisez un objet de stratégie de groupe local ou une stratégie système.

Configuration de stratégies système

Outil Poledit. exe

Les stratégies système sont créées à l’aide de l’outil Éditeur de stratégie système de Windows NT 4,0 (Poledit. exe) pour créer le fichier de stratégie (Ntconfig. pol). Poledit. l’outil exe est installé avec Windows 2000 Server et Windows 2000 Advanced Server. vous pouvez utiliser l’outil. exe sur les ordinateurs Windows XP professionnel si vous installez le package Outils d’administration inclus sur le serveur Windows 2000 Server et Windows 2000 Advanced Server CDs.to installer le package Outils d’administration sur un ordinateur Windows XP professionnel, ouvrir le dossier i386 sur le CD Windows 2000 Server en vigueur. , puis double-cliquez sur le fichier Adminpak. msi. Suivez les instructions qui s’affichent dans l’Assistant Configuration des outils d’administration. lors de l’installation du package Outils d’administration, le fichier Poledit. exe et ses fichiers. adm de prise en charge (Winnt. adm, Windows. adm et Common. adm) sont installés dans le dossier%systemroot%\System et dans le répertoire INF. Le fichier Poledit. exe n’est pas ajouté au menu Démarrer. Toutefois, vous pouvez exécuter l’outil à l’invite de commandes.Remarque
  • L’éditeur de stratégie système pour Windows NT 4,0 ou les versions antérieures de l’éditeur de stratégie système ne peuvent pas lire les fichiers. ADM au format Unicode inclus dans Windows 2000 ou les versions ultérieures. Vous devez utiliser la version de l’éditeur de stratégie système incluse dans Windows 2000 ou les versions ultérieures. Cette version prend en charge Unicode. Par ailleurs, si vous réenregistrez les fichiers. adm en tant que fichiers. txt sans codage Unicode, vous pouvez utiliser une version plus ancienne de l’outil Poledit. exe.
  • L’outil Poledit. exe n’est pas inclus dans le fichier Windows Server 2003 adminpak. msi. La version 2000 de Windows de l’outil Poledit. exe ne peut pas être téléchargée à partir d’un site Web Microsoft.

Modèles d’administration

L’outil Poledit. exe utilise des fichiers connus sous le nom de modèles d’administration (fichiers. adm) pour déterminer les paramètres de Registre qui peuvent être modifiés et les paramètres qui s’affichent dans l’éditeur de stratégies système. les paramètres de stratégie système sont écrits dans les emplacements suivants du Registre :
  • HKEY_CURRENT_USER \Software\Policies (emplacement préféré)
  • HKEY_LOCAL_MACHINE \Software\Policies (emplacement préféré)
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
Un client Active Directory traite la stratégie système si l’utilisateur, le compte d’ordinateur ou les deux comptes font partir d’un domaine Windows NT 4,0. Le client recherche le fichier NTConfig. pol qui est utilisé par la stratégie système Windows NT 4,0. Par défaut, le client recherche ce fichier dans le partage Netlogon du contrôleur de domaine Windows NT 4,0 d’authentification.Remarque Un objet de compte d’ordinateur peut exister dans un domaine Windows NT 4,0 et un objet de compte d’utilisateur pour un utilisateur de cet ordinateur peut exister dans un domaine Active Directory, ou vice-versa. Toutefois, lorsque vous utilisez un tel environnement mixte, les utilisateurs et les ordinateurs sont difficiles à gérer et peuvent entraîner des comportements inattendus. Pour une gestion centralisée optimale, nous vous recommandons de passer d’un environnement mixte à un environnement Active Directory pur.

Comment spécifier le chemin d’accès du fichier de stratégie

Par défaut, les clients Active Directory recherchez le fichier de stratégie sur le partage Netlogon. Toutefois, vous pouvez modifier l’emplacement de ce fichier. L’entrée de Registre UpdateMode force l’ordinateur à récupérer le fichier de stratégie à partir d’un emplacement spécifique, exprimé sous forme de chemin d’accès UNC (Universal Naming Convention), quel que soit l’utilisateur qui se connecte. Vous pouvez définir l’entrée UpdateMode à l’aide de l’éditeur de stratégie système et du fichier System. adm. Toutefois, vous devez disposer des autorisations appropriées pour rechercher et lire le fichier de stratégie. Dans le cas contraire, les modifications du Registre correspondant au nouvel emplacement du fichier de stratégie ne sont pas prises en compte. Pour modifier l’entrée UpdateMode, utilisez l’une des méthodes suivantes. (Les méthodes sont répertoriées par ordre de préférence.)
  • Méthode 1 : modifier le registre à l’aide de l’objet de stratégie de groupe local.
  • Méthode 2 : modifiez le registre à l’aide de l’éditeur du Registre sur chaque client, ou utilisez le programme reg. exe dans un script.
  • Méthode 3 : modification du Registre à l’aide de l’outil Poledit. exe. Cette méthode est la moins utile, car vous définissez l’emplacement du fichier NTConfig. pol dans le fichier lui-même.
Méthode 1 : modifier le registre à l’aide de l’objet de stratégie de groupe local
  1. Dans le menu fichier , cliquez sur ouvrir le registre, puis double-cliquez sur ordinateur local.
  2. Dans la boîte de dialogue Propriétés , développezréseau, puis développez mise à jour stratégies système pour afficher l’option mise à jour distante.
  3. Cliquez sur la case à cocher mise à jour distante .
  4. Dans la liste mode de mise à jour , cliquez sur pour sélectionnermanuel (utiliser un chemin d’accès spécifique).
  5. Dans la zone chemin pour la mise à jour manuelle , tapez le chemin d’accès UNC et le nom de fichier du fichier de stratégie, puis cliquez surOK pour enregistrer vos modifications.
Méthode 2 : modification du Registre à l’aide de l’éditeur du Registre sur chaque client ou utilisation du programme reg. exe dans un script
Important Cette section, méthode ou tâche comporte des étapes qui vous indiquent comment modifier le registre. Toutefois, des problèmes sérieux peuvent se produire si vous modifiez le registre de manière incorrecte. Par conséquent, veillez à suivre ces étapes soigneusement. Pour une protection renforcée, sauvegardez le registre avant de le modifier. Vous pouvez ensuite restaurer le registre en cas de problème. Pour plus d’informations sur la sauvegarde et la restauration du Registre, cliquez sur le numéro ci-dessous pour consulter l’article de la base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows
Pour vous assurer que les clients peuvent localiser le fichier de stratégie système, vous devez configurer les clés de Registre suivantes sur les clients :valeur UpdateMode. cette entrée du registre détermine la façon dont le client recherche le fichier NTConfig. pol qui contient les stratégies. Path : HKEY_LOCAL_MACHINE \System\CurrentControlSet\Control\Update nom de la valeur : type de données UpdateMode : valeurs REG_DWORD :
ValeurDescription
0Les stratégies système sont désactivées.
1Le mode automatique recherche un fichier de stratégie nommé Ntconfig. pol dans le partage Netlogon du serveur d’authentification. Il s’agit de la valeur par défaut.
deuxièmeLe mode manuel recherche le fichier de stratégie spécifié dans l’emplacement spécifié par la valeur NetworkPath. Si UpdateMode a la valeur 2, vous devez spécifier une valeur supplémentaire nommée NetworkPath qui spécifie un chemin d’accès à une stratégie système local ou réseau et un nom de fichier.
Valeur NetworkPathLe paramètre NetworkPath est utilisé pour identifier l’emplacement du fichier NTConfig. pol qui est utilisé pour déterminer les stratégies système si la valeur UpdateMode est 2. Path : HKEY_LOCAL_MACHINE \System\CurrentControlSet\Control\Update nom de la valeur : type de données NetworkPath : REG_SZ valeurs :
ValeurExemple
Chemin UNC\\Server_name\Share_name\File_name
Chemin localC:\Folder_name\File_name
Méthode 3 : modification du Registre à l’aide de l’outil Poledit. exe
Pour récupérer le fichier de stratégie à un emplacement spécifique, procédez comme suit :
  1. Cliquez sur Démarrer, sur exécuter, tapez Poledit. exe, puis cliquez surOK.
  2. Cliquez sur options, sur modèle de stratégie, puis dans la boîte de dialogue Options de modèle de stratégie, assurez-vous que System. adm figure dans la liste des modèles de stratégie actuels. Si System. adm ne figure pas dans la liste, cliquez sur Ajouter pour ajouter ce fichier.
  3. Pour ouvrir la stratégie par défaut de l’ordinateur, cliquez sur nouvelle stratégie dans le menu fichier , puis double-cliquez surordinateur par défaut dans la liste stratégies .

Comportement du client Windows XP professionnel

Dans Windows XP professionnel, les modifications de stratégie sont enregistrées localement dans le registre la première fois que les événements suivants se produisent :
  • Un client est modifié localement à l’aide de l’éditeur de stratégie système.
  • Un client reçoit un fichier de stratégie système par défaut du partage Netlogon d’un contrôleur de domaine.
Par la suite, le client Windows XP professionnel n’examine plus un contrôleur de domaine pour trouver un fichier de stratégie. Toutes les mises à jour de stratégie utilisent l’emplacement que vous avez spécifié manuellement. Cette modification est définitive tant que vous n’avez pas modifié le fichier de stratégie pour rétablir l’option automatique.

Créer le fichier de stratégie (Ntconfig. pol)

  1. Supprimez toutes les instructions de version et de #endif du #if des fichiers. adm suivants, puis enregistrez les fichiers :
    • System.adm
    • Inetres.adm
    • Conf.adm
    Cette étape empêche le chargement involontaire de ces fichiers à l’aide de l’outil Poledit. exe. Par exemple, dans le fichier Inetres. adm, supprimez les lignes suivantes :
    • #if version <= 2
    • #endif
  2. Cliquez sur Démarrer, sur exécuter, tapez Poledit. exe, puis cliquez surOK.
  3. Dans la fenêtre Éditeur de stratégie système, cliquez sur modèle de stratégie dans le menu options .
  4. Dans la boîte de dialogue options de modèle de stratégie , cliquez sur Ajouter, sélectionnez l’un des fichiers. adm que vous avez modifiés à l’étape 1, puis cliquez sur OK.
  5. Spécifiez les paramètres de stratégie appropriés tels qu’ils sont indiqués dans l’aide de l’éditeur de stratégie système.
  6. Enregistrez le fichier au format Ntconfig. pol. Enregistrez le fichier dans le partage Netlogon du contrôleur de domaine Windows NT 4,0.

Créer un fichier NTConfig. pol basé sur des fichiers. adm Windows XP professionnel

Vous pouvez créer un fichier NTConfig. pol qui est basé sur les fichiers Windows XP professionnel. adm, puis appliquer ces paramètres aux clients Windows XP professionnel. Pour ce faire, utilisez l’outil Poledit. exe. Vous pouvez installer. exe sur des clients Windows XP professionnel en installant le package d’outils d’administration inclus sur les CD Windows 2000 Server et Windows 2000 Advanced Server.

Différents environnements dans lesquels les stratégies système sont utilisées

Groupes de travail et environnements tiers

Si vous n’avez pas de domaine Windows NT 4,0, vous pouvez configurer le client de façon à ce qu’il recherche le fichier NTConfig. pol à un emplacement spécifique de l’ordinateur local ou d’un emplacement de partage SMB. Pour plus d’informations sur la spécification du chemin d’accès du fichier de stratégie, voir la section « Comment spécifier le chemin d’accès du fichier de stratégie ».

Domaines Windows NT 4,0

Un client Windows Active Directory processus exécute une stratégie système si le compte d’utilisateur ou le compte d’ordinateur existe dans un domaine Windows NT 4,0. Lorsqu’un utilisateur se connecte à un client Active Directory Windows dans un domaine Windows NT 4,0 et que le client s’exécute en mode automatique, le client examine le partage Netlogon sur le contrôleur de domaine de validation pour le fichier NTConfig. pol. Si le client trouve le fichier, il télécharge et analyse le fichier. Le client analyse le fichier pour des données de stratégie d’utilisateur, de groupe et d’ordinateur. Ensuite, le client applique les paramètres appropriés. Si le client ne trouve pas le fichier de stratégie sur son contrôleur de domaine de validation, le client n’aura pas d’autre emplacement. Par conséquent, assurez-vous que le fichier NTConfig. pol est répliqué parmi les contrôleurs de domaine qui effectuent l’authentification.

Références


Pour plus d’informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
293655 Comment appliquer des stratégies locales à tous les utilisateurs à l’exception des administrateurs dans un paramètre de groupe de travail dans Windows 2000 
274478 Stratégies de groupe pour les clients Windows 2000 professionnel dans les domaines ou groupes de travail 4,0 Windows NT 
225087 Écrire des fichiers ADM personnalisés pour l’éditeur de stratégie système 
192794 Comment appliquer des paramètres de stratégie système à Terminal Server 
897100 Création d’une stratégie système Windows NT 4,0 pour gérer le pare-feu Windows dans un domaine Windows NT 4,0 
814598 Créer un paramètre de stratégie système dans Microsoft Windows Server 2003 
268511 Importation de fichiers. ADM personnalisés dans le kit d’administration d’Internet Explorer 

Références du kit de ressources

Partie 2 du kit de ressources Windows XP-chapitre 5 : gestion des ordinateurs de bureauGestion des bureaux dans divers environnements réseauGestion des bureaux sans Active Directory

Autres ressources

Guide de déploiement de la gestion des modifications et de la configuration

Kit d’administration Microsoft Internet Explorer (IEAK)

Référence des paramètres de stratégie de groupe pour Windows et Windows Server

Windows 2000 Server-sujet avancé : création de fichiers. ADM personnalisés

Un fichier. adm définit le mode d’affichage des paramètres de stratégie de groupe liés au registre dans les nœuds modèles d’administration de l’interface utilisateur de la stratégie de groupe. Par ailleurs, le fichier. adm spécifie les emplacements du Registre qui doivent être modifiés si un administrateur doit effectuer une modification. Pour télécharger cette documentation, visitez le site Web de Microsoft suivant :

Livre blanc « utilisation de fichiers de modèle d’administration avec une stratégie de groupe basée sur le registre »

Le livre blanc « utilisation de fichiers de modèle d’administration avec une stratégie de groupe basée sur le registre » explique les concepts, l’architecture et l’implémentation de la stratégie de groupe basée sur le registre dans les systèmes d’exploitation Microsoft Windows. Ce livre blanc traite de la création de fichiers de modèle d’administration (. adm) personnalisés et inclut une référence complète à la langue. adm.

Modèle de stratégie de pare-feu Windows pour les domaines Windows NT 4,0

Vous pouvez gérer les stratégies de pare-feu Windows à partir des domaines Windows NT 4,0 en appliquant ce modèle.

Fichiers de stratégie de groupe. adm

Les fichiers de modèle d’administration permettent de renseigner les paramètres d’interface utilisateur dans l’éditeur d’objets de stratégie de groupe. Les administrateurs peuvent utiliser ces fichiers pour gérer les paramètres de stratégie basés sur le registre. Chaque système d’exploitation Windows et Service Pack ultérieur inclut une nouvelle version de ces fichiers. adm.Auparavant, les clients pouvaient uniquement obtenir les fichiers. adm les plus récents en obtenant le dernier Service Pack ou système d’exploitation. Ces fichiers. adm sont désormais disponibles directement sur le site Web de Microsoft suivant :Vous pouvez obtenir la version d’origine des fichiers. ADM qui sont inclus avec chaque système d’exploitation ou Service Pack. Chaque jeu de fichiers. adm est inclus dans un package Microsoft Windows Installer que vous pouvez télécharger.