Recommandations pour la gestion des fichiers de modèle administratif (.adm) de Stratégie de groupe


Résumé


Cet article explique le fonctionnement des fichiers ADM, décrit les paramètres de stratégie disponibles pour assurer leur gestion et fournit des recommandations sur la façon de gérer certains scénarios de gestion de fichiers ADM courants.

Remarque Nous vous recommandons d'utiliser Windows Vista pour gérer l'infrastructure de stratégie de groupe à l'aide d'un magasin central. Cette recommandation s'applique même quand l'environnement contient un mélange de clients et de serveurs de bas niveau, tels que des ordinateurs qui exécutent Windows XP ou Windows Server 2003. Windows Vista utilise un nouveau modèle qui utilise des fichiers ADMX et ADML pour gérer les modèles de stratégie de groupe.

Pour plus d'informations, reportez-vous aux sites Web suivants :
Windows XP : Don't Forget About Me... (en anglais uniquement)

http://blogs.technet.com/grouppolicy/archive/2006/08/31/453147.aspx

Deploying Group Policy Using Windows Vista (en anglais uniquement)

http://technet.microsoft.com/fr-fr/library/cc766208.aspx

Comment créer un magasin central des modèles d’administration de stratégie de groupe dans Windows Vista
http://support.microsoft.com/fr-fr/kb/929841
Si vous devez utiliser des ordinateurs Windows XP ou Windows Server 2003 pour gérer l'infrastructure de stratégie de groupe, consultez les recommandations de cet article.

Introduction aux fichiers ADM

Les fichiers ADM sont des fichiers de modèles utilisés par les stratégies de groupe pour décrire l'emplacement de stockage des paramètres de stratégie dans le Registre. Les fichiers ADM décrivent également l'interface utilisateur que les administrateurs voient dans le composant logiciel enfichable Éditeur d'objets de stratégie de groupe. L'Éditeur d'objets de stratégie de groupe est utilisé par les administrateurs pour créer ou modifier les objets de stratégie de groupe (GPO).

Stockage de fichiers ADM et paramètres par défaut

Dans le dossier Sysvol de chaque contrôleur de domaine, chaque objet de stratégie de groupe de domaine assure la maintenance d'un dossier unique nommé « modèle de stratégie de groupe ». Le modèle de stratégie de groupe contient tous les fichiers ADM utilisés dans l'Éditeur d'objets de stratégie de groupe lors de la dernière création ou modification des objets de stratégie de groupe.

Chaque système d'exploitation inclut un ensemble standard de fichiers ADM. Ces fichiers standard sont les fichiers par défaut chargés par l'Éditeur d'objets de stratégie de groupe. Par exemple, Windows Server 2003 contient les fichiers ADM suivants :
  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

Fichiers ADM personnalisés

Les développeurs de programmes ou professionnels de l'informatique peuvent créer des fichiers ADM personnalisés afin d'étendre l'utilisation des paramètres de stratégie basés sur le Registre à de nouveaux programmes et composants.

Remarque Les programmes et composants doivent être conçus et codés de façon à reconnaître et à répondre aux paramètres de stratégie décrits dans le fichier ADM.


Pour ajouter des fichiers ADM dans l'Éditeur d’objets de stratégie de groupe :
  1. Démarrez l'Éditeur d'objets de stratégie de groupe.
  2. Cliquez avec le bouton droit sur Modèles d’administration, puis cliquez sur Ajout/Suppression de modèles.

    Remarque Les modèles d'administration sont disponibles sous
    Configuration ordinateur ou Configuration utilisateur. Sélectionnez la configuration correcte pour votre modèle personnalisé.
  3. Cliquez sur Ajouter.
  4. Cliquez sur un fichier ADM, puis sur
    Ouvrir.
  5. Cliquez sur Fermer.
  6. Les paramètres de stratégie personnalisés des fichiers ADM sont désormais disponibles dans l'Éditeur d'objets de stratégie de groupe.

Mise à jour des fichiers ADM et cachets de date

Chaque station de travail d'administration utilisée pour exécuter l'Éditeur d'objets de stratégie de groupe stocke les fichiers ADM dans le dossier %windir%\Inf. Lors de la création et de la première modification des objets de stratégie de groupe, les fichiers ADM de ce dossier sont copiés dans le sous-dossier Adm dans le modèle de stratégie de groupe. Cela comprend les fichiers ADM standard et tout fichier ADM personnalisé ajouté par l'administrateur.

Remarque La création d'un objet de stratégie de groupe sans modification ultérieure de cet objet entraîne la création d'un modèle de stratégie de groupe sans fichiers ADM.

Par défaut, lorsque des objets de stratégie de groupe sont modifiés, l'Éditeur d'objets de stratégie de groupe compare les cachets de date des fichiers ADM du dossier %windir%\Inf de la station de travail à ceux stockés dans le dossier Adm des modèles de stratégie de groupe. Si les fichiers de la station de travail sont plus récents, l'Éditeur d'objets de stratégie de groupe copie ces fichiers dans le dossier Adm du modèle de stratégie de groupe en remplaçant les fichiers existants portant le même nom. Cette comparaison a lieu lorsque le nœud des Modèles d'administration (ordinateur ou configuration utilisateur) est sélectionné dans l'Éditeur d'objets de stratégie de groupe, même si l'administrateur ne modifie pas l'objet de stratégie de groupe.


Remarque : les fichiers ADM stockés dans le modèle de stratégie de groupe peuvent être mis à jour en affichant un objet de stratégie de groupe dans l'Éditeur d'objets de stratégie de groupe.

Étant donné l'importance des cachets de date pour la gestion des fichiers ADM, la modification des fichiers ADM fournis par le système est déconseillée. Si un nouveau paramètre de stratégie est nécessaire, Microsoft recommande de créer un fichier ADM personnalisé. Cela empêche tout remplacement des fichiers ADM fournis par le système lors de la publication de Service Packs.

console de gestion des stratégies de groupe ;

Par défaut, la console Gestion de stratégie de groupe utilise toujours les fichiers ADM locaux, quels que soient leurs cachets de date, et ne copie jamais les fichiers ADM dans le dossier Sysvol. Si un fichier ADM est introuvable, la console Gestion de stratégie de groupe le recherche dans le modèle de stratégie de groupe. De plus, l'utilisateur de la console Gestion de stratégie de groupe peut spécifier un autre emplacement pour les fichiers ADM. Dans ce cas, cet autre emplacement est prioritaire.

Réplication d'objets de stratégie de groupe

Le service de réplication de fichiers réplique les modèles de stratégie de groupe pour les objets de stratégie de groupe de l'ensemble du domaine. Étant donné qu'il fait partie du modèle de stratégie de groupe, le sous-dossier Adm est répliqué sur tous les contrôleurs de domaine du domaine. Chaque objet de stratégie de groupe stockant plusieurs fichiers ADM (dont certains peuvent être volumineux), vous devez comprendre dans quelle mesure les fichiers ADM ajoutés ou mis à jour durant l'utilisation de l'Éditeur d'objets de stratégie de groupe peuvent affecter le trafic de réplication.

Utilisation de paramètres de stratégie pour contrôler les mises à jour de fichiers ADM

Deux paramètres de stratégie sont disponibles pour vous aider à assurer la gestion des fichiers ADM. Ces paramètres permettent aux administrateurs d'adapter l'utilisation des fichiers ADM à un environnement spécifique. Il s'agit des paramètres « Désactiver la mise à jour automatique des fichiers ADM » et « Toujours utiliser les fichiers ADM locaux pour l'Éditeur d'objet stratégie de groupe ».

Désactiver la mise à jour automatique des fichiers ADM

Ce paramètre de stratégie est accessible sous Configuration utilisateur \ Modèles d'administration \ Système \ Stratégie de groupe sur Windows Server 2003, Windows XP et Windows 2000. Ce paramètre peut être appliqué à n'importe quel client activé par la politique de groupe.

Toujours utiliser les fichiers ADM locaux pour l'éditeur Stratégie de groupe

Ce paramètre de stratégie est accessible sous Configuration utilisateur\Modèles d'administration\Système\Stratégie de groupe. Il s'agit d'un nouveau paramètre de stratégie. Il peut être appliqué avec succès uniquement aux clients de Windows Server 2003. Le paramètre peut être déployé à des clients plus âgés, mais il n'aura aucun effet sur leur comportement. Si ce paramètre est activé, l'éditeur d'objets de stratégie de groupe utilise toujours des fichiers ADM locaux dans le dossier %windir%Inf du système local lorsque vous modifiez un objet de stratégie de groupe.

Remarque Si ce paramètre de stratégie est activé, cela implique que le paramètre de stratégie Désactiver la mise à jour automatique des fichiers ADM  l'est également.

Scénarios courants et recommandations

Problèmes liés à l'administration multilingue

Dans certains environnements, des paramètres de stratégie peuvent devoir être présentés à l'interface utilisateur en différentes langues. Par exemple, un administrateur travaillant aux États-Unis peut souhaiter afficher des paramètres de stratégie pour un objet de stratégie de groupe spécifique en anglais et un administrateur travaillant en France peut souhaiter afficher le même objet de stratégie de groupe avec le français comme langue par défaut. Étant donné que le modèle de stratégie de groupe ne peut stocker qu'un seul ensemble de fichiers ADM, vous ne pouvez pas utiliser le modèle de stratégie de groupe pour stocker des fichiers ADM pour les deux langues.

Pour Windows 2000, l'utilisation de fichiers ADM locaux pour l'Éditeur d'objets de stratégie de groupe n'est pas prise en charge. Pour contourner ce problème, utilisez le paramètre de stratégie « Désactiver la mise à jour automatique des fichiers ADM ». Celui-ci n'ayant aucun impact sur la création d'objets de stratégie de groupe, les fichiers ADM locaux seront téléchargés vers le modèle de stratégie de groupe dans Windows 2000 et la création d'un objet de stratégie de groupe dans Windows 2000 définit de manière effective « la langue de l'objet de stratégie de groupe ». Si le paramètre « Désactiver la mise à jour automatique des fichiers ADM » est en vigueur sur toutes les stations de travail Windows 2000, la langue des fichiers ADM dans le modèle de stratégie de groupe sera définie par la langue de l'ordinateur utilisé pour créer l'objet de stratégie de groupe.

Pour les administrateurs qui utilisent Windows XP et Windows Server 2003, le paramètre de stratégie « Toujours utiliser les fichiers ADM locaux pour l'Éditeur d'objets de stratégie de groupe » peut être utilisé. Cela permet à l'administrateur français d'afficher des paramètres de stratégie à l'aide des fichiers ADM installés localement sur sa station de travail (française), quel que soit le fichier ADM stocké dans le modèle de stratégie de groupe. Notez que lorsque vous utilisez ce paramètre de stratégie, cela implique que le paramètre « Désactiver la mise à jour automatique des fichiers ADM » est activé afin d'éviter toute mise à jour inutile des fichiers ADM dans le modèle de stratégie de groupe.

En outre, dans un environnement administratif multilingue, il est souhaitable d'envisager l'adoption du système d'exploitation Microsoft le plus récent pour les stations de travail administratives. Configurez ensuite les paramètres de stratégie « Désactiver la mise à jour automatique des fichiers ADM » et « Désactiver les mises à jour automatiques des fichiers ADM ».

Si vous utilisez des stations de travail Windows 2000, utilisez le paramètre de stratégie « Désactiver la mise à jour automatique des fichiers ADM » pour les administrateurs et considérez la langue des fichiers ADM du modèle de stratégie de groupe comme étant la langue effective pour toutes les stations de travail Windows 2000.

Remarque : les stations de travail Windows XP peuvent encore utiliser leurs versions linguistiques spécifiques et locales.

Problèmes relatifs aux versions de système d'exploitation et de Service Pack

Chaque version de système d'exploitation ou de Service Pack inclut un sur-ensemble des fichiers ADM fournis avec les versions antérieures, y compris des paramètres de stratégie spécifiques aux systèmes d'exploitation qui sont différents de ceux de la nouvelle version. Par exemple, les fichiers ADM fournis avec Windows Server 2003 incluent tous les paramètres de stratégie pour tous les systèmes d'exploitation, y compris ceux qui concernent uniquement Windows 2000 ou Windows XP Professionnel. Cela signifie que le seul affichage d'un objet de stratégie de groupe à partir d'un ordinateur exécutant la nouvelle version d'un système d'exploitation ou d'un Service Pack provoque la mise à niveau des fichiers ADM. Les versions ultérieures étant en général un sur-ensemble des fichiers ADM antérieurs, cela ne posera généralement aucun problème, en supposant que les fichiers ADM utilisés n'ont pas été modifiés.

Dans certaines situations, une version de système d'exploitation ou de Service Pack peut inclure un sous-ensemble des fichiers ADM fourni avec les versions antérieures. Cela entraîne le risque de présenter un sous-ensemble antérieur des fichiers ADM, ce qui fait que des paramètres de stratégie ne seront plus visibles pour les administrateurs lors de l'utilisation de l'Éditeur d'objets de stratégie de groupe. Toutefois, les paramètres de stratégie demeureront actifs dans l'objet de stratégie de groupe. Seule la visibilité des paramètres de stratégie dans l'Éditeur d'objets de stratégie de groupe est affectée. Tout paramètre de stratégie actif (Activé ou Désactivé) est invisible dans l'Éditeur d'objets de stratégie de groupe mais demeure actif. Les paramètres de stratégie étant invisibles, il est impossible pour l'administrateur de les afficher ou de les modifier. Pour contourner ce problème, les administrateurs doivent prendre connaissance des fichiers ADM fournis avec chaque version de système d'exploitation ou de Service Pack avant d'utiliser l'Éditeur d'objets de stratégie de groupe sur ce système d'exploitation, en gardant à l'esprit le fait que le simple affichage d'un objet de stratégie de groupe est suffisant pour mettre à jour les fichiers ADM dans le modèle de stratégie de groupe, lorsque la comparaison de cachet de date détermine qu'une mise à jour est appropriée.

Pour planifier cela dans votre environnement, Microsoft vous conseille de :
  • définir un système d'exploitation/Service Pack standard à partir duquel tous les affichages et toutes les modifications d'objets de stratégie de groupe ont lieu, en vous assurant que les fichiers ADM utilisés incluent les paramètres de stratégie pour toutes les plates-formes ; ou
  • Utilisez le paramètre de stratégie « Désactiver la mise à jour automatique des fichiers ADM » pour tous les administrateurs de la stratégie de groupe afin de vous assurer que les fichiers ADM ne sont pas remplacés dans le modèle de stratégie de groupe par une session d'Éditeur d'objets de stratégie de groupe et veillez à utiliser les fichiers ADM les plus récents disponibles auprès de Microsoft.
Remarque : le paramètre « Toujours utiliser les fichiers ADM locaux pour l'Éditeur de stratégie de groupe » est en général utilisé avec cette stratégie lorsqu'il est pris en charge par le système d'exploitation à partir duquel l'Éditeur d'objets de stratégie de groupe est exécuté.

Suppression des fichiers ADM du dossier Sysvol

Par défaut, les fichiers ADM sont stockés dans le modèle de stratégie de groupe, ce qui peut augmenter de manière significative la taille du dossier Sysvol. En outre, une modification fréquente des objets de stratégie de groupe peut engendrer un trafic de réplication important. L'utilisation d'une combinaison des paramètres « Désactiver la mise à jour automatique des fichiers ADM » et « Toujours utiliser les fichiers ADM locaux pour l'Éditeur d'objets de stratégie de groupe » peut réduire sensiblement la taille du dossier Sysvol et diminuer le trafic de réplication lié aux stratégies lorsqu'un grand nombre de modifications de stratégies ont lieu.

Si la taille du volume Sysvol ou du trafic de réplication lié aux stratégies de groupe devient trop problématique, envisagez l'implémentation d'un environnement dans lequel Sysvol ne stocke aucun fichier ADM ou envisagez de conserver les fichiers ADM sur des postes de travail administratifs. Ou envisagez de garder les fichiers ADM sur des postes de travail administratifs. Ce processus est décrit dans la section suivante.

Pour effacer les fichiers ADM du dossier Sysvol
  1. Activez le paramètre de stratégie « Désactiver la mise à jour automatique des fichiers ADM » pour tous les administrateurs de stratégie de groupe qui modifieront des objets de stratégie de groupe.
  2. Assurez-vous que cette stratégie a été appliquée.
  3. Copiez tout modèle ADM personnalisé dans le dossier %windir%\Inf.
  4. Modifiez les objets de stratégie de groupe existants, puis supprimez tous les fichiers ADM du modèle de stratégie de groupe. Cliquez avec le bouton droit sur Modèles d'administration puis cliquez sur Ajout/Suppression de modèles.
  5. Activez le paramètre de stratégie « Toujours utiliser les fichiers ADM locaux pour l'Éditeur d'objet stratégie de groupe » pour les stations de travail administratives.

Maintenance de fichiers ADM sur des stations de travail administratives

Lorsque vous utilisez le paramètre de stratégie « Toujours utiliser les fichiers ADM locaux pour l'Éditeur d'objets de stratégie de groupe », assurez-vous que chaque station de travail possède la dernière version des fichiers ADM par défaut et personnalisés. Si tous les fichiers ADM ne sont pas disponibles localement, certains paramètres de stratégie contenus dans un objet de stratégie de groupe seront invisibles pour l'administrateur. Pour éviter cela, implémentez une version de système d'exploitation et de Service Pack standard pour tous les administrateurs. Si vous ne pouvez pas utiliser de système d'exploitation et de Service Pack standards, implémentez un processus afin de distribuer les fichiers ADM les plus récents sur toutes les stations de travail administratives.

Remarque : les fichiers ADM des stations de travail étant stockés dans le dossier %windir%\Inf, tout processus utilisé pour distribuer ces fichiers doit s'exécuter dans le contexte d'un compte qui dispose d'informations d'identification administratives sur la station de travail.

Remarque : Windows XP ne prend pas en charge la modification des objets de stratégie de groupe lorsqu'il n'y a aucun fichier ADM dans le dossier Sysvol. Dans un environnement en direct, vous devez tenir compte de cette limitation de conception.

Références


Pour plus d'informations sur les stratégies de groupe dans Windows Server 2003, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

316977 Comportement des modèles de stratégie de groupe dans Windows Server 2003