• Article

Stratégie de groupe

Au cœur des modèles ADM et ADMX pour la stratégie de groupe

Jeremy Moskowitz

 

Vue d'ensemble:

  • Types de modèles de stratégie de groupe
  • Clés de stratégies correctes et incorrectes
  • Affichage de modèles ADM
  • Conversion ADM vers ADMX

Fichiers ADM.Vous les aimez ou vous les haïssez.Ou les deux à la fois.C'est parce qu'ils sont à la fois nécessaires et déroutants.Et maintenant il y a des fichiers ADMX, un nouveau format qui semble ajouter encore plus à la confusion.Hé bien, il est temps pour moi de lever le voile sur ce sujet trouble.

Pourquoi avons-nous besoin de fichiers ADM ?

La Stratégie de groupe couvre une grande variété de secteurs.Si vous vous plongez dans l'Éditeur d'objets de stratégie de groupe, vous découvrirez toutes les différentes choses que vous pouvez faire avec la Stratégie de groupe.Vous trouverez par exemple la stratégie de restriction des logiciels, l'installation de logiciels fondée sur les stratégies de groupe, la redirection de dossiers et, bien entendu, celle que nous utilisons le plus :les modèles d'administration.Le nœud des Modèles d'administration apparaît sur les côtés Utilisateur et Ordinateur.Comme vous pouvez vous y attendre, les utilisateurs peuvent gérer uniquement les paramètres de stratégie côté Utilisateur et les ordinateurs peuvent gérer uniquement le côté Ordinateur.

Mais d'où proviennent donc tous ces paramètres magiques à l'intérieur des Modèles d'administration ?Lorsque de nouvelles applications apparaissent, vous pouvez potentiellement manipuler certains paramètres.C'est là qu'interviennent les fichiers ADM.Ils décrivent les secteurs de l'application qui sont prêts à accepter des paramètres définis par un administrateur.Les fichiers ADM sont limités tout de suite, malheureusement, parce qu'ils peuvent uniquement traiter des paramètres de Registre au sein d'une application.Mais une application peut enregistrer ses paramètres dans d'autres endroits tels que des fichiers .ini, des fichiers .js, des fichiers .xml et des bases de données.

Fichiers ADM

Alors comment tous ces paramètres de stratégie pour Configuration de l'ordinateur | Modèles d'administration et Configuration de l'utilisateur | Modèles d'administration finissent-ils là ?Si vous cliquez avec le bouton droit sur les mots « Modèles d'administration » dans l'Éditeur d'objets de stratégie de groupe et que vous sélectionnez « Ajout/Suppression de modèles » côté Utilisateur ou côté Ordinateur, vous verrez les modèles par défaut qui constituent la configuration standard de la figure 1.

Figure 1 Modèles d'administration par défaut

Figure 1** Modèles d'administration par défaut **(Cliquer sur l'image pour l'agrandir)

Voici le détail de ces fichiers :

  • Conf.adm—Paramètres NetMeeting®.
  • Inetres.adm—Paramètres Internet Explorer®, y compris les connexions, les barres d'outils et les paramètres des barres d'outils.Ces paramètres sont équivalents aux options qui sont disponibles lorsque vous cliquez sur le menu Options Internet d'Internet Explorer.
  • System.adm—Modifications et paramètres du système d'exploitation.La plupart des paramètres des modèles d'administration Ordinateur et Utilisateur sont dans ce modèle ADM.
  • Wmplayer.adm—Paramètres de Windows Media® Player 9.
  • Wuau.adm—Contrôle l'accès de vos clients à Windows® Update et/ou aux serveurs Windows Server® Update Services.

Ajout d'un nouveau fichier de modèle ADM

Comment surmonter les restrictions avec Microsoft et des outils tiers

Les fichiers ADM et ADMX sont très utiles.Utilisez-les pour inclure des connaissances dans votre fichier de définition et contrôler votre application cible.Cependant, les fichiers ADM et ADMX ont des limites.Notamment, les fichiers ne peuvent pas exécuter les opérations suivantes :

  • Ils ne peuvent pas atteindre les ruches de Registre autres que HKEY_LOCAL_MACHINE et HKEY_Current_User.Si vous avez quelque chose à faire dans d'autres ruches de Registre, vous ne pouvez pas le faire avec des fichiers ADM ou ADMX.
  • Ils ne peuvent pas exécuter d'ajouts à des valeurs REG_Binary.
  • Ils ne peuvent pas être définis pour être « exécutés une seule fois ».
  • Ils ne peuvent pas être définis pour être « toujours réappliqués » lorsqu'une Stratégie de groupe est actualisée.
  • Les fichiers ADM et ADMX écrivant sur des touches incorrectes font un tatouage du Registre.Donc, même si l'utilisateur sort de l'étendue de la gestion (SOM), ou si le GPO est supprimé, la valeur persiste.

Pour surmonter ces restrictions, Microsoft et certains tiers proposent des solutions pour vous aider.Microsoft a acquis récemment DesktopStandard et vient de publier une version renommée de l'extension de Registre DesktopStandard.Avec cet outil, vous pouvez dicter les valeurs de Registre spécifiques que vous souhaitez gérer sur l'ordinateur cible à l'aide d'une interface d'assistant dans l'Éditeur d'objets de stratégie de groupe.

Les technologies PolicyMaker de DesktopStandard (y compris l'outil d'extension du registre) s'appellent maintenant Préférences de stratégie de groupe et sont incluses avec Windows Server 2008. Les Préférences de stratégie de groupe permettent à l'administrateur de configurer des applications ou des composants Windows qui ne sont pas habituellement configurables via la stratégie de groupe et elles s'appliquent à certains utilisateurs ou ordinateurs en fonction d'un ensemble très complet de règles de ciblage.Les Préférences de Stratégie de groupe sont entièrement intégrées avec la Console de gestion des stratégies de groupe et la Gestion de stratégie de groupe avancée dans Windows Server 2008.

Vous pouvez en apprendre davantage sur les Préférences de stratégie de groupe dans l'article de Derek Melber intitulé « Plongeon dans la gestion de stratégie de groupe avancée » dans ce numéro de TechNet Magazine.

C'est très facile.Commencez par obtenir le modèle ADM que vous souhaitez utiliser.Vous pourriez utiliser un modèle téléchargé sur GPanswers.com (vous y trouverez environ une dizaine de modèles intéressants), à moins que vous ne souhaitiez utiliser les fichiers ADM pour Office 2003 ou Office 2007 situés sur le site Web de Microsoft.

Cliquez avec le bouton droit sur les mots « Modèles d'administration », puis cliquez sur « Ajouter », comme illustré à la figure 1, pour ajouter le modèle.Par défaut, Windows recherche des modèles dans le répertoire \Windows\inf, mais vous pouvez les stocker où vous le souhaitez.Voici quelque chose que vous ne savez peut-être pas :Une fois le modèle ADM ajouté depuis le point de stockage original, ce modèle ADM est également ajouté au contenu de l'Objet de stratégie de groupe (GPO).

Ainsi, pour cet article, je suis allé sur GPanswers.com et j'ai téléchargé nopassport.adm. J'ai placé ce fichier modèle dans mon répertoire c:\temp.Ce modèle ADM nous permet de supprimer le message « Souhaitez-vous ajouter votre passeport ? » qui apparaît la première fois qu'un utilisateur se connecte sur un ordinateur exécutant Windows XP.

J'ai téléchargé également les modèles ADM Office 2003 et je les ai enregistrés dans c:\temp.Mais ils ne resteront pas dans ce répertoire.Dans la figure 2, vous pouvez voir que j'ai ajouté nopassport.adm et Word11.adm. Vous pouvez voir qu'ils ont été ajoutés à la liste des modèles par défaut dans la fenêtre « Ajout/Suppression de modèles ».

Figure 2 Fichiers ADM supplémentaires dans le GPO

Figure 2** Fichiers ADM supplémentaires dans le GPO **(Cliquer sur l'image pour l'agrandir)

À présent, si vous regardez dans la portion fichier du GPO (en particulier, dans le répertoire \\domaincontroller\SYSVOL\domainname\Policies\GUID\ADM), vous pouvez voir que les fichiers nopassport.adm et Word11.adm font maintenant partie du GPO, comme l'illustre la figure 2.

Pourquoi ces modèles sont-ils ajoutés au GPO ?Parce que si vous essayez ensuite de modifier ce GPO sur une autre station de gestion, vous pourrez voir les paramètres contenus dans les fichiers ADM.

Pourquoi ne puis-je pas voir ce que je viens de charger ?

Parfois vous pouvez voir vos ajouts de fichiers ADM et parfois ne vous pouvez pas. Et ceci est très déroutant pour un grand nombre d'administrateurs.En effet, il s'agit d'une question très courante sur GPanswers.com, donc parlons-en tout de suite.

Vous devriez voir au moins les résultats de l'ajout des deux modèles (voir la figure 3).Deux nouveaux nœuds apparaîtront :Configuration de l'ordinateur | Problèmes (à cause de nopassport.adm) et Configuration de l'utilisateur | Microsoft Office Word 2003 (à cause de Word11.adm).Si vous examinez les paramètres de Microsoft® Word 2003, vous verrez tout un ensemble de paramètres configurables, comme l'indique la figure 3.

Figure 3 Paramètres de stratégie de groupe configurables

Figure 3** Paramètres de stratégie de groupe configurables **(Cliquer sur l'image pour l'agrandir)

Mais pourquoi ne vous pouvez-vous pas voir les paramètres dans le nouveau nœud Problèmes ?Pour comprendre cela, vous devez d'abord comprendre l'idée des clés de stratégies « correctes » par rapport aux clés de stratégies « incorrectes » sur lesquelles un modèle ADM peut avoir un impact.

Clés de stratégies correctes et incorrectes

D'après la documentation Microsoft, quatre parties du Registre sont considérées comme étant des endroits approuvés pour créer des stratégies à l'abri des piratages de Registre :

  • HKLM\Software\Policies (paramètres de l'ordinateur, l'emplacement recommandé)
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Policies (paramètres de l'ordinateur, autre emplacement)
  • HKCU\Software\Policies (paramètres utilisateur, emplacement recommandé)
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies (paramètres utilisateur, autre emplacement)

Les paramètres qui se trouvent dans le fichier ADM Word 2003 écrivent dans ces emplacements corrects, mais ce n'est pas le cas pour le fichier nopassport.adm—nopassport.adm écrit dans HKLM\Software\Microsoft\MessengerService\PassportBalloon.

L'Éditeur d'objets de stratégie de groupe établit une certaine sécurité avant de vous permettre de voir ces paramètres parce que les paramètres qui n'écrivent pas dans ces quatre clés de stratégies correctes effectueront un tatouage du Registre.Donc, même si vous donnez un grand coup au GPO, il n'y aura aucun changement.Imaginons par exemple que vous avez ajouté le fichier nopassport.adm et que vous avez choisi de supprimer la bulle contextuelle « Souhaitez-vous ajouter un passeport ? » pour chaque ordinateur dans votre domaine.Ensuite, votre patron déclare qu'il regrette cette fameuse bulle contextuelle.Dans ce cas, vous avez du pain sur la planche car tous les ordinateurs auront ce paramètre (pour toujours en fait) jusqu'à ce que vous remettiez expressément ce paramètre.Et, oui, il est possible de créer un nouveau fichier ADM personnalisé à cette seule fin, mais, une fois de plus, vous aurez du pain sur la planche.

Par opposition, les paramètres de stratégie réguliers ont une valeur par défaut.Et si vous donnez un grand coup au GPO, les paramètres par défaut seront rétablis.Ainsi, si vous choisissez d'interdire l'accès au Panneau de configuration à l'aide de modèles ADM intégrés et que vous changez d'avis ensuite, il vous suffit de donner un grand coup au GPO pour faire revenir l'accès au panneau de configuration.Ceci vaut pour quasiment chaque paramètre fourni avec les fichiers ADM par défaut (à part quelques rares exceptions).

Une fois encore, avec l'ADM personnalisé qui supprime le passeport, l'endroit où se trouve le paramètre de stratégie ne permet pas au moteur de stratégie de groupe de le rétablir en cas de suppression.Donc Microsoft vous protège en évitant (au début) d'afficher ces paramètres de stratégie de tatouage dans votre propre intérêt !

Affichage des modèles ADM

En fait, il n'est pas difficile de voir les modèles ADM.Par défaut, l'éditeur ne vous montre pas les paramètres, mais vous pouvez y remédier facilement.Cliquez sur « Modèles d'administration » (dans la zone Utilisateur ou Ordinateur), puis sélectionnez Afficher | Filtrage.Ensuite, décochez (oui, décochez) la case « Afficher uniquement les paramètres de stratégie pouvant être entièrement gérés » (illustré à la figure 4).Vous verrez alors apparaître le paramètre de stratégie « Sollicitation de passeport » sous la colonne Paramètres, illustré également à la figure 4.

Figure 4 Filtrage GPO

Figure 4** Filtrage GPO **(Cliquer sur l'image pour l'agrandir)

Windows XP et Windows Vista dans l'Éditeur

Avez-vous remarqué une différence subtile dans le paramètre de stratégie qui vient de s'afficher ?Observez les icônes des paramètres de stratégie fournis avec les fichiers ADM dans la figure 5.À présent, regardez l'icône correspondant à un paramètre de stratégie provenant d'un modèle ADM pour lequel les paramètres n'écrivent pas sur les clés de registre de stratégies correctes, comme l'illustre la figure 6.

Figure 5 Fichiers ADM avec des icônes

Figure 5** Fichiers ADM avec des icônes **(Cliquer sur l'image pour l'agrandir)

Figure 6 Icônes pour utilisation de touches incorrectes

Figure 6** Icônes pour utilisation de touches incorrectes **(Cliquer sur l'image pour l'agrandir)

Cette distinction d'icônes bleues et rouges vous aide à reconnaître les paramètres qui effectueront un tatouage. Mais, une fois de plus, cela dépend où le paramètre s'exécute.

Notez que, dans Windows Vista®, la situation est un peu différente lorsque vous utilisez des fichiers ADM dans votre station de gestion Windows Vista.Les fichiers ADM apparaissent dans leur propre nœud appelé nœud de « modèles d'administration classiques (ADM) », comme illustré à la figure 7.Les paramètres qui étaient représentés par des points rouges apparaissent maintenant comme des icônes de défilement avec une flèche vers le bas (mais lorsque vous êtes en train de modifier le paramètre, un signe d'accès interdit est visible).

Figure 7 Nœud de modèles d'administration classiques

Figure 7** Nœud de modèles d'administration classiques **(Cliquer sur l'image pour l'agrandir)

Les paramètres qui étaient représentés par des points bleus (ceux qui écrivent dans les clés de stratégies correctes) apparaissent comme de petites icônes de défilement, comme l'indique la figure 8.

Figure 8 Icônes de défilement affichant des clés correctes

Figure 8** Icônes de défilement affichant des clés correctes **(Cliquer sur l'image pour l'agrandir)

Qu'est-ce que tout ce bruit autour d'ADMX ?

Windows Vista et Windows Server 2003 sont tous deux fournis avec une nouvelle Console de gestion des stratégies de groupe (GPMC) intégrée.Et avec cette nouvelle console; vous avez la possibilité de remplacer les vieux fichiers ADM par des fichiers ADMX plus récents, si vous le souhaitez.Pourquoi renoncer au format ADM ?

Rappelez-vous que le fichier ADM est placé dans la partie Modèle de stratégie de groupe du GPO (la partie qui se trouve dans SYSVOL).Lorsque cela se produit, vous utilisez environ 4 Mo sur chaque contrôleur de domaine à chaque fois que vous créez un GPO.Rappelez-vous également que le fichier ADM est placé dans le GPT du GPO parce qu'il est nécessaire lorsque vous souhaitez re-modifier le GPO sur une autre station de gestion.Sans ce fichier ADM, vous ne pouvez pas modifier de paramètres personnalisés se trouvant dans le GPO.

Le format ADMX nous libère de ces problèmes.Vous n'avez plus besoin d'enregistrer quoi que ce soit directement dans le GPO, ce qui fait que vous ne vous retrouvez pas avec un gonflement de SYSVOL c'est-à-dire un SYSVOL énorme qui doit stocker des GPO pleins de fichiers ADM et a l'inconvénient de les répliquer sur chaque contrôleur de domaine.Pour contourner le problème, la nouvelle norme ADMX peut profiter de ce qu'on appelle le « magasin central ».Le magasin central prévoit un emplacement pour les nouveaux fichiers ADMX, de sorte qu'ils n'ont pas besoin d'être copiés dans chaque GPO.Alors, fini les gonflements de SYSVOL.Autre intérêt du magasin central : si un fichier ADMX a une définition mise à jour, toutes les stations de gestion Windows Vista utiliseront immédiatement ce fichier ADMX à jour.

Si vous voulez en savoir plus sur le format des fichiers ADMX, notamment pour plus de détails sur la création et l'utilisation du magasin central, j'ai deux ressources à vous recommander.Darren Mar-Elia a écrit un article instructif sur le format des fichiers ADMX et une brève explication du magasin central dans le numéro de février 2007 de Technet Magazine (technetmagazine.com/issues/2007/02/Templates).J'ai également tout un chapitre téléchargeable de mon dernier livre, « Group Policy:Management, Troubleshooting, and Security », disponible dans la section « Book Resources » de GPanswers.com.

Comme je l'ai expliqué, les modèles ADM sont toujours pris en charge lorsque vous utilisez une station de gestion Windows Vista, mais les fichiers ADM ne sont pas pris en charge dans le magasin central.Ceci peut être un peu déroutant, alors étudions un exemple.

Supposons que je viens de créer un GPO à partir d'une station de gestion Windows Vista et que j'ai ensuite modifié légèrement certains des paramètres (par exemple interdiction de l'accès au panneau de configuration).Supposons également que j'ai voulu ajouter un modèle ADM personnalisé.Cela fait, examinons le GPT du GPO et voyons ce qui est arrivé pour plus de clarté.

Pour ajouter le modèle ADM, vous pouvez répéter les étapes que j'ai suivies plus haut.Ouvrez simplement l'Éditeur d'objets de stratégie de groupe, cliquez avec le bouton droit sur « Modèles d'administration » qui se trouve dans les nœuds Utilisateurs et Ordinateurs, et sélectionnez « Ajout/Suppression de modèle ».Vous pouvez voir le modèle ajouté dans la figure 9.

Figure 9 Affichage du modèle ajouté

Figure 9** Affichage du modèle ajouté **(Cliquer sur l'image pour l'agrandir)

Pour voir les paramètres contenus dans ce modèle ADM, vous allez devoir faire ce que nous avons fait plus haut à la figure 4.C'est-à-dire cliquer sur Afficher | Filtrage.Pour finir, décochez la case « Afficher uniquement les paramètres de stratégie pouvant être entièrement gérés ».Ensuite, fermez l'Éditeur d'objets de stratégie de groupe et retournez dans la Console de gestion des stratégies de groupe.La figure 10 montre l'onglet Détails du GPO que je viens de créer à partir de ma station de gestion Windows Vista.(Notez le nom sympa du GPO).En examinant l'onglet Détails, je peux déterminer le GUID du GPO, ce qui me permettra de trouver facilement ce GPO particulier lorsque je serai dans SYSVOL.

Figure 10 Modèles d'administration par défaut

Figure 10** Modèles d'administration par défaut **

Une fois que j'ai trouvé le GPT du GPO (grâce au GUID du GPO), je peux ouvrir le répertoire ADM de ce GPO pour voir qu'il y a exactement un modèle ADM : celui que j'ai importé manuellement, illustré à la figure 11.C'est parce que les ordinateurs Windows Vista ne s'appuient plus sur les ADM.Comme ils ne les utilisent plus en mode natif, ils ne transmettent plus rien non plus dans le GPO en mode natif.Cependant, si vous importez manuellement un ADM (comme nous venons de le faire), l'ordinateur continuera à traiter l'ADM de la même façon que les versions précédentes de Windows.

Figure 11 Fichier ADM importé manuellement

Figure 11** Fichier ADM importé manuellement **(Cliquer sur l'image pour l'agrandir)

Ceci est en opposition avec, disons, le GPO de la figure 12, qui a été créée sur une machine exécutant Windows XP ou Windows Server 2003. Lorsque des GPO sont créés à l'aide de stations de gestion antérieures à Windows Vista, les fichiers ADM originaux sont transmis dans le GPO, comme je l'ai décrit précédemment.Ce GPO a été créé sur une station de gestion Windows XP.Ça se voit car on note plein de fichiers ADM dont Windows Vista n'a pas besoin ou n'utilise pas.

Figure 12 GPO créé sur Windows XP

Figure 12** GPO créé sur Windows XP **(Cliquer sur l'image pour l'agrandir)

Conversion ADM vers ADMX avec l'outil ADMX Migrator

Donc Windows XP utilise des fichiers ADM et Windows Vista utilise des fichiers ADMX, même si Windows Vista continuera à prendre en charge les fichiers ADM au besoin.Cependant, il est impossible de placer un fichier ADM dans le magasin central et de s'attendre à ce que nos stations de gestion Windows Vista puissent utiliser le fichier.

Afin d'utiliser les paramètres contenus dans l'ADM du magasin central, vous devrez convertir le fichier ADM vers ADMX ou recréer les fichiers ADM en ADMX à la main.Heureusement, un seul téléchargement peut réaliser ces deux opérations.Vous pouvez télécharger l'outil ADMX Migrator (qui est en fait composé d'un outil de conversion ADM vers ADMX et d'un outil de création ADMX) à l'adresse go.microsoft.com/fwlink/?LinkId=103774.

Vous pouvez installer le fichier MSI de l'outil ADMX Migrator sur Windows Server 2003, Windows XP ou Windows Vista.Une fois le fichier installé, les applications se trouveront dans le répertoire C:\Program Files\FullArmor\ADMX Migrator.L'application de ligne de commande que je vais exécuter s'appelle faAdmxConv.exe. Mais, étant donné que le répertoire n'est pas dans le chemin, il vous faudrait être dans ce répertoire pour exécuter l'application.C'est pour cette raison que, lorsque j'utilise l'outil, je choisis d'ajouter ce répertoire à mon chemin Windows.L'article que vous trouverez à l'adresse www.computerhope.com/issues/ch000549.htm explique comment déterminer le chemin dans Windows.

Je crée généralement un répertoire temporaire tel que C:\ADMtemp et j'y copie mes fichiers ADM sources.Il y a beaucoup de paramètres possibles pour faAdmxConv.exe, mais la façon la plus simple de convertir un fichier ADM consiste à spécifier le nom du fichier ADM et le répertoire de sortie.Si vous avez déjà mis le fichier ADM dans ADMtemp et ajouté faAdmxConv.exe au chemin, vous pouvez simplement exécuter « faAdmxConv nopassport.adm . »(avec le point à la fin pour signaler que le répertoire actuel sert pour la sortie).Si vous omettez le point (pour ce répertoire) ou un autre chemin explicite, la sortie se fait dans le répertoire temporaire du profil de votre compte.Dans la figure 13, vous pouvez voir trois commandes :

Figure 13 Outil ADMX Migrator

Figure 13** Outil ADMX Migrator **(Cliquer sur l'image pour l'agrandir)

  • Une commande « dir » pour voir le fichier ADM
  • La commande « faAdmxConv » avec le nom de l'ADM et le .(point) pour représenter le répertoire en cours
  • Une commande « dir » pour voir les fichiers obtenus :nopassport.admx et nopassport.adml

Avant de placer les fichiers obtenus directement dans votre magasin central, il est recommandé de les tester sur un ordinateur exécuté hors connexion.Une fois l'ordinateur hors connexion, copiez le fichier ADMX dans le répertoire C:\Windows\PolicyDefinitions et le fichier ADML dans le répertoire spécifique à la langue.Aux États-Unis, ce répertoire est C:\Windows\PolicyDefinitions\en-us.La figure 14 vous donne un exemple de la procédure de copie.

Figure 14 Copie de fichiers ADMX dans le magasin central

Figure 14** Copie de fichiers ADMX dans le magasin central **(Cliquer sur l'image pour l'agrandir)

L'outil de conversion ADM vers ADMX a été mis à jour récemment en version 1.2.Cette version a permis de corriger un certain nombre de bogues de conversion et d'ajouter des messages d'avertissement utiles au moment de la conversion.Si vous avez déjà essayé l'outil de conversion ADM vers ADMX, mais que vous avez renoncé en raison de messages d'erreur que vous ne parveniez pas à corriger, je vous encourage à l'essayer à nouveau avec la version 1.2 à présent disponible au téléchargement.

Pour finir, le fichier ADM converti correspond maintenant à deux fichiers :un fichier ADMX (de langue neutre) et un fichier ADML (spécifique à une langue).À ce stade, vous pouvez placer les fichiers obtenus dans le magasin central ou les tester sur un ordinateur local.Cependant, pour voir les paramètres de stratégie contenus dans ce modèle ADMX, vous aurez toujours besoin de faire ce que nous avons fait à la figure 4.Vous devrez cliquer sur Afficher | Filtrage, puis décochez la case « Afficher uniquement les paramètres de stratégie pouvant être entièrement gérés ».C'est parce que les paramètres contenus dans ce fichier ADMX n'écrivent pas sur une des stratégies correctes dont j'ai parlé plus haut.

Opération nettoyage

Le mieux est d'utiliser uniquement des fichiers ADMX et le magasin central.Mais, pour ce faire, vous devez convertir tous vos fichiers ADM actuels vers ADMX, convertir toutes les stations de gestion vers Windows Vista (ou Windows Server 2008) et vous engagez à ne plus modifier de GPO sur des ordinateurs disposant d'un système d'exploitation antérieur à Windows Vista.

Si vous avez terminé ces trois étapes, vous avez plus ou moins banni les fichiers ADM de votre univers.À ce stade, les fichiers ADM de vos GPO occupent une place inutile dans le SYSVOL de votre contrôleur de domaine.Si vous êtes passé pour de bon à ADMX, vous pouvez, si vous le souhaitez, simplement supprimer les ADM qui se trouvent dans le GPT du GPO à l'intérieur de SYSVOL.C'est bien cela :Un peu comme votre appendice, ils ne servent à rien.Ils ont servi à un moment, mais c'est fini.Vous pouvez le faire manuellement ou avec un script.Mais surtout, avant de le faire, vous devez savoir que vous commettriez une grave erreur si ces étapes n'étaient pas complétées.Donc supprimez les ADM uniquement si vous être sûr que vous n'en avez plus besoin.

Pour plus d'informations sur les fichiers ADM, ADMX et ADML, consultez le Guide détaillé de la gestion des fichiers ADMX de Stratégie de groupe à l'adresse go.microsoft.com/fwlink/?LinkId=105019 et l'étude sur la technologie ADMX à l'adresse go.microsoft.com/fwlink/?LinkId=105032.Ne manquez pas également de vous abonner au bulletin GPanswers.com, à l'adresse GPanswers.com/newsletter et aux avis intermédiaires en consultant GPanswers.com/blog.

Jeremy Moskowitz MCSE et MVP Group Policy, administre GPanswers.com, un forum communautaire sur la Stratégie de groupe.Il dirige également un ensemble de formations intensives sur la Stratégie de groupe.Le dernier ouvrage de Jeremy est intitulé « Group Policy:Management, Troubleshooting and Security » (Sybex, 2007).Vous pouvez contacter Jeremy à l’adresse www.GPanswers.com.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.