Dépanner les stratégies de groupe
Conteneur des stratégies de groupe
Les différentes informations des stratégies de groupe sont réparties dans deux conteneurs :
-
Le GPC (Group Policy Container) qui permet le stockage des propriétés comme le numéro de version, le statut ou les filtres WMI. Il est stocké dans l’annuaire Active Directory.
-
Le GPT (Group Policy Template) contient les différents paramètres (sécurité, scripts et paramètres liés au registre). Ce container se trouve dans le dossier SYSVOL.
Les deux containers sont stockés dans deux endroits différents (AD et SYSVOL), la réplication utilise donc deux systèmes distincts. Le GPC stocké dans Active Directory est répliqué avec ce dernier. Le GPT utilise lui le système de réplication FRS (réplication de fichiers) ou DFSR (Distributed File System Replication) pour effectuer la réplication. Des problèmes peuvent survenir sur un ou l’autre des systèmes de réplication, ce qui engendre éventuellement des données incohérentes entre les deux.
Utilisation de l’outil GpoTool
Cet outil, qui permet d’effectuer la vérification d’une stratégie de groupe, fonctionne depuis Windows 2000. La cohérence des GPO entre les conteneurs GPC et GPT peut être testée à l’aide de cet outil.
Ce dernier est gratuit et peut être téléchargé dans le Resource Kit Tools pour Windows Server 2003.
Néanmoins, si le système d’exploitation exécute Windows Server 2008 ou version supérieure, il est possible de récupérer l’exécutable de la commande en allant sur mon blog : http://www.nibonnet.fr/?p=272
Téléchargez l’exécutable et insérez-le à la racine de la partition C du serveur AD1.
Lancez une invite de commandes DOS puis saisissez cd /.
L’instruction permet de sélectionner la racine de la partition.
Saisissez la commande gpotool ad1 /verbose.
Il est donc plus facile de détecter un éventuel problème de réplication. Dans le cas d’une erreur dans la réplication, les journaux d’événements doivent être utilisés pour tenter de déceler la source du problème
Jeu de stratégie résultant
Le jeu de stratégie résultant (RSoP, Resultant Set of Policy) permet l’élaboration de rapports sur les différents paramètres de stratégie de groupe appliqués à un utilisateur ou un ordinateur. Ces rapports peuvent être créés à l’aide de la console Gestion de la stratégie de groupe (GPMC - Group Policy Management Console) ou par l’intermédiaire de la commande gpresult. Les données du jeu de stratégie résultant sont extraites de l’ordinateur cible puis présentées dans un rapport au format HTML.
Plusieurs scénarios peuvent imposer un dépannage, comme une stratégie qui ne s’applique pas ou des paramètres qui s’appliquent mais sont complètement incohérents.
Dans un premier temps, il est important de vérifier la connectivité réseau à l’aide de la commande ping. Cette dernière permet de s’assurer de la réponse du contrôleur de domaine au niveau IP. Une fois cette étape validée, la résolution de noms DNS doit être testée à l’aide de la commande nslookup.
Si les deux outils ne remontent aucun problème, les journaux d’événements (journaux Système, Application et Group Policy) ainsi que le jeu de stratégie résultant doivent être utilisés.
1. Utilisation de la commande RSoP
Sur le poste client CL10-01, ouvrez une session en tant que nbonnet.
Ouvrez une console MMC et ajoutez le composant logiciel enfichable Jeu de stratégie résultant.
Effectuez un clic droit sur le nœud Jeu de stratégie résultant puis sélectionnez...
Opérations de maintenance sur l’infrastructure
Le paramétrage d’une stratégie de groupe peut prendre un certain temps. Il suffit malheureusement de quelques secondes pour supprimer et perdre l’ensemble des paramètres qu’elle contient.
Pour éviter ce problème, des solutions permettant la sauvegarde et la restauration des différentes stratégies sont mises en place depuis la console Gestion de stratégie de groupe. Elles permettent également l’exportation des stratégies vers un autre domaine.
1. Sauvegarde d’une stratégie
La première étape est donc d’effectuer une sauvegarde de la stratégie de groupe afin de pouvoir effectuer une restauration des paramètres.
Ouvrez une session sur AD1 en tant que Formation\administrateur.
Lancez la console Gestion de stratégie de groupe puis développez les nœuds Forêt : Formation.local, Domaines puis Formation.local.
Cliquez sur le conteneur Objets de stratégie de groupe.
Si vous effectuez un clic droit sur ce conteneur, le menu contextuel vous donne accès à l’option Sauvegarder tout qui permet la sauvegarde de l’ensemble des stratégies présentes.
Effectuez un clic droit sur la stratégie Audit dossier informatique puis sélectionnez...