Administrateur Réseau

Qu’est-ce que le RSoP ? Plus Comment vérifier la stratégie de groupe – Guide étape par étape

Qu



Cet article explique comment utiliser la fonctionnalité RSoP pour comprendre vos stratégies de groupe actuelles et démontre comment les administrateurs peuvent utiliser cette fonctionnalité pour planifier et dépanner de nouvelles stratégies sur le réseau.

Qu’est-ce que le RSoP ?

RSoP signifie Ensemble de politiques résultant . Il est utilisé pour simuler et tester les paramètres de stratégie appliqués aux utilisateurs ou aux ordinateurs qui utilisent Stratégie de groupe . RSoP est considéré comme un ajout à la stratégie de groupe pour faciliter la mise en œuvre et le dépannage de la stratégie.



RSoP se présente généralement sous la forme d'un rapport contenant les paramètres de stratégie de groupe dans Active Directory qui démontrent comment ces paramètres peuvent affecter un réseau ou comment les Objets de stratégie de groupe (GPO) peuvent affecter différentes combinaisons d’utilisateurs et d’ordinateurs en ce qui concerne l’application de la politique de sécurité locale.

Ces données du rapport RSoP peuvent être visualisées sous forme de rapport HTML à l'aide de l'outil gpresult dans Console de gestion des stratégies de groupe. De plus, les rapports peuvent être consultés facilement à l'aide du Centre d'aide et de support de Microsoft Management Console. RSoP est un outil pratique que l'administrateur système peut utiliser pour tester et dépanner les paramètres de stratégie de groupe au niveau du client.



Vous trouverez ci-dessous quelques termes clés avec lesquels vous souhaiterez vous familiariser pour comprendre pleinement le fonctionnement du RSoP et vérifier la stratégie de groupe.

Stratégie de groupe

La stratégie de groupe est un cadre hiérarchique spécialement conçu qui permet à un administrateur réseau de mettre en œuvre des configurations spécifiques à l'utilisateur pour différents ordinateurs. Ici, l’administrateur réseau doit être en charge de l’Active Directory de Microsoft.

Par conséquent, la stratégie de groupe peut effectivement être définie comme une stratégie de sécurité permettant de mettre en œuvre des configurations de sécurité critiques pour les utilisateurs et les ordinateurs. L'un des meilleurs exemples pratiques est celui des modèles d'administration pour Microsoft Office.

Active Directory

Active Directory, également abrégé en AD, est le service d'annuaire de Microsoft qui s'exécute sur Windows Server et permet aux administrateurs système de gérer et de contrôler l'accès aux ressources réseau. Un Active Directory stocke ses données sous forme d'objets. Un objet peut être défini comme n’importe quel élément unique, une application ou un utilisateur. Etc.

Objets de stratégie de groupe (GPO)

L'objet de stratégie de groupe (GPO) est l'ensemble de paramètres de stratégie de groupe de Microsoft qui détermine et définit la façon dont un système apparaîtra et comment il se comportera pour un ensemble particulier d'utilisateurs. Le GPO est corrélé avec des conteneurs Active Directory sélectionnés tels que des domaines ou des sites Web.

Généralement, il existe trois types d’objets de stratégie de groupe : les objets de stratégie de groupe locaux, les objets de stratégie de groupe non locaux et les objets de stratégie de groupe de démarrage. Les GPO locaux et non locaux font référence à l’ordinateur local ou non local auquel ils peuvent être appliqués. Le GPO de démarrage représente une stratégie de base que l’administrateur peut créer à l’aide d’un groupe de paramètres préconfigurés.

Console de gestion des stratégies de groupe (GPMC)

La console de gestion des stratégies de groupe (GPMC) ressemble collectivement à l'utilisation et à la gestion de la stratégie de groupe au sein d'une unité organisationnelle. Il s'agit d'une interface qui permet aux administrateurs Active Directory d'importer, d'exporter, de sauvegarder et de restaurer les GPO à partir d'une seule application console. Avant l'avènement de GPMC, les administrateurs système devaient utiliser de nombreux autres outils pour gérer la stratégie de groupe.

Après avoir eu un aperçu de ces termes, nous comprenons mieux comment ces éléments essentiels sont liés les uns aux autres, nous revenons donc à la discussion sur le RSoP.

RSoP peut être un moteur de requête qui interroge les politiques existantes et futures planifiées en fonction du site Web, du domaine et de l'unité organisationnelle.

RSoP fournit des informations détaillées sur tous les paramètres de stratégie configurés par un administrateur système. Ces paramètres incluent généralement l'installation du logiciel de stratégie de groupe, les scripts de code, les paramètres de sécurité, les modèles d'administration pour différentes tâches et la maintenance d'Internet Explorer.

Modes RSoP

RSoP a deux modes en général. Le premier est le Mode planification, qui peut simuler la façon dont les paramètres de stratégie souhaités peuvent affecter l’ordinateur lorsqu’ils sont appliqués. Il s’agit davantage de scénarios « Et si ».

Par exemple, que se passe-t-il si je place un utilisateur dans un autre groupe AD, qu'un ordinateur ou un utilisateur est déplacé vers une unité organisationnelle (OU) distincte, etc. Une unité organisationnelle (UO) est un conteneur au sein d'un domaine Microsoft Active Directory qui peut contenir des utilisateurs, des groupes et des ordinateurs.

Le deuxième mode est le Mode de journalisation qui rapporte les paramètres de stratégie existants pour un ordinateur et un utilisateur actuellement connecté au système. Ce mode est mieux utilisé pour vérifier et dépanner les paramètres de stratégie de groupe.

Utilisation de RSoP pour vérifier et dépanner les paramètres de stratégie de groupe

Cet article fournit des lignes directrices faciles à suivre pour utiliser RSoP afin de vérifier et de configurer les paramètres de stratégie de groupe. Cela vous aidera également à résoudre tous les problèmes que vous pourriez rencontrer en rapport avec les paramètres de stratégie de groupe.

Le premier problème est qu’il n’est pas facile de contrôler et de dépanner plusieurs objets de stratégie de groupe. Ainsi, lorsque des GPO sont déployés, certains éléments doivent être pris en compte. Ceux-ci inclus:

  • La différence entre les paramètres utilisateur et les paramètres de l'ordinateur.
  • Ordre de priorité du GPO.
  • Chevauchement des paramètres de stratégie de groupe.
  • Les stratégies appliquées peuvent être affectées lorsqu'un utilisateur ou un ordinateur est déplacé vers une autre unité organisationnelle (UO).

Avant de passer au guide lui-même, il sera utile de passer en revue les meilleures pratiques utilisées en matière de stratégie de groupe. Ceux-ci inclus:

  1. La politique de domaine par défaut est définie au niveau du domaine, elle ne doit donc pas être modifiée. Cependant, tous les autres paramètres doivent être placés dans un objet de stratégie de groupe (GPO) distinct.
  2. Une structure d’UO soigneusement conçue facilitera la tâche. Par exemple, une unité sous-organisationnelle doit être créée pour chaque fonction commerciale distincte.
  3. Utilisez de petits GPO pour simplifier l’administration.
  4. La gestion du changement doit être mise en œuvre pour la politique de groupe. Cela peut devenir incontrôlable si tous les administrateurs ont le droit d’apporter des modifications chaque fois qu’ils le jugent nécessaire.
  5. Les nouvelles configurations d'ordinateur et d'utilisateur doivent être désactivées pour accélérer le traitement des GPO.
  6. Les noms descriptifs des objets de stratégie de groupe doivent être utilisés pour une identification rapide.
  7. Les GPO n'ont pas besoin d'être définis au niveau du domaine. Au lieu de cela, ils ne doivent être appliqués qu’au niveau de l’UO. Cela permettra aux sous-unités d'organisation d'hériter des paramètres de stratégie.

Utilisation de RSoP pour déterminer les paramètres de stratégie de l'ordinateur et de l'utilisateur

Passons maintenant aux étapes nécessaires pour exécuter RSoP afin de déterminer les paramètres de stratégie de l'ordinateur et de l'utilisateur.

  1. Tout d’abord, vous devez être un administrateur local sur l’ordinateur local afin que RSoP puisse renvoyer les paramètres de stratégie de configuration de l’ordinateur.
  2. Exécutez la ligne de commande «rsop.MSC» à partir d'un local. Il exécutera et produira un rapport sur les paramètres de stratégie des utilisateurs et des ordinateurs.
  3. Une fois le rapport RSoP terminé, il est temps de revoir les paramètres de stratégie générés. Tout d’abord, parcourez les politiques et comprenez quels paramètres ont été appliqués. N'oubliez pas que le rapport RSoP ne contiendra que les paramètres de stratégie et non les objets de stratégie de groupe (GPO).
  4. Nous devons maintenant revenir à la console de gestion des stratégies de groupe (GPMC) et vérifier que les stratégies liées sont appliquées.

Vérifions-le de notre côté. Mais vous pouvez également faire la même chose de votre côté. Ainsi, par exemple, nous avons un objet de stratégie de groupe (GPO) nommé « Ordinateur – Paramètres Win 10 ». Et nous sommes connectés depuis l’ordinateur PC1. Les administrateurs doivent donc appliquer les stratégies de cet objet de stratégie de groupe à PC1.

Maintenant, cela doit être vérifié avec les résultats du RSoP. C'est assez simple à réaliser. Après avoir exécuté le RSoP, vous pouvez voir que les paramètres du GPO nommé « Ordinateur – Paramètres du navigateur » sont appliqués au PC1. Dans les résultats, on peut également voir de quel GPO proviennent les paramètres.

Si vous acquérez plusieurs GPO qui se chevauchent, vous devez alors observer quel GPO est prioritaire dans la section des résultats.

Un point important à noter est que lorsque rsop. msc est exécuté sur une machine client, puis, par défaut, il s'exécutera en mode de journalisation. Il existe deux modes dans lesquels RSoP peut s'exécuter, l'un est le mode de journalisation et l'autre est le mode de planification. Vous trouverez ci-dessous les étapes pour exécuter RSoP en mode planification.

Comment simuler les paramètres de stratégie GPO en exécutant RSoP en mode planification

Nous allons maintenant utiliser le mode de planification de RSoP pour observer quelles politiques seront appliquées si un utilisateur est déplacé vers une nouvelle unité d'organisation, par exemple les ventes. Puisque nous avons un GPO lié à cette unité d’organisation, il est donc prévu que ces politiques soient appliquées. Par conséquent, nous souhaitons observer ce qui serait défini avant de déplacer quoi que ce soit vers cette unité d’organisation.

  1. La première étape consiste à ouvrir MMC. Cela peut être fait de l’une ou l’autre des deux manières. La première consiste à ouvrir la commande Windows Run en appuyant sur Win + R, puis à taper MMC. La deuxième façon consiste à ouvrir l’invite de commande et à taper mmc.exe.
  2. La console MMC s'ouvre. Vous devez aller dans Fichier puis cliquer sur Ajouter/Supprimer un composant logiciel enfichable.
  3. Il existe une liste des composants logiciels enfichables disponibles dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables. Choisissez Ensemble de stratégie résultant (RSoP) dans la liste.
  4. Pour exécuter l'assistant RSoP, cliquez avec le bouton droit sur l'ensemble de stratégie résultant et sélectionnez Générer des données RSoP.
  5. Un écran de bienvenue apparaît. Cliquer sur Suivant pour continuer.
  6. Sélectionnez ensuite le mode de planification (puisque nous essayons de simuler les paramètres de stratégie GPO en exécutant RSoP en mode planification).
  7. Sélectionnez l'utilisateur, l'ordinateur ou l'unité d'organisation pour lequel vous souhaitez simuler les paramètres de stratégie.
  8. Comme indiqué précédemment, nous allons simuler les politiques pour l'UO Ventes, je vais donc sélectionner Conteneur pour les informations utilisateur, puis PC1 pour le système informatique. Cliquer sur Suivant pour continuer.
  9. Vous pouvez choisir parmi toutes les options de simulation supplémentaires si nécessaire.
  10. Cliquer sur Suivant pour continuer. Encore une fois, cliquez sur Suivant.
  11. La page suivante apparaît dans la page du groupe Sécurité utilisateur. Les modifications apportées aux groupes de sécurité peuvent y être simulées.
  12. Cliquez sur Suivant pour passer à la page suivante.
  13. La page suivante qui apparaît est la page Filtres WMI. Encore une fois, vous avez la possibilité d'utiliser tous ceux disponibles ou de choisir uniquement les filtres sélectionnés parmi eux. Ensuite, cliquez sur Suivant pour continuer.
  14. La page suivante est la page finale, c'est-à-dire la page de résumé. Vous pouvez y parcourir les configurations choisies. Cliquer sur Suivant pour continuer.
  15. L'assistant est enfin terminé.

Maintenant, nous avons les résultats simulés. Nous devons observer quelles politiques seront appliquées lors de la sélection de l’UO de vente. En vérifiant les résultats, nous savons que seuls les paramètres utilisés sont affichés. Le GPO lui-même ne sera pas affiché. Seuls les paramètres de stratégie sont visibles.

Nous pouvons voir que les paramètres de l'économiseur d'écran sont appliqués selon la configuration utilisateur en parcourant les résultats simulés. Ainsi, il est confirmé que le GPO défini au niveau de l’UO de vente sera utilisé. Cela ne pose donc aucun problème. Désormais, les administrateurs peuvent déplacer les utilisateurs vers cette unité d'organisation.

Conclusion

RSoP peut être un outil précieux pour les administrateurs système s’il est utilisé correctement. Cette fonctionnalité aide l'administrateur système à éviter les conflits de GPO et à réduire les temps d'arrêt potentiels en agissant comme un outil de planification avant que les mises à jour ne soient appliquées en production.

Cherchez-vous à utiliser RSoP dans votre environnement ? Faites-le-nous savoir dans les commentaires ci-dessous.

^