- Warning
-
- JFolder::files : le chemin n'est pas un répertoire. Chemin : images/Badges
« Que chacun raisonne en son âme et conscience, qu'il se fasse une idée fondée sur ses propres lectures et non d'après les racontars des autres. »
A partir du poste sur lequel vous avez installé le client, lancez la console GPMC. Rien n'a radicalement changer ormi le fait un nouveau noeud est apparu vers le bas de la console. Il s'agit de noeud "Contrôle des modifications".
Orsque vous sélectionnez le noeud "Contrôle des modifications", une succetion de 4 onglets principaux s'affichent
L'onglet "Contenu" d'apparence vierge dans un premier temps vous permettra de gérer vos GPOs.
L'onglet "Déléguation de domaine vous permettra de définir votre modérateur ainsi que de déléguer l'adminstration des GPOs
L'onglet "Serveur AGPM" bous permettra de redéfinir l'hôte serveur AGPM ainsi que son port ainsi que de supprimer les anciennes versions des GPOs afin l'alléger le système.
L'onglet "Déléguation de production" vous permet également d'effectuer une déléguation
Revenez à présent sur le premier onglet "Contenu". Vous avez en-dessous une série de 4 onglets enfants.
L'onglet "Contrôlé" représente les GPOs gérés par AGPM et non par l'ancienne méthode
L'onglet "Non contrôlé" représente les GPOs gérés par l'ancienne méthode.
L'onglet "En attente" représente les objets GPOs en attente d'approbation par un modérateur.
L'onglet "Modèles" contient les modèles de GPOs.
Et enfin la corbeille, toutes les GPOs supprimés
Pour utiliser ces fonctions de contrôle GPO, vous cliquez sur un nœud Contrôle des modifications dans l'éditeur de gestion de stratégie de groupe. Le noeud de changement de commande apparaît uniquement si vous avez installé le client AGPM.
Lorsque vous développez des GPO en utilisant AGPM:
AGPM crée l'archive de toutes GPOs sous "%ProgramData%\Microsoft\AGPM" sur le serveur AGPM.Cela permet d'accéder, de gérer un versionning des GPOs. Les modifications apportées par AGPM aux GPOs contenus dans l'archive n'affectent pas l'environnement de production tant qu'un Administrateur AGPM ou un Approbateur n'a pas déployé le GPO dans l'environnement de production et ne l'a pas lié à une unité d'organisation.
L'archive comprend un sous-dossier pour chaque version de chaque GPO qu'elle contient. Le nom de chaque sous-dossier est un GUID qui identifie une version du GPO.
Si vous créez une gpo de manière traditionnelle dans "Objets de stratégie de groupe",
son propriétaire sera le compte qui l'aura créé et aura le statut "non contrôlé" dans le noeud "contrôle des modifications".
Par contre, après sa bascule en mode "Contrôlé" en effectuant un clic droit sur un ou plusieurs GPOs puis "Contrôle", c'est le système qui en est le propriétaire.
Si vous supprimez un GPO, vous retrouverez celui-ci dans l'onglet corbeille
Vous ne pouvez plus modifier directement un objet GPO. Pour ce faire, vous devez procéder à son extraction. Clic droit sur le GPO puis "Extraire". Le fait de l'extraire isole la phase de modification de la phase de mise en production. Contrairement à auparavant, toutes les modifications ne seront prises en compte tant que le GPO sera dans cet état.
Une fois extraite, le GPO apparaît en rouge et vous êtes en mesure de la modifier comme auparavant
Mettez vos paramétrages dnas le GPO à votre convenance, ici les paramétrages sur l'emplacement réseau
Une fois les modifications apportées, refaites un clic droit dessus puis "Archivage"
Un GPO une fois archivé n'est pas en production. Une fois lié traditionnellement, il vous faut le déployer.
Contrairement à auparavant ou il était obligatoire de créer votre modèle de GPOavant votre GPO, vous avez maintenant la possibilité de générer un modèle à partir d'un GPO.
Clic droit sur le GPO "Enregistrer comme modèle..."
Nommez-le
Votre modèle de GPO apparaît dans l'onglet "Modèles".
Les rôles simplifient la délégation. Au lieu d'attribuer des autorisations détaillées aux administrateurs de stratégies de groupe, les Administrateurs AGPM peuvent attribuer l'un des quatre rôles disponibles aux administrateurs de stratégies de groupe pour leur permettre d'effectuer les tâches en relation avec ce rôle :
Autorisation |
Description |
Administrateur AGPM |
Approbateur |
Éditeur |
Réviseur |
Contrôle total |
Dispose de toutes les autorisations. |
Oui |
|||
Créer un GPO |
Créer des GPO dans un domaine. |
Oui |
Oui |
||
Répertorier le contenu |
Répertorier les GPO d'un domaine. |
Oui |
Oui |
Oui |
Oui |
Lire les paramètres |
Lire les paramètres de stratégie d'un GPO. |
Oui |
Oui |
Oui |
Oui |
Modifier les paramètres |
Modifier les paramètres de stratégie d'un GPO. |
Oui |
Oui |
||
Supprimer un GPO |
Supprimer un GPO. |
Oui |
Oui |
||
Modifier la sécurité |
Déléguer l'accès au niveau d'un domaine, déléguer l'accès à un GPO donné et déléguer l'accès à l'environnement de production. |
Oui |
|||
Déployer un GPO |
Déployer un GPO dans l'environnement de production à partir de l'archive. |
Oui |
Oui |
||
Créer un modèle |
Créer un modèle de GPO dans AGPM. |
Oui |
Oui |
||
Modifier des options |
Configurer la notification par courrier électronique d'AGPM et limiter les versions de GPO stockées dans l'archive. |
Oui |
|||
Exporter le GPO |
Exporter un GPO vers un fichier. |
Oui |
Oui |
||
Importer le GPO |
Importer un GPO à partir d'un fichier. |
Oui |
Oui |
La géléguation s'effectue par objet GPO et non pas pour tous les GPOs comme auparavant.
Sélectionnez votre GPO et cliquez sur l'onglet "Déléguation de domaine"
Sélectionnez l'utilisateur concerné
Affectez lui le niveau requis
Il apparaît dans la zone "Rôles"
L'utilisateur s'étant loguer avec son compte, il va pouvoir extraire ce GPO
Puis le modifier
En fonction des besoins
L'utilisateur archivera à nouveau le GPO
Puis va déployer le GPO. Du fait qu'il n'a que le rôle RBAC "Editeur"
Une boîte de dialogue apparaît lui permettant d'insérer un commentaire.
Dans l'onglet "En attente" se trouve le GPO en attente d'approbation.
Le destinataire du mail (donc le modérateur) reçoit un mail lui l'avertissant q'une modification a été apporté à un GPO
Dans l'onglet "En attente"
En faisant un clic droit, il peut vérifier les liens
Cette vue nouvelle est très intérressante...
Il pourra éditer un rapport en HTML ou XML
Pour visualiser les modifications
Libre au modérateur d'approuver ou de refuser le GPO
En ajoutant ou pas un commentaire