Utiliser AGPM

Créez et modifiez un GPO contrôlé

Créez et modifiez un GPO contrôlé

Source partielle de l'article

Pour utiliser ces fonctions de contrôle GPO, vous cliquez sur un nœud Contrôle des modifications dans l'éditeur de gestion de stratégie de groupe. Le noeud de changement de commande apparaît uniquement si vous avez installé le client AGPM.
Lorsque vous développez des GPO en utilisant AGPM:

• Créez un nouveau GPO contrôlé ou contrôler un GPO précédemment non contrôlée.
• Voir le GPO, de sorte que vous et vous seul pouvez le modifier.
• Modifier le GPO.
• Vérifiez dans le GPO modifié, afin que d'autres peuvent changer, ou de sorte qu'il peut être déployé.
• Passez en revue les changements.
• Déployez le GPO à l'environnement de production.

Archive

AGPM crée l'archive de toutes GPOs sous "%ProgramData%\Microsoft\AGPM" sur le serveur AGPM.Cela permet d'accéder, de gérer un versionning des GPOs. Les modifications apportées par AGPM aux GPOs contenus dans l'archive n'affectent pas l'environnement de production tant qu'un Administrateur AGPM ou un Approbateur n'a pas déployé le GPO dans l'environnement de production et ne l'a pas lié à une unité d'organisation.

L'archive comprend un sous-dossier pour chaque version de chaque GPO qu'elle contient. Le nom de chaque sous-dossier est un GUID qui identifie une version du GPO.

Si vous créez une gpo  de manière traditionnelle dans "Objets de stratégie de groupe",

son propriétaire sera le compte qui l'aura créé et aura le statut "non contrôlé" dans le noeud "contrôle des modifications".

Par contre, après sa bascule en mode "Contrôlé" en effectuant un clic droit sur un ou plusieurs GPOs puis "Contrôle", c'est le système qui en est le propriétaire.

Si vous supprimez un GPO, vous retrouverez celui-ci dans l'onglet corbeille

Vous ne pouvez plus modifier directement un objet GPO. Pour ce faire, vous devez procéder à son extraction. Clic droit sur le GPO puis "Extraire". Le fait de l'extraire isole la phase de modification de la phase de mise en production. Contrairement à auparavant, toutes les modifications ne seront prises en compte tant que le GPO sera dans cet état.

Une fois extraite, le GPO apparaît en rouge et vous êtes en mesure de la modifier comme auparavant

Mettez vos paramétrages dnas le GPO à votre convenance, ici les paramétrages sur l'emplacement réseau

Une fois les modifications apportées, refaites un clic droit dessus puis "Archivage"

Un GPO une fois archivé n'est pas en production. Une fois lié traditionnellement, il vous faut le déployer.

Modèle de GPO

Contrairement à auparavant ou il était obligatoire de créer votre modèle de GPOavant votre GPO, vous avez maintenant la possibilité de générer un modèle à partir d'un GPO.

Clic droit sur le GPO "Enregistrer comme modèle..."

Nommez-le

Votre modèle de GPO apparaît dans l'onglet "Modèles".

Rôles et autorisations

Rôles et autorisations

Les rôles simplifient la délégation. Au lieu d'attribuer des autorisations détaillées aux administrateurs de stratégies de groupe, les Administrateurs AGPM peuvent attribuer l'un des quatre rôles disponibles aux administrateurs de stratégies de groupe pour leur permettre d'effectuer les tâches en relation avec ce rôle :

• Administrateur AGPM: Les administrateurs de stratégies de groupe auxquels le rôle Administrateur AGPM (contrôle total) est attribué peuvent réaliser n'importe quelle tâche dans AGPM. Les Administrateurs AGPM peuvent configurer des options à l'échelle d'un domaine et déléguer des autorisations aux autres administrateurs de stratégies de groupe.
• Approbateur : les administrateurs de stratégies de groupe auxquels le rôle Approbateur est attribué peuvent déployer des GPO dans l'environnement de production d'un domaine. Les approbateurs peuvent également créer et supprimer des GPO et approuver ou rejeter les demandes des éditeurs. Les approbateurs peuvent consulter la liste des GPO d'un domaine, afficher les paramètres de stratégie des GPO ou encore créer et afficher des rapports sur les paramètres de stratégie d'un GPO. Ils ne peuvent pas modifier les paramètres de stratégie des GPO, sauf s'ils bénéficient également du rôle d'éditeur.
• Éditeur : les administrateurs de stratégies de groupe auxquels le rôle Éditeur est attribué peuvent afficher la liste des GPO d'un domaine, consulter les paramètres de stratégie des GPO, modifier les paramètres de stratégie des GPO ou encore créer et consulter des rapports sur les stratégies de groupe d'un GPO. À moins de disposer également du rôle Approbateur, les éditeurs ne peuvent pas créer, déployer ou supprimer des GPO. En revanche, ils peuvent demander la création, le déploiement ou la suppression de GPO.
• Réviseur : les administrateurs de stratégies de groupe auxquels le rôle Réviseur est attribué peuvent consulter la liste des GPO d'un domaine ou encore créer et afficher des rapports sur les paramètres de stratégie d'un GPO. À moins de bénéficier également du rôle d'éditeur, ils ne peuvent pas modifier les paramètres de stratégie d'un GPO.

La géléguation s'effectue par objet GPO et non pas pour tous les GPOs comme auparavant.

Sélectionnez votre GPO et cliquez sur l'onglet "Déléguation de domaine"

Sélectionnez l'utilisateur concerné

Affectez lui le niveau requis

Il apparaît dans la zone "Rôles"

L'utilisateur s'étant loguer avec son compte, il va pouvoir extraire ce GPO

Puis le modifier

En fonction des besoins

L'utilisateur archivera à nouveau le GPO

Puis va déployer le GPO. Du fait qu'il n'a que le rôle RBAC "Editeur"

Une boîte de dialogue apparaît lui permettant d'insérer un commentaire.

Dans l'onglet "En attente" se trouve le GPO en attente d'approbation.

Le destinataire du mail (donc le modérateur) reçoit un mail lui l'avertissant q'une modification a été apporté à un GPO

Dans l'onglet "En attente"

En faisant un clic droit, il peut vérifier les liens

Cette vue nouvelle est très intérressante...

Il pourra éditer un rapport en HTML ou XML

Pour visualiser les modifications

Libre au modérateur d'approuver ou de refuser le GPO

En ajoutant ou pas un commentaire