Comment configurer un magasin central pour les modèles ADMX de stratégie de groupe

Comment configurer et dépanner correctement votre boutique centrale GPO

Configurer le magasin central de stratégie de groupe peut s’avérer complexe, surtout en cas de problèmes de synchronisation ou d’erreurs inattendues. L’objectif est de gérer efficacement les modèles ADMX/ADML sur l’ensemble de votre domaine, afin d’éviter les incompatibilités de versions ou les stratégies manquantes. Cependant, la simple copie de fichiers ne suffit pas toujours, et Windows peut se montrer capricieux quant aux modèles importés. C’est là qu’un guide pas à pas comme celui-ci s’avère précieux pour résoudre tous les problèmes.

Création du magasin central GPO : pourquoi et comment

Tout d’abord, si vous n’avez pas encore configuré de magasin central, Windows n’en créera pas automatiquement un. Par défaut, il utilise les modèles locaux stockés sur chaque machine dans C:\Windows\PolicyDefinitions. La véritable puissance réside dans la présence d’un référentiel partagé dans SYSVOL. Ainsi, tous les contrôleurs de domaine accèdent aux mêmes fichiers ADMX/ADML, ce qui garantit une gestion cohérente des stratégies sur l’ensemble du réseau. Dans certaines configurations, cela réduit également les erreurs et les confusions concernant les modèles utilisés. Si vous souhaitez créer le référentiel manuellement, copiez simplement le fichier PolicyDefinitions local depuis un serveur Windows ou un contrôleur de domaine vers ce chemin :

\\woshub.com\SYSVOL\woshub.com\Policies\PolicyDefinitions

Cette méthode garantit l’harmonisation des modèles de politiques de tous les utilisateurs. Attention toutefois : ne copiez jamais de fichiers ADM dans ce dossier si vous utilisez des modèles ADMX/ADML, car le format ADM est obsolète et n’est plus pris en charge par le référentiel central. Privilégiez plutôt les fichiers ADMX et leurs fichiers de localisation *.adml.

Synchroniser correctement les modèles – Astuces en ligne de commande

Si vous copiez les modèles les plus récents depuis Microsoft ou une autre source, il est préférable d’utiliser PowerShell. Voici un court extrait de code que j’ai moi-même utilisé, qui copie l’intégralité du contenu du répertoire local C:\Windows\PolicyDefinitions vers votre magasin central :

$Destination = "\\woshub.com\SYSVOL\woshub.com\Policies\PolicyDefinitions" $Source = "C:\Windows\PolicyDefinitions" Copy-Item -Path $Source\* -Destination $Destination -Recurse -Force -PassThru

Car, aussi surprenant que cela puisse paraître, il arrive que les autorisations Windows ou de script soient capricieuses et que les fichiers ne se copient pas correctement. L’exécution de PowerShell en tant qu’administrateur peut s’avérer utile, et sur certaines machines, un redémarrage après la copie permet de garantir le bon chargement des nouveaux modèles dans l’Éditeur de stratégie de groupe.

Gestion des incompatibilités de versions et des fichiers de localisation

Un problème fréquent est la présence de différentes versions d’ADMX, notamment lorsqu’elles sont obsolètes, ce qui provoque des erreurs telles que « La ressource xxxx référencée dans l’attribut xxxx est introuvable ».C’est pourquoi, avant de modifier les GPO, il est essentiel de toujours mettre à jour vos modèles ADMX à partir des dernières versions disponibles au téléchargement sur le site officiel de Microsoft.

N’oubliez pas non plus de mettre à jour les fichiers ADML spécifiques à la langue si vous utilisez des versions non anglaises. Placer les dossiers de localisation tels que de_DE, en-US ou fr-FR dans le dossier PolicyDefinitions garantit que les noms et descriptions des politiques apparaissent dans la langue de votre choix. Toutefois, dans la plupart des cas, il est plus sûr de conserver le dossier en-US, surtout si vous gérez des environnements multilingues.

Assurez-vous que votre éditeur GPO utilise le magasin central

Il arrive que la console de gestion des GPO persiste à charger des modèles locaux, même après la configuration du magasin central. Pour forcer ce comportement, vous pouvez modifier une clé de registre :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PolicyDefinitions\EnableLocalStoreOverride = 1 (DWORD)

Cela permet à l’éditeur GPO d’ignorer le magasin central et d’utiliser des modèles locaux, ce qui est utile pour le dépannage ou pour tester des modèles sur des machines individuelles. En revanche, pour vérifier que le magasin central est utilisé, ouvrez gpmc.msc et recherchez le message correspondant Policy Definitions (ADMX files) retrieved from the central store. Si vous le voyez, tout est en ordre.

Attention aux erreurs courantes et comment les corriger

Si des erreurs telles que « Ressource… introuvable » s’affichent à l’ouverture de l’éditeur GPO, cela signifie généralement que certains fichiers ADML n’ont pas été synchronisés correctement ou sont manquants. Vérifiez que tous les dossiers de langue sont bien présents dans le répertoire PolicyDefinitions et que les fichiers correspondent à la version ADMX copiée. Dans certains cas, attendre que le service de réplication de fichiers propage les modifications sur les contrôleurs de domaine résout le problème ; dans d’autres, une restauration manuelle à partir d’une sauvegarde ou une nouvelle copie des modèles est plus rapide.

Parce que, bien sûr, Windows se doit de compliquer les choses inutilement.

Si vous ajoutez de nouveaux modèles, par exemple pour Chrome ou Office, assurez-vous que les fichiers ADMX/ADML correspondants sont à jour. Sinon, certains paramètres risquent de s’afficher incorrectement, voire d’être indisponibles.Évitez également de mélanger d’anciens fichiers ADM avec de nouveaux fichiers ADMX : cela pourrait engendrer des problèmes.

Globalement, la mise en place d’un magasin central n’est pas si compliquée une fois qu’on a compris où chaque élément doit être placé, mais le dépannage peut s’avérer délicat si les modèles ne sont pas correctement synchronisés.

Résumé

  • Créez le dossier \\\SYSVOL\\Politiques\Définitions des politiques
  • Copiez les fichiers ADMX/ADML depuis Microsoft, de préférence à l’aide de PowerShell.
  • Mettez à jour les dossiers de langue pour la localisation, si nécessaire.
  • Vérifiez que votre éditeur GPO utilise le magasin central en consultant le message.
  • Sauvegardez votre dossier PolicyDefinitions avant d’effectuer des mises à jour importantes.
  • Soyez patient, car la réplication des fichiers peut prendre un certain temps.

Conclure

La mise en place d’un système centralisé performant peut vous éviter bien des soucis par la suite, notamment pour la gestion des politiques sur plusieurs serveurs. Pensez simplement à maintenir vos modèles à jour, à effectuer des sauvegardes régulières et à être prêt à résoudre les problèmes de fichiers manquants ou incompatibles. Le résultat n’est pas toujours parfait du premier coup : sur une configuration, cela a fonctionné immédiatement, sur une autre, il a fallu plusieurs redémarrages et des copies manuelles. J’espère que ce conseil permettra à d’autres d’éviter les heures de frustration que j’ai vécues.

Comment identifier le créateur d'un compte utilisateur dans Active Directory
Comment gérer la collecte et l'analyse centralisées des journaux avec Graylog