Le magasin central est arrivé avec Windows 2008. Historiquement les GPO la forme de fichiers .adm.
Depuis Windows 2008, le fonctionnement des GPO a été revus et les fichiers .adm ont été remplacés par une multitude de fichiers .admx et .adml.
Le fichiers ADMX contient la configuration des paramètres de la GPO. Donc la /les clefs de regitre à modifier.
Le fichiers ADML contient la description et les commentaires du fichiers ADMX.
Pour un fichiers ADMX, il peut y avoir plusieurs fichiers ADML, plus précisément un par langue disponible.
L’ensemble des modèles d’administration sont nativement présent dans le répertoire “C:\Windows\PolicyDefinitions\” des contrôleurs de domaine.
Les modèles d’administration évoluent avec les version de Windows et ajouts /remplacent des possibilités de configuration.
De plus, il est possible d’avoir des modèles d’administration tiers soit de produit Microsoft tel que Office, LAPS ou d’autres éditeurs comme VMWare ou Citrix.
L’objet de ce post porte sur la création /mise à jour de ce que l’on peut appeler le tronc commun du magasin central. Les mise à jour sont traitées cumulatives afin de ne pas supprimer les éventuels modèles d’administration tiers.
Sommaire
Vérification si la console GPMC utilise le magasin central
Depuis la console de gestion des GPO (gpmc.msc), il est possible de vérifier si celle-ci utilise le magasin central.
Création du magasin central
Il y a plusieurs possibilités de créer le magasin central… A vous de choisir la plus pertinente selon la version de vos contrôleurs de domaine et des OS que vous déployer /configurez.
Si vous constatez la présence d’un répertoire “PolicyDefinitions” déjà présent dans le SYSVOL de votre domaine, c’est que le magasin central est déjà configuré. Il faut alors réaliser une mise à jour de celui-ci si besoin. La mise à jour est traitée dans le chapitre “Mise à jour du magasin central” de ce document.
Depuis un contrôleur de domaine
La première méthode, certainement la plus souvent réalisée consiste à copier le répertoire :
“C:\Windows\PolicyDefinitions\”
de l’un des contrôleur de domaine dans le répertoire SYSVOL de votre domaine :
“\\teddycorp.lab\SYSVOL\teddycorp.lab\Policies\”
dans cet exemple ci.
L’inconstamment de cette méthode est que les modèles d’administration que vous allez mettre à disposition correspondent à la version du contrôleur depuis lequel l’opération est réalisée.
En d’autre thermes, si le contrôleur de domaine est sur une version 2008r2, les modèles d’administration pour Windows 10 ne sont pas présents.
Il faudra alors procéder à une mise à jour du magasin central.
You need permition to perform this action
Dans certain cas, selon le niveau de l’UAC, des permissions supplémentaires peuvent être nécessaire.
Il est alors nécessaire d’identifier le répertoire local contenant le SYSVOL sur le contrôleur de domaine et de déposer les modèles d’administration à cet emplacement.
Pour ce faire, il existe plusieurs méthodes. La plus rapide reste la commande “Get-SmbShare”.
Dès que le répertoire cible est identifié (dans ce cas ci : “D:\Windows\SYSVOL\”, se rendre dans le sous-répertoire “\domain\Policies\” afin de déposer le répertoire “PolicyDefinitions”.
Le magasin central est maintenant disponible.
Depuis la console d’administration des GPO (GPMC.msc), il est possible de vérifier que le magasin central est utilisé.
Depuis les sources Microsoft
La seconde méthode, consiste à récupérer directement la dernière version des modèles d’administration présente sur le site Microsoft et de déposer le répertoire PolicyDéfinition dans le SYSVOL de votre domaine.
Le téléchargement et l’installation sont traités dans le chapitre “Télécharger et installer les modèles d’administration“.
Lors de la mise à jour depuis les modèles d’administration du site Microsoft, vérifier la compatibilité des contrôleurs de domaine avec celle de la version à déployer.
Dès lors que l’installation est terminée, se rendre dans le répertoire d’installation (dans cet exemple : “C:\temp\Windows 10 May 2019 Update (1903)”).
Le répertoire “PolicyDefinitions” contient les modèles d’administration qui constituerons le magasin central.
Avant de créer le magasin central, il est nécessaire de supprimer les packs de langues inutile. Pour ce faire ouvrir le répertoire “PolicyDefinitions” et identifier les répertoire correspondant aux langues inutiles pour votre infrastructure. Le répertoire “en-us” (contenant le pack de langue US) doit être conservé.
Dans notre exemple, le français et l’anglais sont conservés. Les autres pack de langue peuvent être supprimés.
Le répertoire PolicyDefinitions peut maintenant être copié dans le répertoire SYSVOL du domaine.
Selon le niveau de sécurité de votre domaine, l’UAC peut posée des soucis. Une première méthode de contournement est présentée dans le chapitre “You need permition to perform this action“, une seconde est d’utiliser Powershell pour réaliser la copie, en utilisant l’option “Run as Administrator” lors du lancement de la console Powershell.
Copy-Item -Path ‘C:\temp\Windows 10 May 2019 Update (1903)\PolicyDefinitions\’ -Destination ‘\\teddycorp.lab\SYSVOL\teddycorp.lab\Policies’ -Recurse
Le magasin central est désormais disponible et utilise la dernière version des modèles d’administration.
Télécharger et installer les modèles d'administration
Dans la majorité des domaine, les contrôleurs de domaines ne sont pas forcément à la dernière version de Windows disponible. Et donc ne contiennent pas localement la dernière version ou la version souhaitée des modèles d’administration. C’est pour cela que chaque version sont disponible sur le site de Microsoft, suivre le lien ci-dessous :
Lors de la mise à jour depuis les modèles d’administration du site Microsoft, vérifier la compatibilité des contrôleurs de domaine avec celle de la version à déployer.
Installation des modèles d'administration
Installer sur un poste de travail ou serveur membre le fichier MSI : “Administrative Templates (.admx) for Windows 10 May 2019 Update.msi”
Contenu du modèle d'administration
Le contenu du répertoire PolicyDefinitions fraichement installé (décompressé) est composé de l’ensemble des fichiers .admx qui contiennent la configuration et un ensemble de répertoires.
Les répertoires, un par langue contiennent quant à eux les fichiers .adml. Il s’agit des définitions de chaque fichiers .admx.
Mise à jour du magasin central
Le magasin central peut contenir des modèles d’administration additionnel qui doivent être conservés. La mise à jour des modèles d’administration consiste à ajouter /remplacer les fichiers .admx et .adml contenu dans le répertoire PolicyDefinitions.
Vous devez dans un premier temps télécharger et installer la version souhaitée des modèles d’administration. Pour réaliser cette opération, il faut se référer au chapitre “Télécharger et installer les modèles d’administration“.
Sauvegarde du magasin central
Avant de commencer la mise à jour du magasin central, il est nécessaire de réaliser une copie du magasin central utilisé. Cette copie servira à la fois de sauvegarde en cas de souci et de répertoire de travail pendant le mise à jour.
Se rendre dans le répertoire SYSVOL du domaine :
\\domaine.name\SYSVOL\domaine.name\Policies\
Et copier sur place le répertoire “PolicyDefinitions”.
Mise à jour ADMX
Mise à jour ADML
Bascule du répertoire
Pour finir la mise à jour, il faut maintenant renommer les répertoires :
- DefinitionPolicy devient DefinitionPolicy_BackupDate
- DefinitionPolicy – Copie devient DefinitionPolicy
La mise à jour est désormais terminée. Il faudra tout de même attendre quelques minutes /heures que la réplication du SYSVOL soit terminée.
