Active Directory – GPO création /mise à jour du magasin central ADMX /ADML

Le magasin central est arrivé avec Windows 2008. Historiquement les GPO la forme de fichiers .adm.

Depuis Windows 2008, le fonctionnement des GPO a été revus et les fichiers .adm ont été remplacés par une multitude de fichiers .admx et .adml.

Le fichiers ADMX contient la configuration des paramètres de la GPO. Donc la /les clefs de regitre à modifier.

Le fichiers ADML contient la description et les commentaires du fichiers ADMX.

Pour un fichiers ADMX, il peut y avoir plusieurs fichiers ADML, plus précisément un par langue disponible.

L’ensemble des modèles d’administration sont nativement présent dans le répertoire « C:\Windows\PolicyDefinitions\ » des contrôleurs de domaine.

Les modèles d’administration évoluent avec les version de Windows et ajouts /remplacent des possibilités de configuration.

De plus, il est possible d’avoir des modèles d’administration tiers soit de produit Microsoft tel que Office, LAPS ou d’autres éditeurs comme VMWare ou Citrix.

L’objet de ce post porte sur la création /mise à jour de ce que l’on peut appeler le tronc commun du magasin central. Les mise à jour sont traitées cumulatives afin de ne pas supprimer les éventuels modèles d’administration tiers.

Sommaire

Vérification si la console GPMC utilise le magasin central

Depuis la console de gestion des GPO (gpmc.msc), il est possible de vérifier si celle-ci utilise le magasin central.

Sans le magasin central
Avec le magasin central

Création du magasin central

Il y a plusieurs possibilités de créer le magasin central… A vous de choisir la plus pertinente selon la version de vos contrôleurs de domaine et des OS que vous déployer /configurez.

Si vous constatez la présence d’un répertoire « PolicyDefinitions » déjà présent dans le SYSVOL de votre domaine, c’est que le magasin central est déjà configuré. Il faut alors réaliser une mise à jour de celui-ci si besoin. La mise à jour est traitée dans le chapitre « Mise à jour du magasin central » de ce document.

Depuis un contrôleur de domaine

La première méthode, certainement la plus souvent réalisée consiste à copier le répertoire :

« C:\Windows\PolicyDefinitions\ »

de l’un des contrôleur de domaine dans le répertoire SYSVOL de votre domaine :

« \\teddycorp.lab\SYSVOL\teddycorp.lab\Policies\ »

dans cet exemple ci.

L’inconstamment de cette méthode est que les modèles d’administration que vous allez mettre à disposition correspondent à la version du contrôleur depuis lequel l’opération est réalisée.

En d’autre thermes, si le contrôleur de domaine est sur une version 2008r2, les modèles d’administration pour Windows 10 ne sont pas présents.

Il faudra alors procéder à une mise à jour du magasin central.

You need permition to perform this action

Dans certain cas, selon le niveau de l’UAC, des permissions supplémentaires peuvent être nécessaire.

Il est alors nécessaire d’identifier le répertoire local contenant le SYSVOL sur le contrôleur de domaine et de déposer les modèles d’administration à cet emplacement.

Pour ce faire, il existe plusieurs méthodes. La plus rapide reste la commande « Get-SmbShare ».

Localiser l'emplacement du partage SYSVOL

Dès que le répertoire cible est identifié (dans ce cas ci : « D:\Windows\SYSVOL\ », se rendre dans le sous-répertoire « \domain\Policies\ » afin de déposer le répertoire « PolicyDefinitions ».

Copier localement le répertoire PolicyDefinitions

Le magasin central est maintenant disponible.

Le magasin central est créé

Depuis la console d’administration des GPO (GPMC.msc), il est possible de vérifier que le magasin central est utilisé.

La console GPMC utilise le magasin central
Depuis les sources Microsoft

La seconde méthode, consiste à récupérer directement la dernière version des modèles d’administration présente sur le site Microsoft et de déposer le répertoire PolicyDéfinition dans le SYSVOL de votre domaine.

Le téléchargement et l’installation sont traités dans le chapitre « Télécharger et installer les modèles d’administration« .

Lors de la mise à jour depuis les modèles d’administration du site Microsoft, vérifier la compatibilité des contrôleurs de domaine avec celle de la version à déployer.

Dès lors que l’installation est terminée, se rendre dans le répertoire d’installation (dans cet exemple : « C:\temp\Windows 10 May 2019 Update (1903) »).

Modèles d'administration à jour

Le répertoire « PolicyDefinitions » contient les modèles d’administration qui constituerons le magasin central.

Avant de créer le magasin central, il est nécessaire de supprimer les packs de langues inutile. Pour ce faire ouvrir le répertoire « PolicyDefinitions » et identifier les répertoire correspondant aux langues inutiles pour votre infrastructure. Le répertoire « en-us » (contenant le pack de langue US) doit être conservé.

Dans notre exemple, le français et l’anglais sont conservés. Les autres pack de langue peuvent être supprimés.

Supprimer les packs de langues inutiles

Le répertoire PolicyDefinitions peut maintenant être copié dans le répertoire SYSVOL du domaine.

Selon le niveau de sécurité de votre domaine, l’UAC peut posée des soucis. Une première méthode de contournement est présentée dans le chapitre « You need permition to perform this action« , une seconde est d’utiliser Powershell pour réaliser la copie, en utilisant l’option « Run as Administrator » lors du lancement de la console Powershell.

Copier le répertoire PolicyDefinitions dans le SYSVOL

Copy-Item -Path ‘C:\temp\Windows 10 May 2019 Update (1903)\PolicyDefinitions\’ -Destination ‘\\teddycorp.lab\SYSVOL\teddycorp.lab\Policies’ -Recurse

Le magasin central est désormais disponible et utilise la dernière version des modèles d’administration.

Télécharger et installer les modèles d'administration

Dans la majorité des domaine, les contrôleurs de domaines ne sont pas forcément à la dernière version de Windows disponible. Et donc ne contiennent pas localement la dernière version ou  la version souhaitée des modèles d’administration. C’est pour cela que chaque version sont disponible sur le site de Microsoft, suivre le lien ci-dessous :

https://support.microsoft.com/fr-fr/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra

Lors de la mise à jour depuis les modèles d’administration du site Microsoft, vérifier la compatibilité des contrôleurs de domaine avec celle de la version à déployer.

Installation des modèles d'administration

Installer sur un poste de travail ou serveur membre le fichier MSI : « Administrative Templates (.admx) for Windows 10 May 2019 Update.msi »

Clic sur : Next
Sélectionner le chemin où installer les modèles d'administration ici : C:\temp\
Confirmation, clic sur : Next
Quelques secondes plus tard, l'installation est terminée, clic sur : Close
Contenu du modèle d'administration

Le contenu du répertoire PolicyDefinitions fraichement installé (décompressé) est composé de l’ensemble des fichiers .admx qui contiennent la configuration et un ensemble de répertoires.

Les répertoires, un par langue contiennent quant à eux les fichiers .adml. Il s’agit des définitions de chaque fichiers .admx.

Mise à jour du magasin central

Le magasin central peut contenir des modèles d’administration additionnel qui doivent être conservés. La mise à jour des modèles d’administration consiste à ajouter /remplacer les fichiers .admx et .adml contenu dans le répertoire PolicyDefinitions.

Vous devez dans un premier temps télécharger et installer la version souhaitée des modèles d’administration. Pour réaliser cette opération, il faut se référer au chapitre « Télécharger et installer les modèles d’administration« .

Sauvegarde du magasin central

Avant de commencer la mise à jour du magasin central, il est nécessaire de réaliser une copie du magasin central utilisé. Cette copie servira à la fois de sauvegarde en cas de souci et de répertoire de travail pendant le mise à jour.

Se rendre dans le répertoire SYSVOL du domaine :

\\domaine.name\SYSVOL\domaine.name\Policies\

Et copier sur place le répertoire « PolicyDefinitions ».

Mise à jour ADMX
Mise à jour ADML
Bascule du répertoire

Pour finir la mise à jour, il faut maintenant renommer les répertoires :

  • DefinitionPolicy devient DefinitionPolicy_BackupDate
  • DefinitionPolicy – Copie devient DefinitionPolicy

La mise à jour est désormais terminée. Il faudra tout de même attendre quelques minutes /heures que la réplication du SYSVOL soit terminée.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *