Quand vous appliquez un objet de stratégie de groupe (GPO) Active Directory (AD) sur des centaines, voire des milliers d’ordinateurs cibles, il est probable que cela prendra un certain temps pour que tous le reçoivent. Comment savoir quand un ordinateur reçoit une nouvelle stratégie ou récupère des paramètres de stratégie mis à jour ? En utilisant l’outil RSOP.
L’outil RSOP ou Resultant Set Of Policy est un outil intégré de Windows qui vous permet de découvrir quels paramètres de stratégie sont appliqués aux ordinateurs locaux et distants. Si vous vous demandez quels paramètres les GPO configurées appliquent à votre PC, lisez la suite !
Commençons.
Prérequis
Ce tutoriel passera en revue quelques démonstrations différentes. Si vous souhaitez suivre, assurez-vous d’avoir ce qui suit :
- Un domaine Active Directory – N’importe quelle version d’AD fera l’affaire. Ce tutoriel utilisera un domaine appelé HomeLab.Local.
- A domain-joined Windows PC with at least one GPO applied to it to test local GPOs. This tutorial will use a PC called Win10VM1.
- A second domain-joined Windows PC if you want to run RSOP remotely. This tutorial will use a PC called Win10VM3.
- Les ports TCP 445, 135, ports dynamiques RPC et tous les ports pour WMI sont ouverts sur l’ordinateur distant. Vous pouvez créer une GPO de démarrage appelée Group Policy Reporting Firewall Ports pour garantir l’ouverture de tous les ports.
- Droits d’administrateur local sur les PC locaux et distants.
- A GPO with an AD group configured with deny permissions. DeniedGPOUsers AD group with no users added to it and deny permissions will be used in this tutorial.
Qu’est-ce que l’outil RSOP?
Lorsque vous attribuez une GPO à un ordinateur dans Active Directory, cet ordinateur doit se connecter au contrôleur de domaine et, en fonction de l’intervalle de rafraîchissement défini pour la GPO, voir rapidement cette GPO et tenter d’appliquer les paramètres qu’elle définit.
Lorsque l’ordinateur applique les paramètres de la GPO, ces paramètres de stratégie sont ensuite stockés sur l’ordinateur dans la base de données du Common Information Management Object Model (CIMOM) en utilisant le Windows Management Instrumentation (WMI). Pour inspecter ces paramètres appliqués, exécutez l’outil RSOP. L’outil RSOP génère un rapport sur les stratégies appliquées (ou planifiées) pour les utilisateurs et les ordinateurs sur le PC.
RSOP est excellent pour résoudre les cas où vous avez plusieurs stratégies conflictuelles. En utilisant RSOP, vous pouvez inspecter quelles GPO ont pris le pas sur d’autres.
Les modes
RSOP a deux modes différents pour vous aider à découvrir comment les GPO affectent les ordinateurs cibles ; le mode journalisation et le mode planification.
- Mode journalisation – L’utilisation la plus courante de RSOP qui permet de générer un rapport sur toutes les stratégies appliquées pour tous les utilisateurs connectés et l’ordinateur lui-même.
- Mode planification – Une utilisation moins courante de RSOP qui vous permet de simuler les paramètres qui s’appliqueront à un ordinateur si une ou plusieurs GPO étaient appliquées. Le mode planification fonctionne pour déterminer ce qui se passera lorsqu’un utilisateur est déplacé vers un groupe AD différent, par exemple.
Inspection des GPO appliquées localement avec RSOP
Commençons maintenant avec quelques démonstrations pratiques de RSOP. Tout d’abord, couvrons la manière d’ouvrir l’outil RSOP et le type d’informations que vous pouvez vous attendre à voir.
Sur votre PC Windows local, joint au domaine, ouvrez une fenêtre d’invite de commandes ou PowerShell en tant qu’administrateur.
Si vous n’exécutez pas une invite de commandes ou PowerShell en tant qu’administrateur, RSOP n’aura pas accès aux paramètres de l’ordinateur (uniquement aux paramètres de l’utilisateur connecté). Lorsque vous exécutez RSOP, vous recevrez une erreur indiquant que vous avez des autorisations insuffisantes.
Ensuite, exécutez la commande rsop.msc. Cette action ouvrira la console RSOP MMC snap-in.
Lorsque vous ouvrez RSOP, il commencera immédiatement à lire toutes les stratégies appliquées et à générer un rapport. RSOP est configuré par défaut en mode de journalisation. Ci-dessous, vous verrez les résultats de l’exécution de RSOP sur un ordinateur appelé WIN10VM1 connecté en tant qu’utilisateur appelé LabAdmin.
Étendez chacun des dossiers et vous verrez chaque paramètre à travers toutes les GPO appliquées à cet utilisateur ou ordinateur en particulier.
Si vous ne voyez pas un paramètre GPO attendu pour une GPO récemment créée, exécutez la commande gpupdate /force sur le PC pour actualiser manuellement les paramètres de la stratégie.
Par exemple, ci-dessous, vous verrez une politique locale appelée HostName.bat attribuée à la connexion utilisateur sur le PC. À l’intérieur de la politique se trouve un fichier batch appelé HostName.bat sous Configuration utilisateur -> Paramètres Windows -> Scripts -> Connexion.
En exécutant RSOP sur un ordinateur sur lequel une politique locale est configurée, vous verrez le script de connexion appliqué et le nom de la politique qui l’a appliqué.
Tester les modifications de la politique avec le mode de planification de RSOP
Peut-être êtes-vous prêt à déployer une GPO importante sur de nombreux ordinateurs. Vous pourriez « tester en production » en l’appliquant immédiatement à tous les ordinateurs en même temps, ou vous pourriez utiliser le mode de planification de RSOP.
En utilisant le mode de planification, vous pouvez simuler de nombreux scénarios différents si vous appliquiez une GPO à un ordinateur, par exemple lorsque :
- Le PC cible a une connexion réseau lente
- Vous activez le traitement en boucle
- Le PC cible a de nombreuses GPO appliquées pour tester la prépondérance des politiques
- A user logs onto the target PC or the computer account is in different AD groups and an AD group is denied permission to the GPO.
- A user or computer is moved between domains, OUs or even AD sites.
- A WMI filter is applied to an OU
Le mode de planification vous aidera à prendre en compte toutes les variables conditionnelles que les GPO peuvent vous poser.
Pour exécuter RSOP en mode de planification :
1. Ouvrez une invite de commandes ou une console PowerShell avec élévation de privilèges et saisissez mmc. Cela ouvrira la console MMC.
Notez que vous ne pouvez pas simplement exécuter rsop.msc dans cette instance. La seule façon de modifier le mode RSOP est d’ajouter un composant MMC, comme vous le verrez.
2. Dans la console MMC, ouvrez le menu Fichier et cliquez sur Ajouter/Supprimer un composant logiciel enfichable, comme indiqué ci-dessous.
3. Dans la boîte de dialogue Ajouter ou supprimer composants logiciels enfichables, sélectionnez Ensemble de stratégies résultantes et cliquez sur Ajouter pour déplacer le composant de la fenêtre de gauche vers celle de droite.
4. Ensuite, faites un clic droit sur le composant logiciel enfichable MMC Ensemble de stratégies résultantes, comme indiqué ci-dessous, cliquez sur Générer des données RSOP et Suivant pour passer à l’étape d’introduction.
5. Sur l’écran Sélection du mode, sélectionnez le mode Planification et cliquez sur Suivant pour accéder à l’écran Sélection de l’ordinateur.
6. Ensuite, cliquez sur Parcourir sous Informations sur l’utilisateur pour sélectionner l’utilisateur qui pourrait être affecté par une prochaine GPO. Cliquez également sur Conteneur et Parcourir sous Informations sur l’ordinateur pour sélectionner l’OU qui contiendra un PC sur lequel cet utilisateur pourrait se connecter.
Dans la capture d’écran suivante, la simulation fournira tous les paramètres qu’un utilisateur appelé HOMELAB\User01 recevrait s’il se connectait à n’importe quel ordinateur dans l’unité d’organisation Desktop VMs.
7. Maintenant, sélectionnez des options si vous souhaitez simuler quelques situations supplémentaires :
- La détection de lien lent de la stratégie de groupe
- Le traitement en boucle – Sélectionner Remplacer ou Fusionner remplacera/fusionnera les paramètres de stratégie utilisateur et les paramètres de stratégie d’ordinateur en cas de conflit.
- Site – Pour simuler le site AD dans lequel le bureau est connecté.
Cliquez sur Suivant lorsque vous avez terminé.
8. Si vous ne prévoyez pas d’appliquer directement la GPO à l’OU dans laquelle l’utilisateur ou l’ordinateur sera, cliquez sur Parcourir pour changer l’OU de l’objet concerné. Lorsque vous avez terminé, cliquez sur Suivant.
A l’étape six, vous avez défini les UOs dans lesquelles l’utilisateur et l’ordinateur cible seraient situés. Ici, vous définissez l’OU sur laquelle vous prévoyez d’appliquer la GPO.
9. Maintenant, entrez le groupe AD dans lequel vous prévoyez que l’utilisateur soit en cliquant sur Ajouter. Pour ce tutoriel, l’utilisateur sera dans le groupe DeniedGPOUsers.
Vous verrez ci-dessous que le groupe DeniedGPOUsers est exclu d’appliquer cette GPO.
10. Ensuite, pour ce tutoriel, passez par les écrans pour définir les filtres WMI et les groupes d’ordinateurs. Cependant, si vous prévoyez de configurer un filtre WMI sur le GPO ou de permettre/bloquer l’application du GPO par le groupe AD auquel le compte d’ordinateur appartient, vous pouvez effectuer ces modifications simulées.
11. Enfin, sur l’écran de récapitulatif, vérifiez tous les détails. Laissez l’option Activer la collecte des informations d’erreur étendues activée et cliquez sur Suivant. Lorsque vous activez l’option d’informations d’erreur étendues, la console RSOP collecte plus d’informations d’erreur lorsqu’elle effectue la requête. Ce message d’erreur inclut les problèmes réseau ou AD qui affectent la stratégie lors de sa mise en œuvre. Activer cette option peut grandement augmenter le temps de traitement de la simulation, mais fournira des informations plus détaillées en cas d’erreur.
Après la génération de la console RSOP, cliquez avec le bouton droit sur la configuration de l’ordinateur ou sur le nœud de configuration utilisateur, puis cliquez sur Propriétés. Ensuite, cliquez sur l’onglet Informations sur les erreurs pour voir les erreurs générées lors de la simulation de la stratégie.
12. Une fois que RSOP est terminé, naviguez dans les dossiers sous Configuration de l’ordinateur et Configuration utilisateur pour vérifier les stratégies appliquées.
Vous verrez deux fenêtres ci-dessous ; sur la gauche, vous verrez le GPO réellement appliqué (RSOP en mode journalisation) et sur la droite, vous verrez à quoi ressemblerait RSOP si l’utilisateur était supprimé du groupe AD DeniedGPOUsers.
Inspection des GPOs appliqués à distance avec RSOP
Pour éviter de devoir accéder à la console locale de chaque ordinateur, RSOP vous permet également d’inspecter à distance les paramètres en mode journalisation et en mode planification. Dans cette démonstration, le tutoriel utilisera le mode journalisation.
1. Ouvrez RSOP en suivant les étapes 1 à 4 dans la section Testing Policy Changes with RSOP’s Planning Mode ci-dessus.
2. À l’écran de sélection du mode, choisissez le mode journalisation et cliquez sur Suivant pour accéder à l’écran de sélection de l’ordinateur.
3. Sur l’écran de sélection de l’ordinateur Computer Selection, choisissez Another computer car vous allez interroger un ordinateur distant et cliquez sur Browse.
4. Dans la zone Select computer box, saisissez le nom de l’ordinateur distant et cliquez sur Check Names. Cette action recherchera le compte d’ordinateur AD de l’ordinateur. S’il est trouvé, il soulignera le nom du PC, comme indiqué ci-dessous.
5. Cliquez sur Next à l’écran de sélection de l’ordinateur Computer Selection. Ici, vous pourriez sélectionner Do not display policy settings for the selected computer in the results… mais vous allez inspecter les paramètres de l’ordinateur et de l’utilisateur.
6. Ensuite, choisissez l’utilisateur que vous souhaitez inspecter pour les stratégies utilisateur appliquées. Vous verrez la liste des utilisateurs qui se sont connectés à l’ordinateur distant au moins une fois.
Sélectionnez un utilisateur dans la liste et cliquez sur Next.
Remarquez que l’option Current user est grisée. RSOP ne prend pas en charge la recherche de l’utilisateur connecté à distance. Vous devez en choisir un explicitement.
7. Décochez la case Rassembler les informations d’erreur étendues. Cliquez sur Suivant pour continuer. RSOP va maintenant se connecter à l’ordinateur distant et tenter de récupérer tous les paramètres RSOP à la fois pour l’utilisateur sélectionné et l’ordinateur.
8. Cliquez sur Terminer lorsque vous avez terminé.
9. Vous verrez maintenant la même console MMC exacte que celle que vous aviez lors de l’inspection des paramètres locaux. Mais cette fois, les paramètres proviennent d’un PC distant.
Conclusion
L’outil RSOP est pratique lorsque vous avez besoin de trouver rapidement tous les paramètres GPO appliqués ciblant un ordinateur ou un utilisateur. L’utilisation de cet outil vous permet de voir les paramètres appliqués; pas seulement tous les paramètres des GPO ciblant un ordinateur ou un utilisateur spécifique.
Où vous voyez-vous utiliser RSOP à l’avenir?