Stratégie de groupe et Active Directory

n’est pas possible
d’administrer de manière centralisée (autrement dit un GPO local réside sur l’ordinateur
local). Les GPO locaux permettent d’affecter une stratégie individuelle à  une
station de travail pour les machines ne faisant pas partie d’un domaine AD.

Par exemple, pour des raisons de sécurité, il n’est pas souhaitable d’installer
une machine kiosque disponible publiquement dans un domaine AD. Un GPO local permet
de modifier localement une stratégie pour instaurer des restrictions de sécurité
à  un PC sans utiliser de GPO basés sur AD. Il existe deux moyens d’accéder au
GPO local. Le premier consiste à  s’installer devant la machine sur laquelle on
souhaite gérer le GPO, à  aller au menu Démarrer, à  sélectionner Exécuter et à 
taper gpedit.msc.

Cette opération équivaut à  l’utilisation de poledit.exe et à  l’ouverture du Registre
local. La deuxième consiste à  éditer un GPO local manuellement à  partir d’une
console MMC en sélectionnant le snap-in GPE et en désignant l’ordinateur local
ou distant.

Dans la beta 3 de Windows 2000, lorsqu’on affiche le GPO local au moyen du GPE,
on ne voit pas l’état réel des paramètres des modèles d’administration sur la
machine et si on essaie de les afficher spécifiquement pour une machine ou un
utilisateur, on voit s’afficher le message Non configuré.

Ce comportement vient de NT 4.0, qui permet d’utiliser poledit.exe pour afficher
la stratégie effective locale.Les GPO locaux supportent toutes les extensions
par défaut sauf l’installation de logiciels et le réacheminement des dossiers.
Il n’est donc pas possible d’effectuer ces fonctions uniquement avec des GPO locaux
et pour profiter au maximum de leur infrastructure, il faut Active Directory.