Dépannage de la stratégie de groupe

Pour bien dépanner les stratégies de groupe, il faut savoir où regarder. Comme le traitement de la stratégie de groupe comporte deux phases, il y a deux zones principales dans lesquelles il faut commencer la recherche. Dans la première phase, le traitement central, Windows interroge l’AD (Active Directory) pour savoir quel GPO (Group Policy Object) s’applique à l’ordinateur ou utilisateur courant, quelles zones de stratégie (modèles administratifs, installation du logiciel, par exemple) doivent être traitées, et si le GPO a changé depuis que cet ordinateur ou utilisateur s’en est servi pour la dernière fois.

Le traitement central demande la coopération de plusieurs morceaux de l’infrastructure, y compris DNS, AD, FRS (File Replication Services) et votre réseau. Si l’un de ces éléments déraille pendant le traitement central, tout le traitement de la stratégie de groupe cessera. La seconde phase du traitement implique les extensions côté client, comme les paramètres de sécurité, les modèles administratifs, et la réorientation des dossiers. Des extensions côté client mettent en oeuvre les stratégies en traitant et en appliquant les paramètres dans les GPO qui ont été trouvés pendant le traitement central.

Généralement, quand un problème survient pendant le traitement des extensions côté client, ce problème est confiné à une seule extension côté client – ou même à une seule extension côté client traitée par le GPO – et le reste du traitement de la stratégie de groupe continue comme prévu. Les problèmes d’extension côté client sont plus difficiles à dépanner parce que chaque extension qui met en oeuvre un GPO effectue ses tâches de manière légèrement différente et génère des degrés de journalisation variables.

La journalisation des deux phases du traitement est souvent vitale pour un bon dépannage. En effet, les fichiers log éclairent souvent des problèmes qui n’apparaissent pas au premier coup d’oeil. Si un rapport RSoP (Resultant Set of Policy) et une vérification des éléments d’infrastructure ne conduisent pas à une solution, la journalisation peut parfois révéler des messages d’erreur qui indiquent le problème. Toute la journalisation de la stratégie de groupe disponible ne peut pas être validée en un seul endroit. On peut valider les journaux individuels manuellement en utilisant les valeurs de registre sous-jacentes.

Le tableau Web 1 (http:// www.itpro.fr Club abonnés) donne la liste des journaux disponibles pour les stratégies de groupe et les valeurs de registres correspondantes. Ou bien vous pouvez utiliser un outil de raccourci gratuit que j’ai créé – un fichier Administrative Template (.adm) appelé gpolog. adm – pour valider tout ou partie des journaux liés aux stratégies de groupe Vous pouvez télécharger gpolog.adm à cette adresse. En suivant les étapes que je décris ici, vous pourrez dépanner le problème où qu’il se produise : pendant le traitement central ou pendant le traitement d’extensions côté client.