> Tech > N’attendez pas : sauvegardez ces GPO tout de suite !

N’attendez pas : sauvegardez ces GPO tout de suite !

Tech - Par Jeremy Moskowitz - Publié le 24 juin 2010
email

Quand vous élaborez une stratégie de sauvegarde et de reprise des systèmes Windows, n’oubliez surtout pas d’y inclure les GPO (Group Policy Objects). Microsoft offre le moyen de sauvegarder et de restaurer les GPO sous la forme de GPMC (Group Policy Management Console), un snap-in MMC (Microsoft Management Console) que vous pouvez utiliser pour gérer les GPO sur des systèmes Windows Server 2003 et Windows 2000 Server. En juin, Microsoft a présenté GPMC avec Service Pack 1 (SP1) – une version actualisée de GPMC – qui permet de sauvegarder, restaurer, copier ou faire migrer des GPO sur des systèmes Windows 2003, Windows XP et Win2K, sans être obligé d’installer au préalable Windows 2003. (Avant cela, une licence Windows 2003 était nécessaire pour utiliser GPMC.) Cette nouvelle situation fait que vous pouvez utiliser GPMC pour sauvegarder, restaurer et copier des GPO dans des domaines avec toute combinaison de systèmes Windows 2003, XP et Win2K Server. Vous pouvez télécharger le GPMC gratuitement avec SP1 à http://tinyurl. com/ysx4u

N’attendez pas : sauvegardez ces GPO tout de suite !

Dans les premiers temps d’AD (Active Directory) et des stratégies de groupe, le seul moyen de sauvegarder et de rétablir des GPO consistait à exécuter l’utilitaire NTBackup puis à effectuer une restauration autoritaire d’AD – une procédure fort compliquée. NTBackup présente un aspect très agaçant : il sauvegarde tout l’état du système ainsi que les GPO eux-mêmes. Par conséquent, il nécessite un gros morceau d’espace disque libre pour recevoir chaque instance de l’état du système.

Et il était encore plus compliqué d’effectuer la restauration autoritaire d’un GPO accidentellement supprimé, modifié ou altéré. Pour commencer, il fallait mettre offline le DC (domain controller) sur lequel vous exécutiez NTBackup et réinitialiser le DC en Directory Service Restore Mode. Ensuite, il fallait restaurer la sauvegarde pour préparer le serveur avec les données que vous souhaitiez restaurer. Venait enfin la restauration autoritaire, pour laquelle vous deviez connaître le DN (distinguished name) complet du GPO supprimé ou modifié. Ne confondez surtout pas le DN avec le nom plus familier du GPO – par exemple, « Paramètres de sécurité pour l’OU Ventes ». Le DN est une chaîne compliquée qui inclut le chemin du GPO en format DN avec le GUID (globally unique identifier) du GPO – par exemple, cn={0171 0048-5F93-4F48-9DD2-A71C7486C431},cn=policies,cn= system,DC=corp,DC=com, où le GUID est le composant qui précède la première virgule. Si vous ne connaissiez pas le GUID du GPO avant le sinistre, vous aviez peu de chance de le récupérer (et, par conséquent, peu de chances de restaurer le GPO). Les utilisateurs abandonnaient souvent à ce stade de la restauration des GPO. (Pour plus d’informations sur la restauration d’AD, voir « Réparer et Récupérer AD », novembre 2002 ou www.itpro.fr ) Des produits tierce partie tels que FAZAM 2000 de Full-Armor, qui incluait une fonction de sauvegarde et de restauration des GPO, et Aelita Recovery Manager for Active Directory de Quest Software, rendaient acceptable l’opération de sauvegarde et de restauration du GPO. Et il existe aujourd’hui des outils tierce partie qui incluent une fonction de sauvegarde et de restauration des GPO.

Téléchargez cette ressource

Livre blanc Sécurité et Stockage des documents

Livre blanc Sécurité et Stockage des documents

Découvrez dans ce livre blanc Kyocera les outils logiciels qui permettent une approche holistique et efficace de la collecte, du stockage, de la gestion et de la sécurisation des documents en entreprise.

Tech - Par Jeremy Moskowitz - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT