par Darren Mar-Elia - Mis en ligne le 19/09/02
Un ordinateur ou un utilisateur particulier
peut être soumis à des dizaines de
GPO au moment du démarrage du système
ou de la connexion. Résultat : des
temps de démarrage et de logon très
longs pendant que les systèmes effectuent
le traitement GPO.
Si vous avez déployé AD (Active
Directory), vous connaissez ses bienfaits
sur l'environnement Windows. On
doit en grande partie ses avantages au
GPO (Group Policy Objects) - de puissants
outils chargés de gérer les serveurs
Windows 2000 et les stations de
travail Windows XP et Win2K.
Cependant, comme pour beaucoup
d'autres techniques, l'excès de biens
peut nuire aux performances du système.
Comme on peut lier les GPO à de
multiples niveaux de la hiérarchie AD,
un ordinateur ou un utilisateur particulier
peut être soumis à des dizaines de
GPO au moment du démarrage du système
ou de la connexion. Résultat : des
temps de démarrage et de logon très
longs pendant que les systèmes effectuent
le traitement GPO.
Pour gérer le traitement des GPO et optimiser leur infrastructure afin de minimiser
l'impact sur les systèmes et les
utilisateurs, il faut bien comprendre
comment Win2K stocke et applique les
paramètres GPO, comment on peut
ajuster ces paramètres et comment
concevoir une infrastructure Group
Policy performante et efficace. (Cet article
suppose que vous savez déjà utiliser
des GPO dans un environnement
AD. Ceux qui débutent avec les GPO et
leurs possibilités, doivent lire l'article
de Randy Franklin Smith, « Controlling
Group Policy, Part 2 », Winter 2000,
InstantDoc ID 15886)
On lie les GPO aux objets conteneurs
(sites, domaines ou OU – organizational
units) dans AD et tous les objets utilisateur et ordinateur sous ce conteneur
traitent ces GPO. Ce processus
peut être compliqué parce que les objets
utilisateur et ordinateur doivent
traiter n’importe quels GPO que vous
liez à l’OU domaine parent et enfant, et
au site dans lequel l’objet réside. On
peut lier un GPO à plusieurs objets
conteneurs, ou bien lier plusieurs GPO
à un objet conteneur. La première
situation a peu d’effet sur les performances
du traitement GPO, mais la
seconde apporte une énorme différence.
Plus un ordinateur ou un utilisateur
donné doit traiter de GPO, plus de
temps il faut à l’ordinateur pour s’initialiser
ou à l’utilisateur pour se
connecter.
Win2K range les paramètres d’un
GPO dans deux endroits : le GPC
(Group Policy Container) du GPO dans
AD, et le GPT (Group Policy Template)
du GPO dans le share Sysvol sur vos
DC (contrôleurs de domaine). L’action
de création d’un nouveau GPO au
moyen du snap-in Active Directory
Users and Computers MMC (Microsoft
Management Console) ou du snap-in
MMC Active Directory Sites and
Services, crée le GPC et le GPT et relie
le GPO à l’objet conteneur sélectionné.
Quand on utilise le snap-in Group
Policy MMC pour changer un GPO, le
GPC et le GPT s’en trouvent modifiés.
Le traitement des paramètres des
GPC et GPT est confié à un ensemble
de DLL appelés extensions côté client.
Les registres locaux de vos stations de
travail XP et Win2K font référence à ces
extensions côté client dans des sousclés
distinctes sous la sous-clé
HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\WindowsNT\CurrentVersion
\Winlogon\GPExtensions. Les valeurs
dans chaque sous-clé nommée par le
GUID (Globally Unique Identifier) listent
le nom du DLL, la catégorie de
traitement Group Policy que l’extension
fournit (Folder Redirection,
Software Installation, par exemple) et
les paramètres qui déterminent le paramètre
de l’extension : par exemple, si
l’extension traitera un GPO quand l’ordinateur se connectera au DC par
une liaison réseau lente, si l’extension
rafraîchira périodiquement les paramètres
de Policy et si l’extension traitera
les GPO qui n’ont pas changé depuis
le dernier traitement.
Les extensions côté client font la
plus grande partie du travail de traitement
GPO. Mais certaines interactions
de réseau doivent se produire avant
qu’une extension côté client puisse
faire son travail. Les communications
en réseau représentent généralement
une partie importante du temps de
traitement GPO total de vos serveurs et
de vos stations de travail. Quand une
station de travail Win2K s’initialise dans
un domaine AD qui contient les GPO,
les processus suivants se déroulent :
1. La station de travail demande à un
serveur DNS de trouver un DC sur le
site de la station de travail. Plus précisément,
la station de travail demande
au DNS l’enregistrement SRV
_ldap._tcp.sitename._sites.dc._msd
cs.domain-name. Cet enregistrement
renvoie le nom du DC (dans le
site sitename) qui traite les demandes
LDAP (Lightweight
Directory Access Protocol) pour le
domaine.
2. La station de travail établit une
connexion par canal sécurisé avec le
DC.
3. La station de travail envoie un ping
au DC pour déterminer si la
connexion réseau entre la station de
travail et le DC (commutée, T1, par
exemple) constitue une liaison réseau
lente. (Par défaut, Win2K juge
lente une vitesse de transfert inférieure
à 500 Kbps. Voir l’article de
Microsoft « How a Slow Link Is
Detected for Processing User
Profiles and Group Policy » à
http://support.microsoft.com/default.
aspx?scid=kb;en-us;q227260
pour plus d’informations sur la manière
dont Win2K calcule les liaisons
lentes.)
4. La station de travail s’associe à AD
par LDAP.
5. La station de travail utilise LDAP pour interroger AD et obtenir une
liste de tous les GPO reliés à l’OU ou
à l’OU parent de la station de travail.
6. La station de travail utilise LDAP
pour interroger AD et obtenir une
liste de tous les GPO liés au domaine
de la station de travail.
7. La station de travail utilise LDAP
pour interroger AD et obtenir une
liste de tous les GPO liés au site de la
station de travail.
8. La station de travail utilise LDAP
pour interroger le GPC (dans AD) et
déterminer la voie vers le GPT de
chaque GPO (dans Sysvol).
9. La station de travail lit le fichier
gpt.ini qui réside dans le GPT de
chaque GPO. Ce fichier liste le numéro
de version actuel du GPO.
10. Les extensions côté client de la
station de travail traitent les GPO
qui ont été extraits.
Ces étapes ne représentent que le
traitement des GPO spécifiques à l’ordinateur,
se produisant à l’initialisation
de l’ordinateur. Une fois l’utilisateur
connecté au système, Win2K doit traiter
les éventuels GPO spécifiques à
l’utilisateur. Pendant cette procédure,
l’OS répète les étapes 4 à 10 (du point
de vue du réseau, les étapes 1 à 3 ont
déjà été couvertes).
Téléchargez cette ressource
Sécuriser votre système d’impression
Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.