(modifié le 16 mai 2023 à 0:46)

L'outil de gestion des stratégies de groupes évolue avec les versions de Windows Server. Microsoft ajoute ou retire des fonctionnalités comme bon lui semble.

Je vous ai dégôté une page contenant tous les packs ADMX (ADML). ADM pour "Administrative templates" et on fait le point sur l'utilisation d'un template en 5 minutes.

Pourquoi ?

Microsoft considère que vous êtes toujours en phase entre vos machines clientes et votre Active Directory en terme de système d'exploitation. En pratique on sait très bien qu'il est complexe de faire évoluer son parc ou ses serveurs. La plupart du temps à cause d'applications (métiers) incompatibles...

On peut se retrouver avec des fonctionnalités implémentées dans Windows (partie desktop) qui ne sont pas gérées (ou seulement en partie) par le serveur.

Par exemple avec un DC en Windows 2008 R2 vous pourrez très bien intégrer une machine Windows 10 dans le domaine AD, mais vous ne retrouverez pas tous les réglages dans les GPO. Pour cela il faudra basculer sur Windows Server 2012 ou mieux 2016 qui arrivera à l'automne 2016.

L'outil de stratégies de groupe fonctionne avec des modèles (templates) au format *.admx ainsi qu'un fichier *.adml qui contient la traduction dans votre langue.

Télécharger les modèles

Rendez-vous sur cette page Wiki sur le technet microsoft regroupe tous les packs. C'est une vraie mine d'or qui récapitule tous les modèles disponibles avec des annotations importantes.

Cela se présente sous la forme d'un installateur MSI qu'il faut exécuter. Il va copier le modèle choisi dans un dossier indiqué à l'installation, notez-le (exemple : C:\Program Files (x86)\Microsoft Group Policy).

ADM ou ADMX ?

Le format ADM correspond à l'époque de Windows 2000 et 2003 (clients en 2000, XP).

Le format ADMX correspond à Server 2008 et versions ultérieures (2012...), associé avec un fichier ADML pour la langue. Il s'agit d'un format de fichier ADM évolué contenant du XML. Il est l'évolution naturelle du format ADM, au même titre que le DOCX par rapport au DOC. D'ailleurs il existe un outil de migration pour cela.

Comment installer un modèle ?

L'ensemble de vos contrôleurs de domaines doivent accéder à ces templates, il faut donc les copier en magasin central dans :

\\masociete.local\SYSVOL\masociete.local\Policies\PolicyDefinitions

Si le dossier "PolicyDefinitions" n'existe pas, créer ce dossier depuis un de vos contrôleurs de domaine :

C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions

⚠️ évitez de le créer depuis le chemin UNC \\masociete... pour vous affranchir de problèmes de droits

Copier le fichier ADMX à la racine et le fichier ADML dans le répertoire "fr-fr" (adaptez suivant votre pays) :

Ensuite vous devrez fouiller dans l'éditeur de stratégie de groupe pour trouver la nouvelle entrée comme par exemple : configuration ordinateur > Stratégies > Modèles d'admin. Aidez-vous du fichier XML pour trouver l'emplacement, ou cherchez dans Google Images.

ℹ️ IMPORTANT : La première fois que vous allez créer le magasin central il faut copier le contenu d'un de vos DC de :

C:\Windows\PolicyDefinitions

vers :

C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions

Ce qui aura pour effet de rendre le tout disponible via le chemin UNC :

\\masociete.local\SYSVOL\masociete.local\Policies\PolicyDefinitions

Si vous copiez uniquement les fichiers admx/adml dont vous avez besoin vous obtiendrez le message d'erreur suivant :

Le nom convivial de certains paramètres est introuvable. Vous pourrez peut-être résoudre ce problème en mettant à jour vos fichiers .adm utilisés par GPMC.

Pourquoi me direz-vous ? C'est simple : le magasin central est toujours prioritaire sur un magasin local (c:\windows\policyDefinitions).

⚠️ Si vous avez plusieurs générations de Windows Server dans vos DC, exemple : Windows 2016 et Windows 2019. Commencez par copier les policyDefinitions du plus vieux (2016) puis passez à vos DC plus récents (2019), toujours dans l'ordre du plus vieux DC vers le plus récent. Ainsi que vous êtes sûrs d'avoir les dernières versions des templates.

Conclusion

Tout cela n'a rien de compliqué et les modèles évitent de trop bidouiller le registre directement, alors pourquoi s'en priver ?

J'ai lu beaucoup de bêtises sur certains forums qui laisseraient penser qu'utiliser un template serait complexe et je voulais mettre les choses au point dans un billet simple.

▶️ Retrouvez la traduction des templates anglais/français (et d'autres langues!)