Central Store et GPOs


Suite à une demande, je fais un billet rapide sur ce sujet épineux Sourire

Le Central Store (ou Magasin Central en français dans le texte) est un composant crucial pour les GPOs lorsque votre domaine (et vos contrôleurs) est dans une version plus ancienne que certains de vos postes de travail. Paradoxalement, il n’est pas implémenté par défaut lorsque l’on crée son Domaine ADDS.

Prenons le cas de figure d’un Active Directory basé sur des serveurs en 2003R2… le niveau fonctionnel du domaine est au mieux en 2003R2. Quand vous commencez à voir arriver des postes Windows7, 8, 8.1 ou prochainement 10, il va se poser le problème de créer des GPOs pour ces postes sachant que 2003R2, bien entendu ne connais pas les nouvelles fonctionnalités de 7 ou 10.

Par défaut, lorsque l’on crée une GPO depuis l’un de ces DC, la console GPMC.MSC utilise les fichiers ADMs présents en local sur le contrôleur, sous C:\Windows\PolicyDefinitions.

La GPMC, lorsque l’on édite une GPO, nous le fait d’ailleurs savoir comme indiqué ci dessous:

LocalADMX

Et bien sur impossible de gérer par exemple Bit Locker, ou l’écran d’accueil de Windows 8.1, puisque 2003 n’en avait pas.

La solution de contournement est typiquement d’installer les outils d’admins (RSAT) sur un des postes Windows 8.1, puis de créer depuis le poste la GPO qui, en se basant sur les ADMX locaux pourra alors gérer notre écran d’accueil. En effet, la GPMC.MSC se basant sur les fichiers locaux du poste en dernière version, permet de gérer les dernières fonctionnalités.

Mais ce n’est qu’une solution de contournement qui n’est pas ce que Microsoft préconise. En effet, cette solution pose un problème de transparence: La même GPO, vue sur différents OS ne montrera pas les mêmes options, puisqu’elle est ouverte en se servant des modèles locaux, si vous avez créé la GPO pour l’écran d’accueil de W8.1, et que vous ouvrez cette même GPO sur votre DC, rien n’apparait concernant l’écran d’accueil (puisque les fichiers locaux n’y font pas référence)

En fait il faut s’appuyer sur le SYSVOL, et sa réplication au sein du domaine, pour assurer l’homogénéité d’utilisation de la console GPMC. En effet, cette dernière est prévue par défaut pour aller chercher le répertoire Policy Définition et ses fichiers ADMX/ADML dans le sysvol, sous le répertoire Policy. Il faut donc se munir d’un jeu complet de fichiers ADMX/ADML, puis de le coller dans le sysvol afin de permettre une édition des GPOS de manière transparente, que ce soit sur le DC, sur un poste XP ou sur un poste 8.1.

Comment faire les choses bien? Simple: on télécharge le pack de fichiers ADMX 8.1/2012R2, et on l’installe sur un PC.

PolicyDefinitions

Puis on copie le répertoire Policy Definitions fourni dans le sysvol, ici:

\\NOM DE DOMAINE COMPLET\SYSVOL\NOM DE DOMAINE COMPLET\Policies

On ferme la GPMC, on la ré-ouvre et on observe le changement:

centralStore

Allez y, ouvrez la GPM sur un poste Windows 7, sur un des DC, sur un Poste 8.1, tous voient maintenant les mêmes fonctionnalités, les mêmes options et tout le monde est content…mieux non?

Le KB officiel, me direz vous…et bien il est là: https://support.microsoft.com/kb/929841?wa=wsignin1.0

oh, et sachez que si vous voulez gagner 4Mo fois le nombre de GPOs créées antérieurement à la création du central store, il existe un script de nettoyage ecrit en powershell, disponible ici: central-store-and-adm-removal-q-amp-a-with-an-updated-script.aspx

Si vous avez 45 GPOs ça fait quand meme 45 X 4Mo = 180Mo de répliqué pour rien… En effet chaque GPO crée avant le CS, embarque 5 fichiers ADMs dans son répertoire, et le réplique sur tus les DC….

Bon weekendSourire

Pierre

A propos Red Kaffe

IT Trainer and Consultant on Microsoft Technologies. Windows Server and Client, Service Center 2012, WSUS/MDT/ADK/WAIK, SBS 2008/2011, Office 365, etc. Fully dedicated to support and train my customers...
Cet article a été publié dans 2008R2, 2012R2, Formation, GPOs, Security, Windows 7, Windows 8, Windows 8.1, Windows10, WS 2012, WS2015TP. Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s