Import initial des GPO par l'interface admin

Que sont les GPO ?

Le serveur SE4 étant basé sur la version libre d'Active Directory, la gestion des postes Windows va se faire avec des "Objets de Stratégie de Groupe" (Group Policy Object donc GPO).

Ces GPO sont stockées sur le se4ad. Des GPO contiendront des reglages Utilisateurs et des reglages Machines. Ces GPO peuvent être appliquées sur des groupes utilisateurs ou des groupes de machines.

Parmi ces GPO on trouvera le montage des partages du se4fs dans des lecteurs réseaux, désactiviation du mode veille, etc.

Import initial

L'import des GPO de base se fera dans l'interface de gestion admin du se4fs

Puis Gestion des GPO

On effectue la mise à jour de la base des GPO

Ici, on trouve la liste des GPO qui se trouvent par défaut dans les paquets Sambaédu. Elles ne sont pas encore mises en place sur le se4AD. Il ne faut pas toutes les mettre en place  car certaines sont incompatibles entre elles (voir plus bas.)

GPO obligatoires à importer

Importer les GPO suivantes, et seulement celles-ci dans un premier temps

acces distant,activation smb3,applications,Bureau,desactivation uac,impression,imprimantes,lecteurs reseau,optimisations,proxy,redirections,sysprep,veille_off,Wallpaper,WOL,wpkg

Attention

Un message d'erreur se produit lors du tout premier import

Il suffit de lancer à nouveau l'import et cela fonctionne.

Et les autres GPO ?

Les autres GPO vont concerner essentiellement la façon de mettre à jour les clients Windows.

Pour la mise à jour des postes Windows, il faut au choix :

– soit windows-update et wsusoffline (pour désactiver les mises à jour Windows et passer par WSUSoffline, module à installer via apt)

– soit windows-update-ON, et wsusoffine-OFF, si la GPO wsusoffline avait importée (wsusoffline et windows-update doivent être supprimées via RSAT le cas échéant), pour utiliser les mises à jour de Windows, avec une distribution partielle en pair-à-pair (redémarrage automatique désactivé de 7h à 18h, installation planifié à 18h tous les jours, montée de version automatique en 21H2).

Remarque

Le système avec Wsusoffline n'est plus aussi fiable qu'avant puisque les MAJ w11 ne semblent pas gerées, et le modèle serveur vers X clients semble provoquer une saturation du réseau lors de l’exécution du client sur les postes Windows. La methode en P2P interne est donc à favoriser sur l'établissement possède une fibre internet.

Retrouver les GPO dans la console RSAT

Les GPO se retrouveront dans la console d'administration des GPO RSAT. On pourra les supprimer.

Dans l'exemple suivant, vous voyez les GPO qui s'appliquent à l'ensemble du domaine  et une GPO perso (appelée Pronote ici) qui ne s'appliquera qu'au groupe Profs.

Attention

La console RSAT ne doit être utilisée que dans des cas précis, et en sachant bien ce que l'on fait. Une mauvaise utilisation peut rendre le réseau pédagogique HS.

Tout a été fait pour que l'utilisation de cet outil ne se fasse qu'avec parcimonie.

Truc & astuce

Quelques informations supplémentaires sur les versions de GPO ici