Complément d’informations sur les fichiers de modèles d’administration ADMX :

Salut à tous

J’ai travaillé récemment sur la problématique de la taille du répertoire SYSVOL.
Pour rappel le répertoire SYSVOL contient les GPO (sous dossiers Policies) et les scripts (partage NETLOGON). Le répertoire SYSVOL est répliqué sur tous les contrôleurs de domaine (via la réplication FRS ou DFS-R).
Ce problème de taille du SYSVOL se pose surtout pour des annuaires Active Directory de grande taille (des milliers de machines / comptes utilisateurs, plusieurs centaines de contrôleur de domaine / sites géographiques).
En effet dans ce type d’entreprise, on assiste souvent à une véritable prolifération de GPO.
L’administrateur locale de chaque site a en en effet tendance à créer ses propres objets GPO pour personnaliser la configuration de ses machines (serveurs proxy / WSUS spécifiques par exemple).
Il n’est donc pas rare de voir un dossier SYSVOL de 4 Go.
Quand l’on crée un nouveau contrôleur de domaine, on doit donc répliquer 4 Go. Cela peut être problématique si l’on dispose de sites reliés par des liaisons satellites.

Un des coupables : les fichiers modèles d’administration ADM.
Chaque objet de stratégie de groupe dispose de son propre sous dossier ADM. Ce dernier contient tous les modèles d’administration utilisés pour créer et paramétrer la GPO.
De base, un objet GPO a donc une taille de 4 Mo (si l’on a pas ajouté d’autres modèles d’administration).

Depuis Windows Vista / 2008, la console GPMC est capable de se baser sur un nouveau format de fichiers appelés ADMX/ADML (basés sur le XML).
Ces nouveaux modèles d’administration ADMX / ADML peuvent être stockés dans un emplacement centralisé au niveau du répertoire SYSVOL.
Chaque objet GPO pointe vers ce magasin centralisé.
Une GPO créée avec GPMC depuis une station Vista / Seven / 2008 / 2008 R2 se basent sur les fichiers ADMX et fait donc 4 Ko (au lieu de 4 Mo pour une GPO créée via une version de GPMC ne supportant que les fichiers ADM comme GMPC sous Windows XP Pro).

Pour plus d’informations sur les fichiers modèles d’administration ADMX.
http://msdn.microsoft.com/en-us/library/bb530196.aspx
http://www.laboratoire-microsoft.org/articles/les-fichiers-ADMX
Par défaut, il n’y a pas d’emplacement centralisé au niveau SYSVOL pour les fichiers ADMX.
Les contrôleurs de domaine se basent sur les fichiers ADMX présent dans C:\Windows\PolicyDefinitions.
Le document http://msdn.microsoft.com/en-us/library/bb530196.aspx fournit un pas à pas pour créer le dépôt centralisé pour les fichiers ADMX au niveau du répertoire SYSVOL.
La maquette suivante a été mise en place pour valider le bon fonctionnement des GPO basés sur les fichiers ADMX :
– 2 contrôleurs de domaine (DC) Windows 2003 R2
– 1 station de travail Windows XP Pro SP3.
– 1 serveur membre Windows 2008 R2.

Une GPO a été créée depuis le serveur membre 2008 R2 pour bloquer l’affichage du panneau de configuration dans le menu Démarrer.
Suite à la création de cette GPO, le répertoire correspondant au GUID de la GPO a été créé dans SYSVOL. Ce dernier fait 1,28 Ko (et non 4 Mo). Le sous répertoire ADM existait mais était vide.
La GPO s’appliquait correctement sur une station Windows XP Pro SP3 de tests.
Attention, si l’on édite (même sans faire de modifications) la GPO depuis la station XP / 2003 (avec GPMC ou la console Utilisateurs et Ordinateurs Active Directory) :
– Les fichiers modèles d’administration Windows Update / Windows Media Player au format ADM sont alors ajoutés dans le sous dossier ADM de la GPO.
– Seuls les paramètres Windows Update / Windows media sont visibles depuis un GPMC / console Utilisateurs et Ordinateurs Active Directory. Si on ajoute les fichiers ADM manquants, on peut alors visualiser les paramètres de GPO définis et les modifier. Les fichiers modèles ajoutés sont insérés dans le répertoire ADM de la GPO.

A savoir :
– Il existe un outil appelé ADMX Migrator qui permet de convertir les fichiers ADM en fichier ADMX.
http://www.laboratoire-microsoft.org/n/23265/
http://www.laboratoire-microsoft.org/logiciels/23264/
– Depuis Windows 2003, il est possible de faire un DCPROMO depuis un media de sauvegarde.
http://technet.microsoft.com/fr-fr/library/cc816722(WS.10).aspx
Pour pouvoir inclure SYSVOL (pas de réplication via le réseau), il faut que le contrôleur de domaine soit en Windows 2008 R2 et que le domaine soit en mode natif 2008 (réplication DFS-R obligatoire).

a+
Guillaume MATHIEU
Le bonheur c’est le partage.

A propos Guillaume Mathieu

Directeur Technique chez Flexsi
Ce contenu a été publié dans Active Directory, GPMC, GPO, Système, Windows 2003 Server, Windows Server 2008, Windows Server 2008 R2, Windows Vista, Windows XP, avec comme mot(s)-clé(s) , , , , , , , . Vous pouvez le mettre en favoris avec ce permalien.

Laisser un commentaire