GPO ou Scripts : comment appliquer des paramètres utilisateurs / ordinateurs ?

Bonjour à tous,

Pour commencer cette année 2020, je vous propose une réflexion sur l’utilisation des stratégies de groupes ou l’utilisation de scripts pour appliquer des paramètres aux utilisateurs et ordinateurs au sein d’un environnement Active Directory.

Avant d’aller plus loin dans l’article, dans les deux cas, l’utilisation d’une ou plusieurs stratégies de groupe est nécessaire, les scripts sont utilisent des paramètres GPO pour être exécutés.

Les scripts sont appelés à l'aide d'une stratégie de groupe

Il n’y pas de réponse parfaite à cette question, il y a surtout plusieurs facteurs qui rentre en compte :

  • Préférences du ou des SysAdmin, certaines personnes vont préférer des scripts d’autre utiliser les paramètres offert par les stratégies de groupe.
  • Ancienneté de l’environnement Active Directory, les anciens environnements utilisent souvent des scripts car les GPO offraient moins de possibilités.

Maintenant, il faut répondre à la question, on utilise quoi ?

La réponse est « simple » les 2, avec une préférence les GPO quand cela possible.

Pourquoi favoriser les stratégies de groupe ?

Pour des choses « simples » comme le mappage de lecteur réseau, imprimantes, modification de registre … les stratégies de groupe le font bien avec plusieurs avantages.

Avant de rentrer dans le détail des avantages de la stratégie de groupe, on va parler des principaux inconvénients (selon moi) des scripts.

Inconvénient des scripts

– La première chose quand on veut mettre en place un script et de choisir le langage, ce type de script on retrouve principalement :

  • Bash / cmd
  • VBS
  • PowerShell

L’utilisation de PowerShell nécessite d’avoir la même version sur tous les ordinateurs car certaines commandes peuvent varier d’une version à une autre.

– Le second inconvénient est l’utilisation même des scripts qui sont exécutés soit au démarrage du l’ordinateur ou à l’ouverture de session contrairement aux stratégies qui sont actualisées régulièrement ou la possibilité de forcer la mise à jour avec un gpupdate.

La mise à jour des stratégies de groupe avec la commande gpupdate ne fait pas rejouer les scripts, il faut soit redémarrer l’ordinateur ou se reconnecter à la session utilisateur.

Avantages des stratégies de groupe

Pour moi voici l’avantage d’utiliser les paramètres disponibles dans les stratégies de groupe :

– Utilisation d’une interface graphique, qui permet à tout le monde de travailler de la même façon.

– La stratégie de groupe étant liée au système, il est facile de diagnostiquer les problèmes car ils sont inscrit dans l’observateur d’évènements.

– Actualisation des stratégies à intervalle régulier et transparente pour l’utilisateur, ceci permet de modifier des paramètres dans l’environnement du SI avec une application transparente et progressive.

Inconvénients des stratégies de groupe

Je vois principalement 2 inconvénients qui peuvent être regroupés en un seul : le manque de formation et en découle donc le manque de stratégie dans la mise en place

Même si l’utilisation d’une interface graphique facilité grandement l’utilisation des stratégies de groupe (GPO), il est nécessaire de se former un minimum (par exemple sur l’application des paramètres utilisateurs / ordinateurs) et de se renseigner sur les bonnes pratiques.

Dans quel cas utiliser les scripts

Quand les stratégies de groupe ne répondent pas aux besoins, comme pour le déploiement le déploiement d’agent, installation complexe de logiciels …


Conclusion

Si vous avez lu l’article, je vous conseille l’utilisation des GPO pour le quotidien cas elles sont plus facile à mettre en place et à maintenir. Maintenant cela reste un avis totalement personnel.

Et vous que préférez-vous ?


Related Posts


PHP création d’un utilisateur avec Mot de passe dans l’Active Directory

Dans ce post je ne vais pas aborder le script en lui-même. Mais vous expliquez comment ajouter un utilisateur dans un AD avec mot de passe. Dans mon ancienne entreprise, j'ai du développé pour les for

Laisser un commentaire