Windows 10 Tech. Prev. – quoi de neuf avec les stratégies de groupes ?

Bonjour à tous ! Ce week-end, je me suis penché sur la preview de Windows 10 : la nouvelle de la gratuité de la montée de version vers Windows 10 laissant envisager que le scénario de mise à jour des postes de l’entreprise verra le jour rapidement, autant commencer dès maintenant à se poser certaines questions… Et puisque nous sommes dans un contexte professionnel, c’est donc tout d’abord son impact sur l’Active Directory qu’il faut regarder.

Stratégies locales

Pour commencer, observons la comparaison des stratégies locales entre un poste 8.1 et un poste 10 : il y a à minima 25 nouveaux objets pour les stratégies Ordinateur et 12 pour les stratégies Utilisateur. A minima, parce qu’en réalité, nous observons le nombre total d’objet et qu’il est possible que certains d’entre eux ait été supprimés.

Deuxième étape : exporter puis comparer les objets. Pour réaliser cette tâche, un script PowerShell a été développé pour lire le contenu des exports, les analyser puis nous présenter le résultat dans une forme humaine à l’écran ; il a également généré un fichier de résultat (ce script est afficher tout en bas de cette article). Voyons maintenant plus en détails les différences observées.

Exécution du script

Coté Configuration Ordinateur, 13 objets ont disparus, portant le nombre de nouveaux objets à 38 :

Coté Configuration Utilisateur, ce sont 7 objets qui ont disparus et 19 qui sont nouvellement apparus :

Dans le détail pour chaque objet (vert pour Ordinateur et Jaune pour Utilisateur) :

Certains objets disparus sont en fait renommés : ainsi SkyDrive devient OneDrive ou Windows 8.1 devient Windows 10. D’autres ont simplement été migré à un nouvel emplacement : la ruche exclusion du système NIS est devenue la ruche exclusion dans une nouvelle ruche appelée système NIS.

Crypter les messages du journal des évènements

Parmi les nouveautés, celle-ci a attiré mon attention :

En voilà une bonne chose ! En gros, cette nouvelle policy permettra de mettre en place un cryptage des informations dans le journal des évènements. Une commande PowerShell permettra alors de décrypter le message en fournissant le certificat adéquat. Ce type de sécurité pourrait être très utile pour masquer des informations comme le nom ou l’adresse du contrôleur de domaine ou le nom d’un compte de service présent dans le journal de sécurité… Reste à patienter jusqu’à la sortie officielle pour connaitre la liste des composants qui supporteront ce système.

PowerShell

Un autre point qui me plait beaucoup est l’arrivé du login des actions PowerShell sur un poste ou un serveur :

Jusqu’à présent, il était assez difficile d’identifier l’exécution de scripts sur les machines, ce qui posait problème par exemple lorsque l’on souhaitait remonter jusqu’à la source d’une modification d’un réglage sur un serveur. Dorénavant, au moins pour les scripts PowerShell, on pourra avoir une trace des actions ! Ceci dit, Microsoft prévient d’entrée de jeu que cela sera gourmand en volumétrie, ce qui est logique. Point intéressant, la policy est compatible à partir de Windows 7 et Windows Server 2008 !

Et comme une bonne nouvelle n’arrive jamais seule, en voici une deuxième :

Non content de pouvoir capturer les scripts, nous voilà également en mesure de capturer et centraliser les logs des commandes faites à partir de PowerShell. Il n’est pas nécessaire de dire à quel point ce nouvel objet va agréablement augmenter le niveau de sécurité de nos OS et permettre d’accroitre les audits dans les périmètres sensibles.

Conclusion

Voilà qui termine un petit avant-goût des nouveautés que nous apportes Windows 10. Comme nous ne sommes aujourd’hui que sur une Preview, il ne fait aucun doute que la liste est incomplète : vivement la mouture officielle ! Pour terminer cet article, et à l’attention de ceux qui sont intéressés, vous trouverez ci-dessous le script pour la comparaison de deux fichiers GP. Le fichier source est disponible ici.

@micalement, Loïc.

About the Author

metsys-blog

4 Comments

  • stil said:
    13 avril 2015 at 13 h 19 min

    Merci pour votre retour c’est Pro 🙂
    Bon courage!!

  • stil said:
    27 mars 2015 at 8 h 59 min

    Bonjour,

    Bon billet mais il est dommage que vous ne mettiez pas le script PS a disposition au lien d’un imprime écran non exploitable.

    • 11 avril 2015 at 10 h 46 min

      Bonjour,
      J’avais envisagé de le mettre à disposition. L’avantage de la capture d’écran, c’est la lisibilité du code.
      Je vais ajouté un lien pour télécharger le script au format .txt.

      @micalement, Loïc.

Laisser un commentaire

This blog is kept spam free by WP-SpamFree.