Bonjour à tous !
Aujourd'hui nous allons aborder la résolution de problèmes d'application des stratégies de groupe (coté poste client) et plus précisément la partie avancée de cette résolution.
Débug usuel
Habituellement, il faut passer par l'Observateur d'Evènements du poste client afin d'obtenir plus de détails sur l'application des stratégies de groupe.
Deux sections peuvent vous intéresser :
- Journaux Windows/Système
- Le niveau de détail est assez limité mais c'est un bon point de départ
- Vous pouvez filtrer les événements par les sources pour ne garder que les parties intéressantes
- Journaux des applications et des services/Microsoft/Windows/GroupPolicy
- Est beaucoup plus détaillé
- Ne contient que les evènements stratégies de groupe
Mais parfois, il peut s'avérer que les informations remontées par ces logs ne soient pas assez précises pour trouver la vraie cause du problème.
Débug avancé
Les messages d'état détaillés
Une première étape concerne l'activation des Messages d'état détaillés sur le poste client.
Ces messages détaillés vont afficher le détail des étapes de démarrage ou d'arrêt d'un poste.
On retrouvera dans ces messages le déroulement de l'application des GPO à l'ouverture d'une session utilisateur.
Ce n'est pas forcément très verbeux mais cette option est utile pour voir sur quelle section l'application des GPO bloque ou prend du temps.
L'activation de ce paramètre se fait par GPO ou GPEdit :
Le fichier gpsvc.log
Une deuxième étape concerne l'activation du fichier gpsvc.log.
Ce fichier va contenir toutes les étapes et tous les détails de l'application des GPO sur un poste, du démarrage du poste au bureau de l'utilisateur.
C'est aussi le cas lors d'un rafraîchissement manuel des GPOs par un GPUpdate.
Voici la procédure pour activer ce log :
- Ouvrez l'éditeur de registre avec la commande Regedit
- Dépliez la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion
- Crééz une nouvelle clé Diagnostics si elle n'existe pas
- Crééz une nouvelle valeur DWORD (32-bit) GPSvcDebugLevel
- Modifiez la valeur GPSvcDebugLevel par la valeur 30002 (Hexadecimal)
- Fermez le Registre
- Crééz le dossier Usermode si celui-ci est absent du dossier C:\Windows\Debug\
- Lancez la commande Gpupdate /force
- Le fichier gpsvc.log doit se créer
Astuce : Une fois le fichier activé, sur Windows 7/Windows 2008 R2 ou en-dessous, il peut arriver que plusieurs threads concurrents écrivent en même temps dans le fichier, occasionnant des pertes d'informations.
Dans ce cas, il est recommandé de séparer le rafraîchissement des paramètres ordinateurs et utilisateurs avec la commande Gpupdate /force /target:computer ou Gpupdate /force /target:user
Une fois le fichier créé, il faut maintenant l'analyser. Ce sera l'objet d'une deuxième partie.