- Secedit exporte la sécurité locale (utilisateurs, options, ACL, services), mais pas les règles de pare-feu.
- GPResult révèle le RSoP réel et permet des rapports HTML et des requêtes à distance.
- Netsh gère et clone les paramètres réseau ; le pare-feu est déplacé avec advfirewall export/import.
- La résolution des problèmes GPO est basée sur les journaux opérationnels, les ActivityID et les codes d’événement.
Lorsque vous devez déplacer ou documenter les paramètres de sécurité et de réseau dans Fenêtres, il est conseillé de connaître en détail ce que fait chaque outil du système. Netsh, GPResult et Secedit Ils couvrent différents scénarios : du clonage des paramètres réseau à l'exportation des politiques locales et à la vérification des GPO qui ont réellement été appliqués à une machine.
Dans ce guide pratique mais approfondi, vous apprendrez à utiliser chaque utilitaire dans son meilleur contexte, à générer des rapports pour l'audit et l'assistance, et à éviter les pièges courants. De plus, j'inclus des solutions réelles pour exporter des règles de pare-feu, collecter des traces et diagnostiquer les erreurs typiques de stratégie de groupe.
Secedit : Exporter la sécurité et les politiques locales
Secedit est l'utilitaire classique pour gérer la base de données de sécurité et Modèles .infGrâce à lui, vous pouvez sauvegarder ou transférer les paramètres de sécurité locaux (par exemple, les droits d'utilisateur, les options de sécurité, les listes de contrôle d'accès au registre et aux fichiers, les services, etc.). Votre commande d'exportation principale prend en charge les paramètres qui déterminent la base de données source, le modèle et les zones que vous allez inclure.
La syntaxe d'exportation est : secedit /export /cfg <archivo.inf> ] . Si vous ne spécifiez pas /db, la base de données de sécurité du système est prise en compte %windir%\security\database. Pour bases de données sans modèle associé, vous devez également indiquer le paramètre /cfg.
le modificateur /mergedpolicy vous permet de combiner les politiques locales et de domaine avant l'exportation. Paramètre /areas Filtrez les étendues à inclure : politique de sécurité (politique de compte, audit, options), gestion des groupes restreints, droits d'utilisateur, clés de registre, sécurité des fichiers et services définis. Si vous n'utilisez pas cette option, tout le contenu de la base de données sera exporté.
Pour enregistrer le processus, vous pouvez utiliser /log et définir son chemin ; sans chemin, Windows enregistrera le journal dans le profil utilisateur sous Documents\Sécurité\Journaux. Le choix /quiet supprime la sortie écran (le résultat est ensuite visualisé avec le composant logiciel enfichable MMC « Configuration et analyse de la sécurité »).
Exemple d'aller-retour typique : exportation de la base de données locale combinée au domaine vers un fichier INF, puis importation dans une autre base de données pour répliquer la configuration sur un autre ordinateur. D'abord vous exportez avec une commande similaire à secedit /export /db C:\Security\FY11\SecDbContoso.sdb /mergedpolicy /cfg SecContoso.inf /log C:\Security\FY11\SecAnalysisContosoFY11.log /quiet. Plus tard, sur une autre machine vous importez cet INF vers une nouvelle base de données avec secedit /import /db C:\Security\FY12\SecDbContoso.sdb /cfg SecContoso.inf /log C:\Security\FY11\SecAnalysisContosoFY12.log /quiet.
Très important: Secedit n'exporte pas les règles de pare-feu que vous avez définies dans la politique de sécurité locale. Pour ces règles, vous devrez utiliser Netsh (advfirewall) ou PowerShell, comme vous le verrez plus tard ; voyez comment gérer le Pare-feu Windows Defender.
GPResult : RSoP, rapports et scénarios à distance
GPResult indique quelles stratégies de groupe ont réellement impacté un utilisateur et/ou un ordinateur. C'est le moyen le plus rapide de savoir « Quelles stratégies de groupe ont été appliquées ici et pourquoi ? » Il est pris en charge sur Windows Server 2012/2012 R2/2016/2019/2022 et les clients de Windows 7 À partir de.
Pour voir l'aide et les paramètres disponibles, ouvrez un symbole du système et courir gpresult /?Vous trouverez des options pour afficher l'ensemble résultant de politiques (RSoP) pour les portées UTILISATEUR et ORDINATEUR, avec différents niveaux de détail et formats d'exportation.
Il est très pratique de générer un rapport HTML complet avec cette commande : gpresult /h C:\ruta\gp.htmlLe fichier résultant contient tous les objets de stratégie de groupe appliqués, leur origine et leur état. Si vous préférez un texte rapide sur la console, gpresult /r vous montre un résumé.
Pour les ordinateurs distants, GPResult prend en charge les requêtes sur le réseau : gpresult /S NOMBREPCSi vous avez besoin d'informations d'identification explicites et de plus de détails : gpresult /S hostremoto /U dominio\usuario /P contraseña /SCOPE USER /V. N'oubliez pas que la télécommande doit être dans le même domaine et que vous devez avoir les permis nécessaires pour l'interroger.
Il existe des paramètres incompatibles entre eux : par exemple, tu ne peux pas combiner /u y /p avec /x o /h (exportations vers XML/HTML), quelque chose que GPResult vous avertira avec une erreur si vous essayez.
Si vous travaillez avec PowerShell, l'applet de commande Get-GPResultantSetOfPolicy Il offre une alternative pour collecter les mêmes informations RSoP, idéale pour automatiser et croiser les données avec d'autres scripts.
Netsh : interroger, configurer et cloner la configuration du réseau
Netsh est un outil de console extrêmement polyvalent qui permet d'interroger, de diagnostiquer et de modifier les configurations réseau. De plus, peut générer des scripts avec la configuration actuelle pour le reproduire facilement sur d'autres ordinateurs.
Pour afficher la configuration IP par interface, utilisez netsh interface ip show configLe résultat est plus synthétique que ipconfig /all, mais fournit les valeurs clés de chaque adaptateur pour un examen rapide.
Quand tu as besoin Statistiques de connexion IP, ARP ou TCP, vous avez des options comme netsh interface ip show ipstats, netsh interface ip show ipnet (table ARP par interface) et netsh interface ip show tcpconn pour afficher les sessions TCP actives.
Pour changer l'IP d'un adaptateur en statique, vous pouvez exécuter quelque chose comme netsh interface ip set address name="Ethernet" source=static addr=192.168.1.10 mask=255.255.255.0 gateway=192.168.1.1. Si vous souhaitez revenir à DHCP, il suffirait de netsh interface ip set address name="Ethernet" source=dhcp.
Vous pouvez également ajuster les serveurs DNS : netsh interface ip set dnsserver "Ethernet" static 8.8.8.8 primary pour le réparer, ou netsh interface ip set dnsserver "Ethernet" dhcp à gérer par le serveur DHCP.
Pour « capturer » la configuration comme scénario exécutable sur un autre ordinateur, vous pouvez vous fier au vidage de contexte Netsh : netsh interface ip dump (et d'autres contextes) pour obtenir les commandes nécessaires qui reproduisent la configuration actuelle sur une autre machine.
Exporter et importer des règles de pare-feu lorsque Secedit ne les inclut pas
Si votre objectif est de déplacer les règles du pare-feu Windows (windows Defender Pare-feu) d'une machine à une autre, Secedit n'est pas l'outil car les règles ne font pas partie de l'exportation. Dans les environnements sans interface graphique (Server Core, Hyper-V Server), la voie la plus directe est Netsh.
Pour exporter à la source, ouvrez un cmd avec des privilèges et exécute : netsh advfirewall export "C:\Temp\Firewall.wfw"Ceci génère un fichier .wfw contenant toutes les règles et tous les profils. Sur l'ordinateur de destination, importez-le avec netsh advfirewall import "C:\Temp\Firewall.wfw" et vous aurez le même ensemble de règles appliquées.
Une autre option consiste à utiliser PowerShell (module NetSecurity) pour gérer les règles de manière granulaire, par exemple en énumérant avec Get-NetFirewallRule et l'exportation vers XML/CLIXML, bien que pour le clonage un à un, le format Netsh .wfw soit plus simple et plus robuste.
Générer un rapport HTML avec GPResult
Pour vérifier en un coup d'œil quels GPO affectent une machine, générez un fichier HTML avec gpresult /h C:\Informes\GPO.html. Il est pris en charge sur Windows Server 2012 R2, 2016, 2019, 2022 et les clients comme Windows 7, 10 et 11. Ce rapport est particulièrement utile pour détecter les GPO et les héritages refusés cela pourrait bloquer une configuration.
Dépannage des stratégies de groupe : journaux et méthode
Avant de faire quoi que ce soit d’autre, il est judicieux de consulter les événements de stratégie de groupe dans l’Observateur d’événements système. Les avertissements vous guident Informations sur les situations à surveiller et les erreurs décrivant leur cause probable. Utilisez le lien « Plus d'informations » et l'onglet « Détails » de l'événement pour consulter les codes d'erreur et leurs descriptions.
Le journal opérationnel « Microsoft-Windows-GroupPolicy/Operational » est essentiel au débogage. Diviser mentalement le traitement En trois phases (prétraitement, traitement et post-traitement), identifiez l'ActivityID de l'instance en question afin de pouvoir suivre la piste du début à la fin.
La technique recommandée consiste à créer une vue personnalisée filtrée par ActivityID. Tout d’abord, localisez l’ActivityID dans un événement d'erreur/avertissement (onglet Détails, nœud Système) et copiez-le sans accolades. Créez ensuite la vue avec le Requête XML Suivant:
<QueryList><Query Path="Application"><Select Path="Microsoft-Windows-GroupPolicy/Operational">*</Select></Query></QueryList>
Une fois les événements isolés, corrèle chaque début d'activité avec son extrémité correspondante et examine tous les avertissements/erreurs. Puis il lance gpupdate (o gpupdate /force (si nécessaire) pour répéter le cycle et confirmer si votre correction est efficace.
Événements fréquents et causes typiques
Id. 1129 Indique que l'objet de stratégie de groupe n'a pas pu être appliqué en raison d'un manque de connectivité à un contrôleur de domaine. En pratique, cela est généralement dû au blocage du port LDAP 389. Avec GPUpdate, vous obtiendrez des erreurs et, dans le journal gpsvc, vous verrez un message du type « échec ». ObtenirLdapHandle avec le code 81.
La recette est capturer une trace réseau et vérifiez : la requête LDAP au niveau du site, les contrôleurs de domaine renvoyés, la résolution DNS réussie pour chacun d'eux, la tentative de liaison LDAP et l'échec de la négociation TCP en raison du blocage du port 389. Si le contrôleur de domaine ne répond pas sur le port 389, il est temps de contacter l'équipe réseau avec des preuves claires.
Id. 1002 Il avertit d'une panne due à un manque de ressources système (mémoire ou disque). Cela se produit généralement lorsque l'ordinateur quitte l'état de ressources faibles ; libérer de l'espace disque, surveillez la mémoire et envisagez un redémarrage si elle est allumée depuis longtemps.
Id. 1006 Indique un échec d'authentification auprès d'AD (liaison LDAP). Consultez le code d'erreur dans l'onglet Détails : avec 5 (Accès refusé), l'utilisateur n'a peut-être pas les autorisations ; avec 49 (Informations d'identification non valides), il s'agit généralement d'un mot de passe expiré : changer le mot de passe, verrouiller/déverrouiller la session et valide les services qui utilisent ce compte. Avec 258 (Délai d'attente), vérifiez le DNS : nslookup doit résoudre _ldap._tcp. vers les DC corrects.
Id. 1030 Cela indique des problèmes lors de la récupération des nouveaux objets de stratégie de groupe. Vérifiez que les ports LDAP sont ouverts. sur le pare-feu et sur le DC Comme sur le client. N'oubliez pas d'examiner les paramètres DNS et la résolution de noms comme référence.
Pour isoler les blocs de ports, validez la pile de résolution de noms du client. Vérifiez que vous résolvez un nom d'hôte et pas NetBIOS si l'application le permet ; beaucoup applications Ils prennent en charge plusieurs méthodes et sont parfois configurés pour NetBIOS au lieu des sockets TCP/IP.
Si vous suspectez des autorisations sur le conteneur GPO, exécutez-les sur le contrôleur de domaine. Get-GPPermission -Name "TestGPO" -All pour connaître le niveau d'accès de chaque entité de sécurité sur cet objet de politique.
Id. 1058 apparaît lorsqu'un fichier GPO ne peut pas être lu (par exemple, gpt.ini) d'un DC. Vérifiez le code d'erreur : avec 3 (Chemin non trouvé), identifier le DC de l'événement et construire l'itinéraire complet \\<dcName>\SYSVOL\<domain>\Policies\<guid>\gpt.ini; valide que vous pouvez le lire du client.
Avec 5 (Accès refusé), l'utilisateur ou l'ordinateur n'a pas d'autorisations de lecture sur ce chemin ; sécurisez-les sur le DC et réessayez après redémarrer et se reconnecter. avec 53 (Chemin réseau non trouvé), c'est généralement un problème de résolution de nom ; essayez d'accéder à \\<dcName>\netlogon pour confirmer la connectivité.
Id. 1053 Indique que le nom d'utilisateur n'a pas pu être résolu. Erreurs courantes : 5 (Accès refusé) en raison de l'expiration du mot de passe alors que vous êtes toujours connecté ; 14 (Insuffisant stockage) en raison d'une faible mémoire ; 525 (L'utilisateur n'existe pas) en raison d'autorisations de lecture insuffisantes sur l'UO ; 1355 (Le domaine n'existe pas) par DNS ; et 1727 (RPC échoué) par pare-feu. Valider le DNS via nslookup, réplication AD et règles de pare-feu (y compris celles de tiers).
Id. 1097 indique que l'équipe n'a pas pu déterminer son compte pour appliquer les GPO d'équipe. La cause principale est le temps désynchronisé avec le DC. Assure la synchronisation de l'heure et du fuseau horaire et courir w32tm /resync. Redémarrez votre ordinateur si le problème persiste.
ID 4016 et 5016 Ils signalent le début et la fin du traitement d'une extension côté client (CSE). Si vous constatez un retour similaire dans le formulaire 5016 2147483658 (0x8000000a) E_PENDING, fouille dans le journal opérationnel Sécurité-Audit-Configuration-Client/Opérationnel pour tracer le flux de l'Audit CSE (Auditcse.dll) et localiser les erreurs à granularité fine.
Activer la journalisation détaillée (GPSvc) et collecter des preuves
Pour les problèmes complexes, l'activation de la journalisation GPSvc est essentielle. Sur le client concerné, ajoutez la clé et la valeur au registre pour activer le niveau de débogage et ensuite forcer une actualisation de la politique pour détecter le problème à chaud.
Vous pouvez le faire comme ceci (en tant qu'administrateur) : créer la clé HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics, ajoutez le DWORD GPSvcDebugLevel avec courage 0x00030002 (hex) et exécuter gpupdate /force. Le journal est enregistré dans %windir%\debug\usermode\gpsvc.log.
Il collecte également un ensemble de données standard : Rapport HTML et TXT RSoP avec gpresult /h %Temp%\GPResult.htm y gpresult /r > %Temp%\GPResult.txt; exporter la branche GPExtensions avec reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions" %Temp%\GPExtensions.reg.
N'oubliez pas d'extraire les journaux d'événements pertinents : Application, système et stratégie de groupe/opérationnelle avec wevtutil.exe export-log Application %Temp%\Application.evtx /overwrite:true, wevtutil.exe export-log System %Temp%\System.evtx /overwrite:true y wevtutil.exe export-log Microsoft-Windows-GroupPolicy/Operational %Temp%\GroupPolicy.evtx /overwrite:true.
Une fois la capture terminée, désactiver la journalisation GPSvc Pour éviter tout impact sur les performances : reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d 0x00000000 /f. Ayez les fichiers à portée de main : Application.evtx, System.evtx, GroupPolicy.evtx, GPExtensions.reg, GPResult.txt, GPResult.html et gpsvc.log.
Sauvegarder et importer des GPO avec GPMC
Lorsque l’objectif est de déplacer des objets de stratégie de groupe entiers entre des contrôleurs de domaine, la stratégie la plus propre consiste à utiliser la console. Gestion des stratégies de groupe (GPMC)Sauvegardez l'objet de stratégie (clic droit > Sauvegarder), choisissez le dossier de destination et vous obtiendrez un ensemble de fichiers avec les paramètres.
Dans le domaine de destination, créez un nouveau GPO et sélectionnez Importer la configurationSélectionnez le dossier contenant la copie précédemment exportée et laissez l'assistant examiner les références aux principaux de sécurité et aux chemins UNC. Vous pouvez les convertir si elles changent. groupes, utilisateurs ou itinéraires entre les domaines, en évitant les SID ou les routes orphelines.
Écrivain passionné par le monde des octets et de la technologie en général. J'aime partager mes connaissances à travers l'écriture, et c'est ce que je vais faire dans ce blog, vous montrer toutes les choses les plus intéressantes sur les gadgets, les logiciels, le matériel, les tendances technologiques et plus encore. Mon objectif est de vous aider à naviguer dans le monde numérique de manière simple et divertissante.