Exposer GPO
Exposer GPO
Exposer GPO
Les stratégies de groupes sont des ensembles de paramètres qui s'appliquent aux utilisateurs
et ordinateurs. Elles permettent de gérer plus facilement la sécurité d'un poste ou de
plusieurs postes dans un Domain. Les GPO ne s'appliquent pas aux groupes, mais comme dit
précédemment aux postes et utilisateurs, qui se trouvent dans un conteneur ou une UO
(Unité Organisation). Pour exploiter pleinement les stratégies de groupe, il est nécessaire de
le faire dans un environnement Active Directory.
Il est évidemment possible d’utiliser les stratégies locales sur un parc informatique dont les
ordinateurs sont reliés par un Workgroup. Cependant, l’utilisation des stratégies de groupe
dans un environnement Active Directory représente l’exemple le plus répandu au sein des
entreprises disposant d’architectures Microsoft.
Gérer les stratégies locales de chaque poste de travail d’une organisation demande beaucoup
de travail ainsi qu’une gestion décentralisée des informations. Lorsqu’une modification est
faite concernant les politiques de stratégie de groupe, il faut effectuer les mises à jour sur
chaque poste de travail concerné. Si le Workgroup possède un nombre élevé d’ordinateurs,
le travail des administrateurs prend tellement de temps pour effectuer des tâches répétitives
qu’il en perd pratiquement son intérêt.
Ainsi, l’utilité du déploiement des GPO dans un domaine Active Directory est
incomparablement plus importante qu’au sein d’un Workgroup.
1. Objectif
Dans cette procédure, nous allons montrer comment mettre en place des GPO en
français : Objets de Stratégies de Groupe.
2. Définition
Les GPO (Group Policy Object) sont des objets Active Directory qui définissent les droits des
utilisateurs. Ce sont des stratégies de groupes. Les G.P.O sont applicables aux Sites,
Domaines et OU.
3. Prérequis
Pour réaliser cette procédure, nous avons besoin des éléments suivants :
OS du serveur OS du client C/S
Windows Server 2008 Windows 7 S
Chaque site, domaine ou OU peut avoir une ou plusieurs stratégies de groupe. Les stratégies
de groupe de la liste Stratégie de groupe sont listées par priorité décroissante, de manière à
garantir l’application correcte des stratégies dans l’ensemble des sites, domaines et OU
concernés. Stratégies par défaut et de domaine Si on travaille avec la Stratégie de groupe
basée sur Active Directory, on verra que chaque domaine de votre organisation possède
deux GPO par défaut :
GPO Default Domain Controllers Policy GPO par défaut créé pour et associé à
l’OU Contrôleurs de domaine. Cet objet s’applique à tous les contrôleurs de domaine d’un
domaine, tant qu’ils ne sont pas supprimés de cette OU. Il sert à gérer les paramètres de
sécurité des contrôleurs de domaine d’un domaine.
GPO Default Domain Policy GPO par défaut créé pour et associé au domaine au
sein d’Active Directory. Cet objet permet d’établir les bases d’un ensemble varié de
paramètres de stratégie qui s’appliquent à tous les utilisateurs et les ordinateurs d’un domaine.
Généralement, le GPO Default Domain Policy est l’objet prioritaire associé au niveau du
domaine et le GPO Default Domain Controllers Policy l’objet prioritaire associé au conteneur
Contrôleurs de domaine.
Le GPO Default Domain Controllers Policy contient des paramètres d’Options de sécurité
et d’attribution des droits utilisateurs spécifiques qui limitent les usages des contrôleurs de
domaine. Pour remplacer ces paramètres, on crée un nouveau GPO avec les paramètres de
remplacement et on l’associe au conteneur Contrôleurs de domaine avec une priorité plus
élevée. Pour gérer les autres zones de la stratégie, vous devez créer un nouveau GPO et
l’associer au domaine ou à une OU du domaine. Les stratégies de groupe pour le site, les
domaines et les OU sont placées dans le dossier %SystemRoot%\Sysvol\Domain\Policies
des contrôleurs de domaine.
Attention Ne pas modifiez directement ces dossiers et fichiers : utilisons les fonctions
appropriées de la console Stratégie de groupe.
Pour ce faire, nous faisons un clic droit sur la GPO, « Modifier » et choisissons, par
exemple, « Configuration ordinateur », « Paramètres Windows » et « Paramètres de
sécurité » :
Par exemple, nous allons appliquer des restrictions pour les comptes utilisateurs. Po
ce faire, nous cliquons sur « Stratégies de comptes » :
- Et, par exemple, nous allons dans « Stratégie de verrouillage du compte » et voici les
différents paramètres :
Par exemple nous allons appliquer des restrictions pour les, compte utilisateur
Pour se faire, nous cliquons sur (stratégie de compte)
- Ensuite, nous pouvons visualiser les paramètres modifiés et constatons que les
paramètres de stratégie de comptes des utilisateurs ont bien été pris en compte :
3.
Création d’une nouvelle GPO
Ici, par exemple, nous allons créer une GPO pour empêcher l’accès au panneau de
configuration aux utilisateurs.
- Nous faisons un clic droit sur le nom du domaine et cliquons sur « Créer un objet GPO
dans ce domaine » :
- Nous donnons à la GPO, validons et constatons que la GPO a bien été créée :
Pour empêcher l’accès au panneau de configuration, nous faisons un clic droit sur la
nouvelle GPO et « Modifier »
Comme sur la GPO par défaut, nous pouvons choisir tous les paramètres à exécuter
pour les utilisateurs. Ici, par exemple, nous allons bloquer l’accès au panneau de
configuration. Pour ce faire, nous allons dans « Configuration utilisateur »,
« Stratégies », « Modèles d’administration » et « Panneau de configuration »
- Nous cliquons sur la nouvelle GPO créée, un message s’affiche à l’écran et cliquons sur
« OK » :