Administration sous windows … server

Stratégies de groupes

par : Mr Grari Mounir.

Plan 1. QU'EST-CE QU'UNE DE GROUPE ? 1.1 Présentation des stratégies dSTRATEGIE e groupe 1.2 Configuration ordinateur 1.3 Configuration utilisateur 1.4 Stockage des paramètres d'une GPO 2. APPLICATION D'UNE STRATEGIE DE GROUPE 2.1 Les modèles d'administration 2.2 Héritage d'une GPO 2.3 Filtrage à l'installation d'une GPO 2.4 Délai d'application 3. COMMENT CONFIGURER LES PARAMETRES DE LA GPO ? 3.1 Options des paramètres 3.2 Exemple de paramètre 4. QUELQUES OUTILS EN LIGNE DE COMMANDE 4.1 GPUpdate 4.2 GPResult 4.3 Rapport des GPO

1. Qu'est-ce qu'une stratégie de groupe ?

1.1 Présentation des stratégies de groupeLe terme Stratégie désigne la configuration logicielle du

système par rapport aux utilisateurs. A la suite d’une installation de Windows, aucune stratégie n'est configurée, et tout est permis (en fonction des droits des groupes d'utilisateurs prédéfinis : Administrateurs, Utilisateurs, Utilisateurs avec pouvoir...).

Les stratégies de groupe ou GPO (Group Policies Object) permettent de configurer des restrictions d'utilisation de Windows où des paramètres à appliquer soit sur un ordinateur donné soit sur un compte utilisateur donné.

1. Qu'est-ce qu'une stratégie de groupe ?

Voici un exemple de stratégie de groupe : Menu Démarrer et Barre des tâches

1. Suppression du menu Documents dans le menu Démarrer2. Suppression des Connexions réseau et accès distant du menu Démarrer3. Suppression du menu Exécuter dans le menu Démarrer4. Désactivation de la fermeture de session dans le menu Démarrer5. Désactivation de la commande Arrêter

• Panneau de configuration1. Désactivation du Panneau de configuration2. Masque de certaines applications du Panneau de configuration

• Internet Explorer1. Désactivation de la modification des paramètres de la page de démarrage

1. Qu'est-ce qu'une stratégie de groupe ? Les GPO ne peuvent êtres appliquées qu’à des

conteneurs : site, domaine ou encore unité d’organisation mais elles peuvent être assignées plusieurs fois à des conteneurs différents.

Le contenu d’une GPO sera donc appliqué sur les comptes utilisateurs et ordinateurs contenus dans le conteneur et plusieurs GPO peuvent être liés à un même conteneur.

1.2 Configuration ordinateur La console de gestion des stratégies de groupe se

divise en deux arborescences, la première étant Ordinateur. La configuration ordinateur définit le comportement du système d’exploitation ou d’une partie du bureau et la configuration de la sécurité. Elle intervient dans des opérations comme l’installation des logiciels dès le démarrage de

la machine… Voici ce à quoi ressemble l'arborescence ordinateur :

1.3 Configuration utilisateur Utilisateur est la seconde arborescence des

stratégies de groupe. La configuration utilisateur définit la configuration des applications, les options d’applications affectées et publiées et enfin les paramètres de bureau, elle intervient dans des opérations comme le déploiement de scripts de démarrage…

1.4 Stockage des paramètres d'une GPO Lorsqu’une GPO est définie, les paramétrages de

cette dernière sont stockés dans la base de registre dans les branches suivantes :• KEY_CURRENT_USER\Software\Policies\Microsoft •KEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies•HKEY_LOCAL_MACHINE\Software\Policies\

Microsoft •HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows\CurrentVersion\Policies

2. Application d’une stratégie de groupe

2.1 Les modèles d’administration

2. Application d’une stratégie de groupe

2.2 Héritage d’une GPO

L’ordre dans lequel les objets GPO sont appliqués dépend du

conteneur active directory auquel sont liés les objets. Ils sont

hérités et appliqués dans l’ordre suivant : au site, au domaine puis

au unité d’organisation.

Chaque paramètre d’une GPO peut être configuré ou non, s’il

n’est pas configuré, un paramètre ne provoque pas de conflit.

Cependant si des paramètres configurés entrent en conflit,

l’échelle de priorité précédente détermine le paramètre à

appliquer. Lorsque plusieurs GPO sont appliqués sur une OU, la

GPO la plus élevée (la première) est la plus prioritaire et la

dernière, la moins prioritaire.

2. Application d’une stratégie de groupe

2.2 Héritage d’une GPO

En cas de conflit dans la configuration des GPO de différents

niveaux, par défaut, on appliquera le paramètre de la GPO la plus

proche de l’objet. Voici les règles applicables par défaut :

• Dans le cas d’un domaine, les GPO appliquées celui-ci sont

héritées de domaine père en domaines fils.

• Dans le cas d’une Unité d’organisation, les GPO appliquées à

celle-ci sont héritées d’une unité d’organisation mère en unités

d’organisations filles.

2. Application d’une stratégie de groupe

2.3 Filtrage à l’installation de la GPO

L’option filtrage du déploiement d’une GPO permet d’appliquer

la stratégie de groupe à certains groupes exclusivement. En effet,

chaque objet GPO va être lié à une ACL (liste d’accès) qui va

définir quels sont les utilisateurs, ordinateurs ou groupes qui vont

pouvoir accéder à l’objet GPO donc pouvoir appliquer ces

paramètres.

Par exemple, pour appliquer une GPO seulement sur le groupe

Administrateur, il suffit donc d’afficher les sécurités de l’objet

GPO et de retirer l’autorisation Appliquer la stratégie de groupe à

tous les autres utilisateurs excepté au groupe « Administrateurs ».

2. Application d’une stratégie de groupe

2.4 Délai d’application

Un ordinateur vérifie qu’il utilise la dernière version des GPO toutes les 90

minutes environ ( plus ou moins 30 minutes déterminées de façon aléatoire) afin

d’éviter que plusieurs ordinateurs fassent des requêtes au DC en même temps.

En ce qui concerne les contrôleurs de domaines, ils sont réactualisés toutes les 5

minutes. Ce paramètre est configurable dans la GPO elle-même. Vous pouvez

forcer le rafraîchissement sur chaque machine en utilisant les 4/6commandes

suivantes (l’une pour les paramètres d’ordinateur, l’autre pour les paramètres

utilisateurs) :

• Secedit /refresh machine_policy

• Secedit /refresh user_policy

• gpudate (pour les clients XP et les serveurs 2003)

3. Comment configurer les paramètres des GPO ?

3.1 Options des paramètres : non configuré, activé, désactivé

Pour chaque paramètre, il est nécessaire de choisir à l’avance s’il sera configuré

et si oui, s’il sera activé ou désactivé.

En effet tout paramètre a une valeur par défaut qu’il conserve s’il n’est pas

configuré. Pour modifier ce paramètre, vous avez le choix dans la plupart des

cas entre « Activé » ou « Désactivé » ce paramètre.

Exemple : Supprimer le menu Rechercher du menu Démarrer.

• Non configuré : Le menu Rechercher va s’afficher sauf si n’importe quelle autre

GPO spécifie le contraire.

• Activé : Le menu Rechercher va être supprimé sauf si une GPO ayant une

priorité plus importante spécifie le contraire.

• Désactivé : Le menu Rechercher va s’afficher sauf si une GPO ayant une

priorité plus importante spécifie le contraire.

3. Comment configurer les paramètres des GPO ?

3.2 Exemple de paramètre : la redirection des fichiers

Ce paramètre de stratégie de groupe permet de rediriger les dossiers sensibles de

l’utilisateur afin de centraliser sur un serveur les données et ainsi en faciliter

la sécurité et la sauvegarde.

Les dossiers pouvant être redirigés sont les suivants :

• Menu Démarrer : Permet de faire pointer le contenu du menu Démarrer de tous

les utilisateurs vers un contenu unique.

• Bureau : Permet de faire pointer le contenu du Bureau de tous les utilisateurs

vers un contenu unique.

• Mes documents : Permet de centraliser les données utilisateur sur un serveur de

fichiers pour que son contenu soit disponible quelque soit l’ordinateur sur

lequel on se connecte.

• Application Data : Contient les préférences applicatifs de certaines applications

qui peut être sauvegarder sur un serveur avec la réplication.

4. Quelques outils en lignes de commandes

4.1 GPUpdate

GPUpdate est un outil en ligne de commande qui permet de

rafraîchir instantanément l’application des stratégies de groupe

sur une machine cliente. En effet comme nous l’avons indiqué

précédemment, les ordinateurs clients depuis

Windows 2000 actualisent les GPO à des intervalles définis.

L’actualisation assure que les paramètres qui ont pu être modifiés

par un administrateur sont appliqués le plus tôt possible.

La syntaxe de GPudate est la suivante : gpupdate [/Target:

{Computer | User}] [/Force] [/Wait:valeur] [/Logoff]

[/Boot] [/Sync]

4. Quelques outils en lignes de commandes

4.2 GPResult

GPResult est un outil en ligne de commande dont

l’objectif est de permettre la visualisation des

stratégies effectives pour l’ordinateur où la commande

est tapée et pour un utilisateur spécifié.

La syntaxe de GPResult est la suivante : gpresult [/s

Ordinateur [/u Domaine\Utilisateur /p Mot de passe]]

[/user NomUtilisateurCible] [/scope {user|computer}]

[/v] [/z]

Le résultat ressemblera à celui là :

4. Quelques outils en lignes de commandes

4.3 Rapport des GPO

Grâce à la console Gestion de stratégie de groupe, il est possible

d’afficher un rapport par GPO permettant de visualiser

uniquement les paramètres qui ont été modifié, crée au

format HTML, il sera aussi enregistrable au format XML.

Dans la console Gestion de stratégie de groupe, il est possible

de lancer une simulation de déploiement de stratégie de

groupe ce qui va générer un rapport. Enfin des informations

sur le déploiement des GPO peuvent être récupérées dans la

GPMC dans le but de générer un rapport.

Merci pour votre

attention