Vous êtes sur la page 1sur 21

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine)

par Olivier Rabache

Date de publication : 10 janvier 2008 Dernire mise jour :

Avant de lire ce tutorial, il est prfrable d'avoir des connaissances de base sur le fonctionnement d'Active directory ainsi que la cration d'unit Organique (UO) et la cration d'utilisateurs au sein de ces mmes UO. Pour l'exemple principal, il faut savoir crer un utilisateur avec un rpertoire de mapper. Pour les tests eux mmes, il n'est pas utile d avoir un serveur,des postes, etc...Pensez virtuel. Personnellement, j'utilise Virtual pc, mais VMWare ou Virtualbox font aussi bien.. Donc montez un serveur et un poste client.

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

I - Gnralits 2 - Cration d'une GPO 3 - Conclusion 4 - Remerciement

-2Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

I - Gnralits
Les stratgies de groupes sont des ensembles de paramtres qui s'appliquent aux utilisateurs et ordinateurs. Elles permettent de grer plus facilement la scurit d'un poste ou de plusieurs postes dans un Domain. Les GPO ne s'appliquent pas aux groupes, mais comme dit prcdemment aux postes et utilisateurs, qui se trouvent dans un conteneur ou une UO (Unit Organisation). Elles permettent titre d'exemples de rediriger le dossier Mes Documents, de dployer des Logiciels en fonction des services d'une entreprise ou des utilisateurs. En rsum les GPO sont la pour vous simplifier la vie, et surtout l'administration de votre Domain. Les GPO existent ds la cration d un Domain, c'est la que sont inscris les diffrents fonctionnements du Domain.(j entends par fonctionnement, les stratgies qui sont appliques au Domain, dure du mot pas , complexit, etc...) Il en existe deux types la cration du Domain.

1) Default Domain Policy : Li au Domain, et qui rgit le fonctionnement des postes et des utilisateurs.

2) Default Domain Controler Policy : Li au Contrleur de Domain, et rgit les fonctionnements de celui-ci

Pour rappel : un contrleur de Domain est insr dans le conteneur Domain contrleur, les postes et utilisateurs dans les conteneurs Computers et Users. Si vous placez un poste dans le conteneur Domain Controler, ce poste serait affect par les stratgies des contrleurs de Domain).

-3Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

Les GPO s appliquent au niveau du site, du Domain et des UO. Je ne parlerai que du Domain et des UO pour l'instant. On peut avoir autant de GPO que dsires. L'ordre d excution d une GPO est du bas vers le haut, ce qui signifie qu'en cas de conflit, c'est la stratgie la plus haute qui sera applique. Les stratgies tant appliques diffrents niveaux (site, Domain, OU, local), elles sont toutes applique si il n y a pas de conflits, dans le cas contraire c'est toujours la plus proche de l'utilisateur qui est appliques donc au niveau de l'OU.

-4Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

Exemple de Priorit

-5Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

2 - Cration d'une GPO


Il existe plusieurs faons de crer une GPO, soit en passant par la console utilisateur Active Directory, en crant une MMC (Microsoft Management Console) et pour finir GPMC, une nouvelle console qui prend en charge beaucoup plus de possibilites que les deux autres. Ceci fera l objet d un autre tutorial). Dans cette exemple nous crerons d'abord une UO test et un utilisateur (Eva par exemple) . Les membres de cette UO se verront affecter une GPO de redirections de Mes Documents sur un rpertoire partage du serveur.(Cet exemple suppose que vous savez cre une UO et un utilisateur de base avec un dossier de base mapper). Je ne rentrerai pas dans les dtails de la redirection, ce n'est pas le but de ce dossier. Donc la redirection sera classique et se fera sur le rpertoire de base de l utilisateur..

Creation GPO 01

-6Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

1) Ouvrir La console utilisateurs et ordinateurs Active directory. 2) Sur votre UO test faites un click droit puis proprits 3) Cliquer sur Nouveau ce qui cre une nouvelle GPO que vous nommerez " Redirection Mes Documents "

Creation GPO 02 Une fois cela fait, click droit sur Redirection Mes Documents, et faites Modifier, ce qui a pour effet d'ouvrir la console GPEDIT

-7Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

Creation GPO 03

-8Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

Creation GPO 03 Bis

On constate sur la figure ci-dessus, que les stratgies s'appliquent aux ordinateurs et aux utilisateurs. On peut mlanger les deux, mais je ne le conseille pas,Mais ce n'est que mon avis...

4) Dployer Configuration Utilisateur, puis Paramtre Windows et enfin Redirection Des Dossiers. 5) Clique droit pour afficher proprits. 6) Dans l'onglet cible paramtre ,utilisez " de base,Rediriger les de tout le monde vers le mme emplacement " 7) Emplacement cible, vous choisissez " rediriger vers le rpertoire d'accueil de l'utilisateur "

-9Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

Creation GPO 04

- 10 Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

Creation GPO 05

8) Sur l'onglet paramtre choisissez les options suivantes

- 11 Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

Creation GPO 06 Je pense qu'il est inutile de les dtailler. Apres avoir fait appliquer et fermer la console nous nous retrouvons ici

- 12 Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

Creation GPO 07 Nous allons maintenant dtailler certaines des diverses possibilits de la GPO, les autres parlant d'elles-mmes

Option : Ne pas passer outre : Cette exception va empcher qu'une GPO plus proche de l'objet utilisateur ou ordinateur ne prime sur une GPO plus loigne. Ceci pour but de ne pas tenir compte de l'ordre d execution des strategies (cf voir plus haut)

- 13 Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

Option des onglets Dsactive : La GPO n'est pas applique Supprimer : Supprime la stratgie au niveau de l'UO ou la supprime dfinitivement du Domain. Lorsqu'une GPO est supprime d'un conteneur, celle-ci existe toujours et peut tre utilise par une autre OU.(voir chapitre suivant). Donc lors d une suppression faites bien attention ne pas vous tromper

- 14 Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

Option des onglets Proprit :Le bouton proprit nous ouvre une console avec quatre onglets Gnral, liaison, scurit et filtre WMI. Je passerai les 3 premiers qui sont faciles comprendre pour ne m'intresser qu'au dernier. Les filtres WMI permettent d'appliquer une GPO en fonction de certains critres. Supposons que dans une UO vous avez des postes 2000 et XP. Vous pouvez spcifier que seul les postes XP seront affects par cette stratgie ou que seul les postes disposant du capacits superieur 20 GIGA de libre peuvent installer tel logiciel. Les filtres WMI permettent un filtrage supplmentaires au niveau de la GPO sur des postes ou utilisateurs.Ce sont des requete de types SQL

- 15 Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

Option des onglets 2a) Ajout d une stratgie existante :

Prenons, par exemple, deux UO d'un domaine (Programmeur et design) , tout les utilisateurs des deux UO doivent avoir accs un mme partage sur le serveur (\\serveur\developpement). Il serait long de faire un mappage sur chaque poste, et pour chaque utilisateur. Donc j'ai recours une GPO, que nous nommons " partagedev ". Je cre un petit Batch " net use z : \\serveur\dveloppement ".Je mets le script dans ma GPO au niveau de l ouverture de session dans le logon des utilisateurs et l'applique l'OU programmeur. Vais- je devoir refaire la mme chose pour l'OU design#.H bien non !!! Je n'ai cas lier ma GPO " partagedev " l'OU design.. Il y a trois onglets, le premier concerne les GPO du Domain et UO du Domain, le second celle du site et la dernire les liste toutes.

- 16 Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

Ajout d'une GPO Je slectionne mon UO design, je fais ajouter,Je vais soit sur Domain/unit d'organisation ou dans Tous. Je slectionne Partagedev , je valide,et mon OU design se voit ajoute ma GPO.

2b) Hritage des stratgies. Par dfaut, les stratgies sont hrites du parent. Cet dire qu'une UO qui n'aurait pas de GPO affecte se voit quand mme attribuer des scurits Par exemple celle du Domain ou du site voir celle d une UO suprieure. Donc si vous ne voulez pas que des stratgies soit appliques, vous la bloquez. Il ne s'agit pas d'un blocage slectif, vous bloquez toutes les stratgies du parent, donc par consquences celle du Domain. 2 c) Application de la stratgie au Domain Lorsque vous crez ou liez une stratgie celle-ci n'est pas appliques de suite. L'actualisation des stratgies est effectue toutes les 90 minutes. Il y a une possibilit de rduire ce temps en se servant des commandes suivantes : Windows 2000 Secedit /refreshpolicy Machine_Policy /enforce Utilisateurs Gpupdate /Force Secedit /refreshpolicy User_Policy /enforce Il existe aussi une autre commande qui permet de vrifier si les stratgies sont bien appliques. Ordinateurs Windows 2003/XP Gpupdate /Force

- 17 Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

Gpresult [/s ordinateur {user|computer}] [/v] [/z].

[/u

domaine\utilisateur

/p

mot_de_passe]]

[/user

NomUtilisateurCible]

[/scope

Pour avoir le dtail de ces paramtres faites gpresult / ?

- 18 Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

3 - Conclusion
Je pense que nous avons vu l'essentiel du fonctionnement et de la mise en place d'une stratgie de scurit. Il existe des combinaisons importantes de possibilits mettre en oeuvre avec les GPO.Il ne tient qu' vous de les tester. Les GPO faciliteront la gestion de vos postes et utilisateurs, diminueront le temps pass installer des logiciels par exemple. Il existe plusieurs outils graphique ou en lignes de commande, je ne citerai que GPMC ,cette nouvelle console permet de grer plus facilement vos GPO, d'avoir un rapport dtaills sur celle-ci, ce qui est avantageux lorsque l'on rcupre un Domain sans suivi. GPMC permet de faire des sauvegardes, et d'exporter vos stratgies en supprimant le SID afin de les utiliser dans d'autres Domain. J'ai volontairement omis certains dtails sur les stratgies de groupes car cet article n'a pas pour but d'expliquer en profondeur le mcanisme de celle-ci. Je pense avant toutes choses qu'il est important de tester vos GPO avant de les dployer. Donc il est prfrable d'avoir un laboratoire de tests, virtuel ou non.

- 19 Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

4 - Remerciement
Je tiens remercier Pedro ,Auteur,Buchs et Louis-Guillaume Morand pour la correction de cet article et de leurs conseils pour la mise en page, ainsi que toutes les personnes qui m'ont aider mettre en place mon premier article travers mes differents posts sur le forum. Je remercie galement Ridan pour ma page d'accueil.

- 20 Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/

Les GPO(Les Securits De Groupes:Ou comment simplifier la gestion des scurits de vos postes dans un Domaine) par Olivier Rabache

- 21 Ce document est issu de http://www.developpez.com et reste la proprit exclusive de son auteur. La copie, modification et/ou distribution par quelque moyen que ce soit est soumise l'obtention pralable de l'autorisation de l'auteur.
http://orabache.developpez.com/articles/gpo/