Vous êtes sur la page 1sur 9

WINDOWS SERVER 2008 : ADMINISTRATION DE BASE CLIENT / SERVEUR

IX. LES STRATEGIES DE GROUPE (GPO)

1. Définitions – les différentes stratégies

Une stratégie de groupe (ou GPO – Group Policies Objet) est un ensemble d'éléments de configuration de Windows (sous différentes versions et service pack) et de logiciels s'appliquant à des ordinateurs, des utilisateurs ou des groupes d'utilisateurs permettant d'autoriser ou d'interdire certaines actions ou de configurer des paramètres d'utilisation.

Il existe par défaut une stratégie de groupe locale sur chaque ordinateur Windows 2000, 2003 ou XP non contrôleur de domaine.

Une stratégie de groupe des contrôleurs de domaine par défaut est aussi définie concernant l'ensemble des contrôleurs Windows 2000 ou 2003 du domaine.

Enfin, une stratégie de groupe du domaine par défaut est définie à l'échelle du domaine concernant toutes les machines Windows 2000, 2003 ou XP Professionnel.

Ces trois stratégies sont définies, dans cet ordre, de la moins prioritaire à la plus prioritaire.

Un administrateur pourra créer des stratégies de groupe à destination d'ordinateurs, d'utilisateurs ou de groupes d'utilisateurs et les interclasser par ordre de priorité avec les stratégies par défaut.

Toutes les modifications réalisées sont automatiquement déployées sur le domaine en temps réel.

Les outils d'administration proposent un raccourci vers un sous-ensemble de chacune des stratégies du domaine dédié à la gestion de la sécurité. Ces sous-ensemble sont appelés « stratégie de sécurité » :

-

Stratégie de sécurité locale : Utilisée pour configurer les paramètres de sécurité pour l'ordinateur local.

-

Stratégie de sécurité du contrôleur de domaine : Utilisée pour configurer les paramètres de sécurité pour les contrôleurs du domaine.

-

Stratégie de sécurité du domaine : Utilisée pour configurer les paramètres de sécurité du domaine.

2.

Présentation des stratégies de groupe du TP

Nous allons créer trois stratégies de groupes au niveau du domaine, qui seront appliquées de manière ciblée aux différents groupes que nous avons créés (Direction, Secrétariat et Développement).

La stratégie de groupe nommé « Strat_Direction » s’applique au groupe « Direction » et est composée de la restriction suivante :

- Empêcher l’accès au panneau de configuration ;

La stratégie de groupe « Strat_Secrétariat » s’applique au groupe « Secrétariat » et est composée des restrictions suivantes :

- Empêcher l’accès au panneau de configuration ;

WINDOWS SERVER 2008 : ADMINISTRATION DE BASE CLIENT / SERVEUR

- Suppression du menu « exécuter » dans le menu Démarrer ;

- Suppression des connexions réseau dans le menu démarrer

La stratégie de groupe « Strat_Developpement » s’applique au groupe développement et est composé des restrictions suivantes :

-

Activation des quotas de disque ;

-

Désactivation de l’accès à la base de registre ;

3.

Création des stratégies de groupes

Pour créer la stratégie de groupe « Strat_Direction », procéder comme suit :

- Aller dans le menu « Démarrer », « Outils d’administration », « Gestion des stratégies de groupes ».

- Ouvrir l’arborescence du domaine « domaine_sen.local », faites un clique droit sur « Objet de stratégies de groupe » et sélectionner « Nouveau » :

de stratégies de groupe » et sélectionner « Nouveau » : - Donner le nom Strat_Direction

- Donner le nom Strat_Direction à la stratégie et valider :

le nom Strat_Direction à la stratégie et valider : - Pour définir les paramètres de cette

- Pour définir les paramètres de cette nouvelle GPO, faites un clique droit dessus et sélectionner « modifier » :

de cette nouvelle GPO, faites un clique droit dessus et sélectionner « modifier » : LYCEE

WINDOWS SERVER 2008 : ADMINISTRATION DE BASE CLIENT / SERVEUR

L’éditeur des stratégies de groupes s’ouvre. Il est composé de deux grandes parties :

- Configuration de l’ordinateur : Elle définit le comportement du système d’exploitation et d’une partie du bureau et la configuration de la sécurité ;

- Configuration utilisateur : Elle définit la configuration des applications, les options d’applications affectées et publiées et enfin les paramètres du bureau. Elle intervient dans le déploiement d’applications ou de scripts.

dans le déploiement d’applications ou de scripts. Développer l’arborescence de la « Configuration

Développer l’arborescence de la « Configuration utilisateur », « Stratégies », « Modèle d’administration » et sélectionner « Panneau de configuration ». A droite se trouve la stratégie « Empêcher l’accès au panneau de configuration » :

». A droite se trouve la stratégie « Empêcher l’accès au panneau de configuration » :

WINDOWS SERVER 2008 : ADMINISTRATION DE BASE CLIENT / SERVEUR

Faites un clique droit sur « Empêcher l’accès au panneau de configuration », et cliquer sur

« Propriétés ». Cliquer sur « Activer » et valider :

« Propriétés ». Cliquer sur « Activer » et valider : Vous pouvez à présent fermer

Vous pouvez à présent fermer la fenêtre de l’éditeur des stratégies.

Créer par vous-même les deux autres stratégies de groupe : « Strat_Secrétariat » et

« Strat_Développement ».

4. Liaison des stratégies de groupe au domaine

Les stratégies de groupe étant créées, il faut maintenant les lier au domaine

« domaine_sen.local ». Pour cela, procéder comme suit :

- Ouvrir le gestionnaire de stratégies de groupe ;

- Ouvrir l’arborescence de la foret « domaine_sen.local » et cliquer droit sur « domaine_sen.local ». Sélectionner « Lier un objet de stratégie de groupe existant » :

« domaine_sen.local ». Sélectionner « Lier un objet de stratégie de groupe existant » : LYCEE

WINDOWS SERVER 2008 : ADMINISTRATION DE BASE CLIENT / SERVEUR

- Dans la liste, sélection les stratégies de groupes à lier au domaine et valider
-
Dans la liste, sélection les stratégies de groupes à lier au domaine et valider :
-
Les stratégies liées au domaine « domaine_sen.local » sont maintenant visibles et
activées par défaut :
5.
Application des Stratégies de groupe

Pour appliquer la GPO « Strat_Direction » au groupe « Direction », procéder comme suit :

- Ouvrir le gestionnaire de stratégies de groupe ;

- Afficher les objets de stratégies de groupe :

de groupe ; - Afficher les objets de stratégies de groupe : - Double cliquer sur

- Double cliquer sur la stratégie de groupe « Strat_Direction »

WINDOWS SERVER 2008 : ADMINISTRATION DE BASE CLIENT / SERVEUR

- Dans la partie « Filtrage et sécurité », cliquer sur le bouton « Ajouter » :

et sécurité », cliquer sur le bouton « Ajouter » : - Entrer « Direction »

- Entrer « Direction » et cliquer sur « Vérifier les noms ». Enfin, cliquer sur « OK » :

sur « Vérifier les noms ». Enfin, cliquer sur « OK » : La stratégie s’appliquera

La stratégie s’appliquera maintenant à tous les utilisateurs du groupe « Direction » :

: La stratégie s’appliquera maintenant à tous les utilisateurs du groupe « Direction » : LYCEE

WINDOWS SERVER 2008 : ADMINISTRATION DE BASE CLIENT / SERVEUR

- Le problème est qu’elle s’appliquera également aux autres utilisateurs car les « Utilisateurs authentifiés » sont sélectionnés… Afin de remédier à ce problème, supprimer la ligne « Utilisateurs authentifiés » :

supprimer la ligne « Utilisateurs authentifiés » : Appliquer les autres stratégies de groupes aux groupes

Appliquer les autres stratégies de groupes aux groupes restants.

6. Test de l’application des stratégies de groupes

Afin de tester que les stratégies sont bien appliquées, démarrer une session sur le poste client sous l’utilisateur Bill Gates.

Vérifier que vous n’avez pas accès au panneau de configuration.

Si la stratégie n’a pas été appliquée, lancer une commande DOS (« Damarer », « Exécuter ») et taper « gpupdate /force ». Redémarrer l’ordinateur et tester de nouveau.

Effectuer les tests similaires pour les autres stratégies de groupes, en vous connectant avec les utilisateurs adéquates.

7. Exécution d’un script à l’ouverture d’une session à l’aide d’une GPO

Nous allons créer une GPO permettant d’afficher une fenêtre avec un message de bienvenue pour les utilisateurs du groupe « Direction ».

Pour cela :

- Editer la stratégie de groupe « Strat_Direction »

- Aller dans « Configuration Utilisateur », « Paramètres Windows », « Scripts (Ouverture / Fermeture de session) » et double cliquer sur « Ouverture de Session » à droite :

/ Fermeture de session) » et double cliquer sur « Ouverture de Session » à droite

WINDOWS SERVER 2008 : ADMINISTRATION DE BASE CLIENT / SERVEUR

- Cliquer sur « Ajouter » et « Parcourir » :

/ SERVEUR - Cliquer sur « Ajouter » et « Parcourir » : - Faites un

- Faites un clique droit et sélectionner « Nouveau document texte » :

clique droit et sélectionner « Nouveau document texte » : - Donner le nom « script_direction

- Donner le nom « script_direction » à votre document. Modifiez-le et modifiez l’extension en « .vbs » avant de le sauvegarder. Effacer le document texte restant :

l’extension en « .vbs » avant de le sauvegarder. Effacer le document texte restant : LYCEE

WINDOWS SERVER 2008 : ADMINISTRATION DE BASE CLIENT / SERVEUR

- Editer le script et entrer le code suivant :

MsgBox "Bonjour Bill "

- Enregistrer et tester l’exécution du script lors de l’ouverture de la session par Bill GATES.