Vous êtes sur la page 1sur 20

Implémentation

des stratégies de
groupe
Composants d’une stratégie de
groupe
 Les parametres d’une stratégie de groupe définissent des changements de
configuration spécifiques. Ils peuvent être appliqués aux utilisateurs ou aux ordinateurs
 Une GPO est un ensemble de paramètres de stratégie de groupe qui peuvent etre
appliqués à un utilisateur, à un ordinateur ou les deux
Stockage des GPO du domaine

 GPO
 Contient les paramètres de la stratégie de groupe
 Sauvegarde le contenu dans deux emplacements
 Conteneur de stratégie de groupe
 Stocké dans AD DS
 Fournit les informations de version
 Template de la stratégie de groupe
 Stocké dans le dossier partagé SYSVOL
 Fournit les paramètres de stratégie de groupe
Quelles sont les préférences de la
stratégie de groupe
 Utiliser les préférences de la stratégie de groupe pour :
 Configurer, déployer et gérer les opérations systèmes et les paramètres
des applications qui ne sont pas gérables à partir de la stratégie de
groupe (paramètres avancés)
 Applicable une fois au démarrage ou à l’ouverture de session, mis à jour
optionnellement à des intervalles définis
 Cible les utilisateurs ou les ordinateurs
 Permet de configurer plus de paramètres dans une GPO
Quelles sont les préférences de la
stratégie de groupe
 Les préférences de stratégie de groupe
 Ne peuvent pas être forcée
 Ne sont pas supprimés quand la GPO n’est pas appliquée
 Ne désactivent pas l’interface des paramètres : l’utilisateur peut
toujours les modifier
 Ne peuvent pas être utilisés dans le groupe de stratégie local
Qu’est ce qu’une GPO de
démarrage
 Une gpo de démarrage :
 Possède des paramètres de modèle administratif préconfiguré sur
lesquels la nouvelle GPO sera basée
 Peut être exportée sous forme de fichier .cab
 Peut être importée dans d’autres zones de l’entreprise
Délégation de la gestion des GPO
 La délégation des taches relatives aux GPO permet la repartition de
la tache de travail
 Les taches de stratégies de groupes suivantes peuvent être
déléguées de manière indépendante
 Création de GPO, y compris GPO de démarrage
 Editer une GPO
 Gérer les lien des stratégies de groupe pour un site, un domaine ou une
OU
 Effectuer des analysers de modélisation de stratégie de groupe dans un
domaine ou une OU
 Lire les données résultant d’une stratégie de groupe dans un domaine
ou une OU
 Créer un filtre WMI dans un domaine
Traitement d’une stratégie de
groupe
Lien GPO

 Quand vous liez une GPO rappelez vous que :


 Pour affecter des paramètres à un objet, la GPO doit être liée à un
conteneur
 La suppression d’un lien supprime les paramètres du conteneur
 la suppression du lien ne supprime pas la GPO
 Une GPO peut être liée à un site, un domaine ou une OU
 Une GPO ne peut pas être liée à un utilisateur, un groupe, un
ordinateur ou un conteneur système
Appliquer une GPO

 À l’application d’une GPO, il faut se rappeler que :


 Les paramètres de l’ordinateur s’appliquent au démarrage
 Les paramètres de l’utilisateur s’appliquent à l’ouverture de session
 La stratégie s’actualise régulièrement, l’intervalle est configurable
 Les parametres de sécurité sont actualisés au moins une fois toutes les
16 heures
 La stratégie est actualisée manuellement en utilisant
 La commande Gpupdate
 La cmdlet Invoke-Gpupdate (powershell)
 Depuis WinSRV2012, la fonctionnalité actualiser les stratégies distantes,
permet d’actualiser à distance les stragégies
Ordre de traitement des stratégies
de groupe
Qu’est ce que les GPO locales
multiples
 Stratégies de groupe locale multiples
 Avoir une configuration d’ordinateur qui s’applique sur l’ordinateur pour
tous les utilisateurs qui s’y log
 Avoir des couches de parametres utoilisateur qui ne peuvent
s’appliquer qu’à des utilisateurs individuels pas à des groupes
 Il existe trois couches de configuration utilisateurs
 Administrateur
 Utilisateur standard
 Utilisateur specific
Qu’est ce qu’une GPO par defaut

 Il existe deux GPO par défaut :


 Stratégie du domaine par défaut
 Utiliser pour définir les stratégies de compte du domaine
 Mot de passe
 Verrouillage de compte
 Protocole kerberso

 Stratégie par défaut du contrôleur de domaine


 Définit la stratégie d’audit
 Les droit d’utilisateur sur le contrôleur de domaine
GPO Security filtering

 Applique des permissions de stratégie de groupe


 La GPO possède une ACL
 Par defaut : un utilisateur authentifié est autorisé à lire et à appliqué la
stratégie de groupe
 Cibler des utilisateurs dans un groupe global ou universel
 Supprimer les utilisateurs authentifiés
 Ajouter les groupes appropriés (le groupe local du domaine ne peut
être ciblé)
 Ciblé des utilisateurs à l’exception de ceux du groupe selectionné
 Choisir le groupe approprié
 Appliquer la permission refuser l’application de la stratégie de groupe
Exercice
GPO1 : power option : eteindre
moniteur et disque après 30mn
et restreindre accès l’editeur
de registre

GPO2 : verouiller les pc de OU


sales et configurer les
imprimantes de cette OU

GPO3 configurer les options


d’alimentation pour les laptops

GPO4 configurer option


alimentation pour s’assurer que
le serveur n’ira jamais en mode
économie d’energie
Implémenter un stockage central
pour les modèles administratifs
Qu’est ce qu’un stockage central

 Le stockage central
 C’est un dépôt central pour les fichiers ADMX et ADML
 Il est stocké dans SYSVOL
 Doit être crée manuellement
 Il est détecté automatiquement par l’OS Windows
Qu’est ce qu’un modèle
administratif (template)
 Le modele administratif détermine quel paramètre doit apparaitre
et comment il est groupé dans la fenêtre editeur de gesion de la
stratégie de groupe
Comment fonctionnent les
modelés administratifs
 Changer les parametres de stratégie dans le nœud du modele
adeministratif change le registre
Paramètres de stratégie gérés et
non gérés
 Parametres de stratégie gérés
 Interface d’utilisateur verrouille : l’utilisateur ne peut pas modifié les
paramètres
 Le changement se fait dans l’une des quatre clés de registre
 Les changements et le verrouillage sont supprimer des que l’ordinateur
/utilisateur est hors de portée
 Parametres de stratégie non gérés
 UI non verrouillée
 Changement persistât : registre tattoué
 Seul les paramètres gérés sont visibles par défaut
 Activer le filtre pour voir mes paramètres non gérés