INTRODUCTION

Les stratégies de groupes sont des ensembles de paramètres qui s'appliquent aux utilisateurs
et ordinateurs. Elles permettent de gérer plus facilement la sécurité d'un poste ou de
plusieurs postes dans un Domain. Les GPO ne s'appliquent pas aux groupes, mais comme dit
précédemment aux postes et utilisateurs, qui se trouvent dans un conteneur ou une UO
(Unité Organisation). Pour exploiter pleinement les stratégies de groupe, il est nécessaire de
le faire dans un environnement Active Directory.

Il est évidemment possible d’utiliser les stratégies locales sur un parc informatique dont les
ordinateurs sont reliés par un Workgroup. Cependant, l’utilisation des stratégies de groupe
dans un environnement Active Directory représente l’exemple le plus répandu au sein des
entreprises disposant d’architectures Microsoft.

Gérer les stratégies locales de chaque poste de travail d’une organisation demande beaucoup
de travail ainsi qu’une gestion décentralisée des informations. Lorsqu’une modification est
faite concernant les politiques de stratégie de groupe, il faut effectuer les mises à jour sur
chaque poste de travail concerné. Si le Workgroup possède un nombre élevé d’ordinateurs,
le travail des administrateurs prend tellement de temps pour effectuer des tâches répétitives
qu’il en perd pratiquement son intérêt.

Ainsi, l’utilité du déploiement des GPO dans un domaine Active Directory est
incomparablement plus importante qu’au sein d’un Workgroup.

Lorsque l’entreprise connecte ses ordinateurs à travers un domaine, les GPO

s’appuient sur Active Directory et la console de gestion des stratégies de groupe pour
fonctionner.

1. Objectif
Dans cette procédure, nous allons montrer comment mettre en place des GPO en
français : Objets de Stratégies de Groupe.

2. Définition

Les GPO (Group Policy Object) sont des objets Active Directory qui définissent les droits des
utilisateurs. Ce sont des stratégies de groupes. Les G.P.O sont applicables aux Sites,
Domaines et OU.

3. Prérequis
Pour réaliser cette procédure, nous avons besoin des éléments suivants :
OS du serveur OS du client C/S
Windows Server 2008 Windows 7 S

4. LES DIFFERENTS TYPES DE GPO RENCONTRES

Il existe trois catégories de GPO :
  La stratégie unique : les GPO créés ne porte que sur un seul type de paramètres de
stratégie de groupe. Ex : seul les paramètres de sécurité sont concernés.
 La stratégie multiple : les GPO créés influent sur plusieurs types de paramètres de
stratégie de groupe. Ex : paramètres de sécurité et de script
 La stratégie dédiée : les GPO créés portent sur les stratégies de groupe de
configuration, soit de l'ordinateur, soit de l'utilisateur.

I. Active Directory, une étape primordiale

Les stratégies de groupe fonctionnent en corrélation étroite avec Active Directory. C’est
dans l’Active Directory que sont liées les GPO pour s’appliquer ensuite sur les postes
clients.

La structure de l’Active Directory d’une entreprise, et plus particulièrement la structure des

Unités d’Organisation, définit la façon dont il est possible de gérer les GPO.

La constitution de l’architecture Active Directory détermine la logique de création des

stratégies de groupe. Il est intéressant de disposer d’un Active Directory scindé et organisé
en concordance avec les différents secteurs d’activités de l’entreprise. Dans cette hypothèse,
il sera plus facile de générer des stratégies de groupe orientées vers les besoins des
utilisateurs et de les lier aux Unités d’Organisation correspondantes.

Il est recommandé également de maintenir la simplicité dans l’organisation des Unités

d’Organisation. Une structure simple et compréhensible facilite la gestion des stratégies de
groupe.

II. Mise en oeuvre

Gérer les stratégies de site, de domaine et d’unité d’organisation Lorsque vous déployez les
Services de domaine Active Directory, vous pouvez faire appel à la Stratégie de groupe
Active Directory.

Chaque site, domaine ou OU peut avoir une ou plusieurs stratégies de groupe. Les stratégies
de groupe de la liste Stratégie de groupe sont listées par priorité décroissante, de manière à
garantir l’application correcte des stratégies dans l’ensemble des sites, domaines et OU
concernés. Stratégies par défaut et de domaine Si on travaille avec la Stratégie de groupe
basée sur Active Directory, on verra que chaque domaine de votre organisation possède
deux GPO par défaut :

GPO Default Domain Controllers Policy GPO par défaut créé pour et associé à
l’OU Contrôleurs de domaine. Cet objet s’applique à tous les contrôleurs de domaine d’un
domaine, tant qu’ils ne sont pas supprimés de cette OU. Il sert à gérer les paramètres de
sécurité des contrôleurs de domaine d’un domaine.

GPO Default Domain Policy GPO par défaut créé pour et associé au domaine au
sein d’Active Directory. Cet objet permet d’établir les bases d’un ensemble varié de
paramètres de stratégie qui s’appliquent à tous les utilisateurs et les ordinateurs d’un domaine.
Généralement, le GPO Default Domain Policy est l’objet prioritaire associé au niveau du
domaine et le GPO Default Domain Controllers Policy l’objet prioritaire associé au conteneur
Contrôleurs de domaine.

Il est possible de relier d’autres GPO au niveau du domaine et au conteneur Contrôleurs de

domaine. Ce faisant, les paramètres du GPO prioritaire vont remplacer ceux des GPO de
moindre priorité. Ces objets ne sont pas conçus pour la gestion générale de la Stratégie de
groupe. Le GPO Default Domain Policy ne sert qu’à gérer les paramètres de stratégies de
comptes par défaut et, en particulier, trois zones spécifiques des stratégies de comptes : la
stratégie de mot de passe, la stratégie de verrouillage du compte et la stratégie Kerberos. Il
existe également quatre options de sécurité qui se gèrent par le biais de ce GPO: Comptes:
Renommer le compte Administrateur, Comptes: Renommer le compte Invité, Sécurité
réseau : Forcer la fermeture de session quand les horaires de connexion expirent et Accès
réseau : Permet la traduction de noms/ SID anonymes. Pour remplacer ces paramètres, il est
possible de créer un nouveau GPO avec les paramètres de remplacement et de l’associer au
conteneur de domaine avec une priorité plus élevée.

Le GPO Default Domain Controllers Policy contient des paramètres d’Options de sécurité
et d’attribution des droits utilisateurs spécifiques qui limitent les usages des contrôleurs de
domaine. Pour remplacer ces paramètres, on crée un nouveau GPO avec les paramètres de
remplacement et on l’associe au conteneur Contrôleurs de domaine avec une priorité plus
élevée. Pour gérer les autres zones de la stratégie, vous devez créer un nouveau GPO et
l’associer au domaine ou à une OU du domaine. Les stratégies de groupe pour le site, les
domaines et les OU sont placées dans le dossier %SystemRoot%\Sysvol\Domain\Policies
des contrôleurs de domaine.

Ce dossier contient un sous-dossier pour chaque stratégie définie sur le contrôleur de

domaine. Le nom de ce dossier est un GUID (Global Unique Identifier). Le GUID de la
stratégie apparaît dans la page des propriétés de la stratégie, dans l’onglet Général. Dans
chaque sous-dossier de stratégie existent les sous-dossiers suivants : Machine Stocke les
scripts d’ordinateurs du dossier Script et les informations de stratégie du Registre pour
HKEY_LOCAL_MACHINE (HKLM) dans le fichier Registry.pol. User Stocke les scripts
d’utilisateurs du dossier Script et les informations de stratégie du Registre pour
HKEY_CURRENT_USER (HKCU) dans le fichier Registry.pol.

Attention Ne pas modifiez directement ces dossiers et fichiers : utilisons les fonctions
appropriées de la console Stratégie de groupe.

1. Démonstration sur la gestion des stratégies de groupe

- Tout d’abord, l’administrateur doit se rendre dans le menu « Démarrer », ensuite,
dans« Outils d’administration » et « Gestion des stratégies de groupe » et voyons
l’arborescence du serveur et une GPO créée par défaut « Default Domain Policy » :
Ensuite, nous devons nous rendre dans « Objets de stratégie de groupe » pour voir les
GPO créées, faisons un double clic sur la GPO « Default Domain Policy » et allons dans
les paramètres :

3. Modifications des paramètres de la GPO créée par défaut

- Nous sélectionnons la GPO « Default Domain Policy » pour visualiser un tableau avec
tous les paramètres en cliquant sur l’onglet « Paramètres » pour ainsi appliquer un ou
plusieurs paramètres pour tous les utilisateurs :

Pour ce faire, nous faisons un clic droit sur la GPO, « Modifier » et choisissons, par
exemple, « Configuration ordinateur », « Paramètres Windows » et « Paramètres de
sécurité » :
Par exemple, nous allons appliquer des restrictions pour les comptes utilisateurs. Po
ce faire, nous cliquons sur « Stratégies de comptes » :

- Et, par exemple, nous allons dans « Stratégie de verrouillage du compte » et voici les
différents paramètres :

Par exemple nous allons appliquer des restrictions pour les, compte utilisateur
Pour se faire, nous cliquons sur (stratégie de compte)

- Nous allons modifier les paramètres suivants :

Durée de verrouillage des comptes de 30 minutes :
- Nous allons dans les propriétés du paramètre, cochons la case « Définir ce paramètre
de stratégie », définissons le temps de verrouillage du compte et validons :
- Ici, nous proposons à l’administrateur des modifications pour les valeurs. Nous
cliquons directement sur « OK » :

- Ensuite, nous validons :

- Nous constatons que les valeurs ont bien été prises en compte :
3 tentatives d’ouvertures de session non valides :
- Pour ce faire, nous faisons de même que pour la durée de verrouillage de compte.
Nous allons dans les propriétés et définissons le nombre de saisies de mot de passe
non valides et appliquons ces modifications :

- Ensuite, nous pouvons visualiser les paramètres modifiés et constatons que les
paramètres de stratégie de comptes des utilisateurs ont bien été pris en compte :

3.
Création d’une nouvelle GPO
Ici, par exemple, nous allons créer une GPO pour empêcher l’accès au panneau de
configuration aux utilisateurs.
- Nous faisons un clic droit sur le nom du domaine et cliquons sur « Créer un objet GPO
dans ce domaine » :

- Nous donnons à la GPO, validons et constatons que la GPO a bien été créée :
Pour empêcher l’accès au panneau de configuration, nous faisons un clic droit sur la
nouvelle GPO et « Modifier »

Comme sur la GPO par défaut, nous pouvons choisir tous les paramètres à exécuter
pour les utilisateurs. Ici, par exemple, nous allons bloquer l’accès au panneau de
configuration. Pour ce faire, nous allons dans « Configuration utilisateur »,
« Stratégies », « Modèles d’administration » et « Panneau de configuration »

- Nous allons dans les propriétés du paramètre « Empêcher l’accès au panneau de

configuration », cochons la case « Activé » et appliquons les modifications :
- Nous retournons sur les paramètres de la GPO et constatons que le paramètre est bien
activé :

- Nous cliquons sur la nouvelle GPO créée, un message s’affiche à l’écran et cliquons sur
« OK » :

- Nous pouvons remarquer que le paramètre

appliqué dans la GPO « Panneau de
configuration » est bien activé
4. Test sur une machine cliente
Pour tester les modifications des stratégies de groupe sur une machine cliente, nous
devons connecter un utilisateur sur sa session pour vérifier les restrictions d’accès.

a) Connexion au compte utilisateur

Si l’utilisateur tente de saisir un mauvais mot de passe au bout de 5 fois, son compte
est automatiquement verrouillé. Ici, dès que l’utilisateur a réalisé ce test, un message
indique
que son compte est verrouillé. Si l’utilisateur ressaisit son bon mot de passe, il ne pourra
toujours pas se connecter sur sa session. Pour régler ce problème, nous devons nous rendre
sur son compte utilisateur sur le serveur et déverrouiller son compte. Donc, nous pouvons
voir
que ce paramètre a bien été pris en compte dans les restrictions de tous les comptes
utilisateurs :

b) Blocage de l’accès au panneau de configuration

- Pour tester que le blocage de l’accès au panneau de configuration à l’utilisateur, nous
Allons dans « Ouvrir le Centre Réseau et partage » et voici le message qui s’affiche à
l’écran :
IV Conclusion
En conclusion, nous pouvons dire que les paramètres des GPO sont fonctionnels et
permettent d’appliquer des restrictions d’accès pour les ordinateurs et les utilisateurs.