Académique Documents
Professionnel Documents
Culture Documents
Les stratégies
de groupe (GPO) sous
Windows Server 2008
Implémentation,
fonctionnalités, dépannage
Collection
Expert IT
Extrait
207
Chapitre 6
Stratégies de groupe et sécurité
1. Introduction
Dans le domaine informatique, la sécurité est un des éléments les plus sen-
sibles. Le terme sécurité est large et il englobe une multitude de concepts.
La sécurité physique des données de l'entreprise, l'intégrité des données
informatiques, leur disponibilité et leur sauvegarde contribuent au main-
tien de l'existence de l'entreprise. La majorité des réseaux d'entreprise sont
aujourd'hui connectés à Internet. Il existe deux grandes catégories : la sécu-
rité domestique et la sécurité extérieure.
La sécurité domestique relève de toutes les manipulations maladroites ou
intentionnelles qui peuvent nuire à l'intégrité du réseau local. La sécurité
extérieure doit empêcher les attaques, virus et autres programmes malveil-
lants d'agir. Ceux-ci sont majoritairement issus de l'extérieur de l'entreprise.
Ces intrusions proviennent le plus souvent d'Internet ou de supports
amovibles.
Maîtriser les stratégies de groupe dans les environnements Windows, c'est
augmenter la capacité de sécurisation de l'entreprise. D'innombrables para-
mètres de stratégies liées à la sécurité des postes de travail et des serveurs
ainsi que des données du réseau sont configurables avec les GPO.
208 Les stratégies de groupe (GPO)
sous Windows Server 2008
Les politiques de sécurité varient d'une organisation à une autre, selon les
besoins définis et l'activité de celles-ci. Une fois le niveau de sécurité déter-
miné, il est possible de configurer les stratégies de groupe correspondantes.
Lister et détailler toutes les options de sécurité et leur impact n'est pas
l'objet de cet ouvrage. Nous allons plutôt nous concentrer sur les éléments
principaux inhérents à la sécurité de Windows grâce aux stratégies de
groupe.
Dans ce chapitre, nous présenterons les paramètres de sécurité considérés
comme les plus importants. Nous expliquerons leurs actions et explorerons
les différents niveaux des stratégies de sécurité.
n Remarque
Attention : si l'intégrité des stratégies de groupe Default Domain Policy et
Domain Controllers Policy est altérée, il est très difficile de revenir en
arrière !
n Remarque
Ces paramètres de stratégie ne fonctionnent que s'ils sont appliqués au
domaine entier.
Pour effectuer une restauration des stratégies de domaine par défaut, il faut
être connecté au serveur contrôleur de domaine principal avec les droits
d'administration requis.
Une fois authentifié, éditez une fenêtre de commande DOS et tapez la
commande DCGPOFIX en choisissant un des paramètres suivants :
DCGPOFIX /Target:Domain pour restaurer la Default Domain Policy.
DCGPOFIX /Target:DC pour restaurer la Default Domain Controllers
Policy.
DCGPOFIX /Target:BOTH pour restaurer les deux.
Toutefois, DCGPOFIX ne fonctionne pas si le schéma Active Directory a
subi des modifications depuis l'installation du contrôleur de domaine.
Dans ce cas, utilisez la commande suivante :
GPOFIX /ignoreschema pour ignorer les modifications du schéma.
n Remarque
Astuce : pour restaurer les GPO par défaut d'un contrôleur de domaine
Windows Server 2000, vous pouvez télécharger l'outil RecreateDefPol sur le
site de Microsoft.
Collection
Expert IT
Extrait
201
Chapitre 5
Mise en place des services
réseaux d'entreprise
1. Introduction
Ce chapitre est consacré à la définition et la configuration des composants néces-
saires au bon fonctionnement d'un réseau d'entreprise basé sur Windows
2008/2008 R2.
Les composants IP, DNS, DHCP, WINS, ainsi que la mise en place de la quaran-
taine réseau sur DHCP, IPSEC et 802.1x seront abordés.
2.2.1 Définition
Le protocole DHCP (Dynamic Host Configuration Protocol) a pour but de fournir une
adresse IP et un masque à tout périphérique réseau (station, serveur ou autre) qui
en fait la demande. Selon la configuration, d’autres paramètres tous aussi impor-
tants seront transmis en même temps : les adresses IP de la route par défaut, des
serveurs DNS à utiliser, des serveurs WINS et le suffixe de domaine, pour ne citer
que les principaux.
DHCP est souvent réservé aux stations, aux imprimantes et ne devrait servir
qu’exceptionnellement aux serveurs.
2.2.2 L’installation
Comme pour tous les composants Windows, l’installation peut se faire graphique-
ment ou en mode commande sans avoir besoin d’insérer le moindre média.
servermanagercmd –install DHCP
n Remarque
Attention, le service devra être mis en démarrage automatique !
Le service DHCP comme les autres services réseaux de références (DNS, WINS)
devraient toujours être installés sur des serveurs disposant d’adresses IP fixes.
2.2.3 La configuration
La console d’administration DHCP est automatiquement installée en même temps
que le service, mais peut aussi être lancée à partir de toute autre machine possé-
dant cette console.
Même sur le serveur lui-même, sélectionnez le serveur DHCP (ou les serveurs) que
vous souhaitez gérer. La liste des serveurs déjà autorisés s’affiche automatique-
ment.
s Pour autoriser un serveur DHCP, utilisez l’option Gérer les serveurs autori-
sés, puis cliquez sur le bouton Autoriser, et saisissez le nom ou l’adresse IP.
Les serveurs autorisés apparaissent avec une flèche verte.
La plage utilisée ne doit pas forcément utiliser la totalité de la classe réseau afin de
laisser de la place pour les serveurs, les adresses IP réservées pour les imprimantes.
La route par défaut fait partie des paramètres habituels liés à l’étendue.
Les options au niveau du serveur contiennent les paramètres qui sont valables glo-
balement sur toutes les étendues.
206 Windows Server 2008 R2
Administration avancée
Les options Serveurs (005,006,015,046) servent de valeur par défaut, mais sont
remplacées par les options de l’étendue qui ont priorité.
- La zone Nom de domaine DNS ne permet pas de spécifier plusieurs suffixes de
recherche DNS. Si nécessaire, les stratégies proposent d’ajouter des suffixes de
recherche.
- Le Type de Nœud avec la valeur 0x8 configure le mode de résolution hybride.
C'est-à-dire qu’une interrogation des serveurs DNS/WINS sera faite en premier,
avec bascule en mode Broadcast en cas d’échec.
Certaines propriétés avancées du serveur DHCP peuvent être très intéressantes à
configurer.
Par exemple, lorsque la zone Tentatives de détection de conflit est configurée
avec une valeur supérieure à zéro, DHCP utilisera l’instruction ping pour détermi-
ner l’existence éventuelle d’une machine sur cette adresse.