Créer une GPO

La création d’une stratégie de groupe nécessite d’abord de définir un certain nombre de

caractéristiques du point de vue de l’organisation d’une infrastructure. En effet, une stratégie
de groupe est un objet ayant des propriétés propres, comme d’autres objets existant dans
l’environnement Active Directory, mais avec un poids cette fois-ci plus important qu’un objet
représentant par exemple un compte d’utilisateur dans la mesure où une stratégie de groupe
est intimement liée à la notion d’architecture de l’infrastructure Active Directory. Donc, mettre
en place une stratégie de groupe exige des prérequis avant de passer au processus de
création en tant que tel. Lorsque les contours de la stratégie de groupe sont clairement
définis, alors l’étape suivante sera sa création, et ce quel que soit l’outil utilisé. Dans notre
cas, nous utiliserons très exactement trois commandes nous permettant de créer une
GPO : New-GPO, Set-GPPrefRegistryValue et New-GPLink.
1. La cmdlet New-GPO
La commande New-GPO est la première cmdlet à utiliser pour la création d’une stratégie de
groupe avec la technologie Windows PowerShell. New-GPO a la particularité de créer un
objet représentant une stratégie de groupe sans réaliser de liens possibles. Une GPO peut
en effet être liée à plusieurs autres objets comme des unités d’organisation, des domaines,
ou des sites. Voici ses paramètres les plus importants :
Le paramètre -Comment
Ce paramètre spécifie un commentaire décrivant la stratégie de groupe créée.
Le paramètre -Domain
Ce paramètre spécifie le nom du domaine où la stratégie de groupe sera créée.
Le paramètre -Name
Ce paramètre spécifie le nom de la GPO.
Le paramètre -StarterGpoGuid
Ce paramètre spécifie une valeur GUID d’une GPO servant de modèle structurel à la
création d’une nouvelle GPO.
Le paramètre -StarterGpoName
Identique au paramètre précédent, à la différence que la valeur spécifiée est le nom d’une
GPO.
2. La cmdlet Set-GPPrefRegistryValue
Après avoir créé un objet représentant la stratégie de groupe, celui-ci est a priori vierge. Par
vierge, nous entendons que sa structure n’est pas encore affinée, et que sa définition, d’un
point de vue programmatique, reste à être appliquée. La cmdlet Set-
GPPrefRegistryValue aide précisément à configurer une stratégie de groupe et à lui donner
des caractéristiques propres.
Le paramètre -Action
Il s’agit du type d’action à mener sur un item de la base de registre. Les valeurs
possibles ont Create, Replace, Update et Delete.
Le paramètre -Context

1
Il s’agit du contexte dans lequel un item de la base de registre sera configuré. Les valeurs
possibles sont User et Computer.
Le paramètre -Disable
Ce paramètre ajoute un nouvel item au niveau de la base de registre et le désactive, sans
influer sur les items liés à une stratégie de groupe existante.
Le paramètre -Domain
Il s’agit d’un nom de domaine où une opération de modification ou de création d’une
préférence de GPO aura lieu.
Le paramètre -Guid
Il s’agit d’une valeur GUID d’une GPO à configurer.
Le paramètre -Key
Il s’agit du nom d’une clé de registre. Les clés racines à partir desquelles une configuration
peut avoir
lieu sont : HKEY_CLASSES_ROOT (HKCR), HKEY_CURRENT_USER (HKCU), HKEY_LO
CAL_MACHINE (HKLM), HKEY_USERS (HKU), HKEY_CURRENT_CONFIG (HKCC).
Le paramètre -Name
Il s’agit du nom d’une stratégie de groupe où une configuration aura lieu.
Le paramètre -Type
Il s’agit du type de la valeur de l’item devant être configuré. Les valeurs possibles
sont : String, ExpandString, Binary, DWord, MultiString, ExpandString, et Qword.
Le paramètre -Value
Il s’agit de la valeur d’un item à configurer. S’il s’agit de configurer uniquement une clé de
registre, ne pas spécifier ce paramètre.
Le paramètre -ValueName
Il s’agit du nom d’un item. S’il s’agit de configurer uniquement une clé de registre, ne pas
spécifier ce paramètre.
3. La cmdlet New-GPLink
La création d’une GPO puis sa configuration mènent inévitablement vers son application.
Dans l’absolu, il est possible de lier une GPO à plusieurs objets de types différents :
• Les domaines ;
• Les unités d’organisation ;
• Les sites.
De manière tout à fait inverse, il est possible de lier à un même objet, par exemple un
domaine, plusieurs GPO, et c’est même tout l’intérêt des stratégies de groupe avec
Active Directory. Dans ce cas-là, d’autres considérations entrent en jeu comme l’ordre
d’application des stratégies de groupe ou le phénomène d’héritage. Nous ne traiterons pas
dans cet ouvrage de ces points car ce n’est pas son propos, mais nous traiterons strictement

2
de l’application des GPO sur des objets Active Directory, application possible notamment
grâce à la commande New-GPLink.
Le paramètre -Name
Ce paramètre spécifie le nom de la GPO à lier au conteneur visé.
Le paramètre -LinkEnabled
Ce paramètre spécifie si un lien de GPO est activé ou non. Les valeurs possibles
sont Yes, Noou Unspecified.
Le paramètre -Order
Ce paramètre spécifie une valeur numérique indiquant le rang d’un lien vis-à-vis d’une GPO.
La valeur minimum est 1, et la valeur maximum dépend du nombre de liens existants vis-à-
vis de cette GPO.
Le paramètre -Target
Ce paramètre spécifie le nom du conteneur auquel une stratégie de groupe doit être liée.
4. Articuler ces trois cmdlets
Comprendre les cmdlets que sont New-GPO, Set-GPPrefRegistryValue et New-
GPLink estcentral dans l’économie de la définition de stratégies de groupe avec Windows
PowerShell. Maintenant que nous les comprenons mieux, nous pouvons les appliquer dans
le contexte du domaine contoso.com. Mais d’abord, comme nous l’avons souligné
précédemment, il faut savoir ce que nous voulons faire, donc clairement définir nos objectifs.
Dans cette perspective, nous créerons une stratégie de groupe ayant pour effet de
supprimer le menu Exécuter du menu Démarrer. Des personnes ne faisant pas partie des
équipes d’informaticiens de l’organisation contoso.com ne devraient pas avoir accès à menu,
et ce pour des raisons évidentes qu’il est inutile d’énumérer ici. Le premier objet sur lequel
cette stratégie de groupe doit s’appliquer est l’unité d’organisation Legal :
PS> Get-ADOrganizationalUnit -Filter ’Name -eq "Legal"’

City :
Country :
DistinguishedName : OU=Legal,OU=Accounts,DC=contoso,DC=com
LinkedGroupPolicyObjects : {}
ManagedBy :
Name : Legal
ObjectClass : organizationalUnit
ObjectGUID : ae0e90f0-f32c-4119-8f12-bd42998ad1a8
PostalCode :
State :

3
StreetAddress :
La configuration de la clé de registre qui nous permettra de désactiver ce menu se résume à
tous ces éléments :
• Clé racine : HKEY_CURRENT_USER ;
• Sous-clé : Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ;
• Nom d’attribut : NoRun ;
• Type de valeur de l’attribut : REG_DWORD ;
• Valeur de l’attribut : 1.
Nous avons ici tout ce dont nous avons besoin pour travailler. Il ne reste plus qu’à
articuler les commandes décrites dans la section précédente, à commencer par la
cmdlet New-GPO :
PS> $GPOObject = New-GPO -Name ’DisableRunMenu’ -Domain ’contoso.com’
L’objet représentant la stratégie de groupe nommé DisableRunMenu est contenu dans la
variable $GPOObject. Cette dernière nous sera utile pour la suite des opérations, puisque
l’objet créé doit maintenant être configuré :
PS> $GPOObject | Set-GPPrefRegistryValue -Context ’User’
-Key ’HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
\Explorer’ -ValueName ’NoRun’ -Value 1 -Type ’DWORD’
-Action ’Create’

DisplayName : DisableRunMenu
DomainName : contoso.com
Owner : CONTOSO\Domain Admins
Id : bb10d31b-0bc6-4203-a96f-ff07b03d9e1a
GpoStatus : AllSettingsEnabled
Description :
CreationTime : 15/12/2014 22:23:34
ModificationTime : 15/12/2014 22:30:23
UserVersion : AD Version: 1, SysVol Version: 1
ComputerVersion : AD Version: 0, SysVol Version: 0
WmiFilter :
Ci-dessus, l’objet $GPOObject a été passé via le pipeline à la commande Set-
GPPrefRegistryValue afin que celle-ci crée l’attribut NoRun au niveau de la clé de
registre HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. Le résultat
nous confirme bien que l’opération de configuration de la GPO DisableRunMenu s’est
correctement déroulée.

4
Ce n’est pas terminé ; nous avons créé une stratégie de groupe et l’avons configurée, mais
nous devons encore la lier à l’unité d’organisation visée :
PS> New-GPLink -Name ’DisableRunMenu’ -Target
’OU=Legal,OU=Accounts,DC=contoso,DC=com’

GpoId : bb10d31b-0bc6-4203-a96f-ff07b03d9e1a
DisplayName : DisableRunMenu
Enabled : True
Enforced : False
Target : OU=Legal,OU=Accounts,DC=contoso,DC=com
Order :1
Grâce à la cmdlet New-GPLink, et conformément à la sortie affichée précédemment, la
GPO DisableRunMenu est à présent liée à l’unité d’organisation Legal et prendra
véritablement effet lors de la prochaine ouverture de session des utilisateurs englobés par
cette unité d’organisation, la GPO créée étant une stratégie de groupe utilisateur, et non pas
une stratégie de groupe ordinateur. C’est là un processus naturel et automatique.

Lorsqu’un utilisateur existant dans l’unité d’organisation Legal essaiera de lancer le

menu Exécuterou Run, une fenêtre d’erreur apparaîtra et l’utilisateur sera invité à contacter
un administrateur du domaine contoso.com.
http://nacta.fr/?p=354