Les GPO 2012 server R2

(Terminal Serveur Édition)

Par LoiselJP
Le 01/08/2014
Rev. : 01/03/2015
 1
O
b
j
e
c
t
i
f
s
Dès qu’il s’agit de placer des paramètres particuliers, on annonce « il suffit d’utiliser les GPO ». Effectivement les GPO
permettent de paramétrer tout, ou presque. Le presque se situe dans la maitrise de la BDR (pour ceux qui aiment les
acronymes, sinon la Base De Registre). Dès lors que la base de registre est maîtrisée il est possible d’y placer tous les
paramètres possibles et imaginables.

Une fois n’est pas coutume, vous serez probablement habitué à des tutos, mais cette fois, il s’agira plus d’une explication sur
ce que sont les GPO plutôt qu’un tutoriel.

Bien sûr cette explication se fera au travers d’exemples.

Un GPO (hé oui, on dit « un » GPO, car on pense à la francisation du terme en Stratégie de Groupe mais en réalité ce serait
Group Policy Object) peut s’appliquer à un utilisateur, un poste de travail mais aussi une unité d’organisation. Quoi de
mieux qu’un TSE pour reprendre l’ensemble de ces élément.

Le TSE, comprenez Terminal Server Edition est une application de type 'main-frame' de Microsoft qui réside dans la mise en
place d'un serveur applicatif pour terminaux.

Les terminaux peuvent être des PC (Windows, Unix/Linux, Macintosh..), comme de simples navigateurs Internet. S’il s’agit
de postes terminaux, ils sont aussi appelés clients légers.

Les applications et les données sont stockées et exécutées directement sur le serveur TSE. TSE est donc une bonne solution
pour recycler des vieux PC sur lesquels il est difficile d’installer un système d’exploitation récent.

Dans ce document, il sera vu l’installation de TSE sur 2012 (R2 en particulier).

Administration serveur Les GPO 2012 server R2 page 2/34

LoiselJP ©2014
 2
S
o
m
m
a
i
r
e

1 Objectifs....................................................................................................................................................................2
2 Sommaire..................................................................................................................................................................3
3 Pour débuter..............................................................................................................................................................4
4 Prérequis...................................................................................................................................................................6
4.1- Installation d’Active Directory.........................................................................................................................7
4.2- Promotion du serveur........................................................................................................................................9
5 Installation du service TSE.....................................................................................................................................11
6 Configuration de l’Active Directory.......................................................................................................................12
7 Accès au serveur......................................................................................................................................................15
8 Création de stratégie de groupe...............................................................................................................................15
L’éditeur de stratégie sur serveur...........................................................................................................................17
Pré-configuration du système pour mettre en place le GPO..................................................................................19
Créer / Configurer / Appliquer la stratégie de groupe............................................................................................21
9 Conclusion..............................................................................................................................................................31
©Propriété..................................................................................................................................................................32
Licence...................................................................................................................................................................32

Administration serveur Les GPO 2012 server R2 page 3/34

LoiselJP ©2014
 3
P
o
u
r
d
é
b
u
t
e
r
TSE s’installe sur un serveur Windows, ici, pour ce document, voici les conditions utilisées :

- Installation de base Windows 2012 R2 server

- 2048Mo de ram / DD100go

Dans un cas de production, le serveur sera configuré avec au minimum les paramètres de base en définition de paramètres de
sécurité, l’administrateur sera renommé pour limiter les intrusions possibles.

Renommer le serveur en passant par un clic droit en bas à droite de l’écran puis en sélectionnant « système » :

Administration serveur Les GPO 2012 server R2 page 4/34

LoiselJP ©2014
Puis renommer le poste…

(Le serveur devra être redémarré)

En vue de l’installation d’active directory un mot de passe devra être placé : CTRL+ALT+SUPP

…
Est-il nécessaire d’afficher à chaque connexion le gestionnaire de serveur ?

Administration serveur Les GPO 2012 server R2 page 5/34

LoiselJP ©2014
 …

La sécurité Internet sera, quant à elle, diminuée (les utilisateurs doivent pouvoir se rendre sur l’internet sans être freiné).

Laisser internet accessible…

Enfin, comme tout serveur, il sera largement conseillé de placer une IP fixe, ce qui évitera les pertes de serveur lors de
l’attribution d’une nouvelle adresse.

Le serveur ainsi configuré pourra répondre au besoin de l’installation.

Administration serveur Les GPO 2012 server R2 page 6/34

LoiselJP ©2014
 4
P
r
é
r
e
q
u
i
s
Voici les prérequis pour installer le système :

- 2012 Server R2 Installé, activé et présentant une configuration minimale (comme indiqué au paragraphe précédent)

- Par facilité, on installera directement avant toute action complémentaire les logiciels destinés pour une installation Finale
(Pack-office, Logiciels de programmation, Bloc-notes et autre utilitaires).

- Active Directory (si le serveur n’est pas contrôleur de domaine l’installation du TSE ne pourra pas se faire)

Il sera plus pratique de renommer le serveur avant l’installation d’Active Directory !

- Bien sûr y seront installés les logiciels habituels :

o Antivirus,
o Pare-feu
o Antispyware
o …
Pour le besoin de ce document ces dernières fonctionnalités ne seront pas installées.

4.1- Installation d’Active Directory

Administration serveur Les GPO 2012 server R2 page 7/34

LoiselJP ©2014
L’installation d’Active Directory a largement été facilitée dans 2012 serveur :

Ajouter le rôle…

Comme rôle…

Sur le serveur lui-même…

Administration serveur Les GPO 2012 server R2 page 8/34

LoiselJP ©2014
Puis laisser le rôle s’installer…

4.2- Promotion du serveur

A cette étape le serveur va être promu Contrôleur de domaine. Dans AD 2012 la commande DC promo n’existe plus. Il sera
nécessaire de passer par le gestionnaire de serveur.

Promouvoir le serveur…

Administration serveur Les GPO 2012 server R2 page 9/34

LoiselJP ©2014
On créera une nouvelle forêt… avec un nom de domaine local…

Les autres formulaire seront laissés par défaut.

En cliquant sur « installer » le serveur sera promu DC puis redémarrera.

…
Administration serveur Les GPO 2012 server R2 page 10/34

LoiselJP ©2014
Félicitation votre serveur est dans son domaine! (pas trop quand même)

NOTE : L’installation d’un AD est souvent lié à l’installation des serveurs DNS et DHCP (DNS est souvent conseillé pour
l’installation). Dans le cas du serveur TSE, aucun poste ne sera ajouté au domaine. De plus, les clients pourront se connecter
directement sur l’adresse IP du serveur

5
I
n
s
t
a
l
l
a
t
i
o
n

d
u

s
e
r
v
i
c
e

Administration serveur Les GPO 2012 server R2 page 11/34

LoiselJP ©2014
 T
S
E
Les services d’installation de bureau à distance sont encore une fois plus faciles à mettre en place que dans les anciennes
version.

Retourner dans l’ajout de rôles…

Mais cette fois sélectionner « Installation de services de bureau à distance ».

Dans le cas d’un serveur simple, un démarrage rapide suffira.

De même qu’un déploiement basé sur les sessions semble plus approprié.

Choisir ensuite le serveur sur lequel seront installés les services (s’il n’y a qu’un seul serveur le choix sera rapide) :

Administration serveur Les GPO 2012 server R2 page 12/34

LoiselJP ©2014
L’installation se terminera après avoir sélectionné les options de redémarrage…

6
C
o
n
f
i
g
u
r
a
t
i
o
n
Administration serveur Les GPO 2012 server R2 page 13/34

LoiselJP ©2014
 d
e

l’
A
c
t
i
v
e

D
i
r
e
c
t
o
r
y

Ce paragraphe traite de la création d’Unité d’Organisation (OU) spécifique à TSE (dans le cas d’une utilisation en
production)

Dans l’AD (gestion des utilisateurs) créer une nouvelle OU nommée TSE (TSE ou…)

Administration serveur Les GPO 2012 server R2 page 14/34

LoiselJP ©2014
Puis créer un nouveau groupe « TSE grp » lui-même membre du groupe « Utilisateurs du bureau à distance »

Dans la stratégie de sécurité locale :

Dans « Attribution des droits utilisateur » (onglet « Stratégies locales ») ajouter le groupe « TSE grp » à la stratégie
« Autoriser l’ouverture de session par les services Bureau à distance »

Ne reste qu’à placer les utilisateurs qui auront accès au bureau à distance dans ce groupe :

Administration serveur Les GPO 2012 server R2 page 15/34

LoiselJP ©2014
 …

7
A
c
c
è
s
a
u

s
e
r
v
Administration serveur Les GPO 2012 server R2 page 16/34

LoiselJP ©2014
 e
u
r
Dès lors qu’un utilisateur peut se connecter sur les services de bureau à distance, c’est que le service TSE est actif.
En effet, sans ce service, l’accès au bureau à distance n’est possible que pour le groupe « administrateur ».

Bureau à distance :

Dans les programmes rechercher « Connexion Bureau à distance », entrer le nom du serveur (ou son adresse IP) Se connecter
avec un compte autorisé à se connecter au TSE (suivant la stratégie mise en place),

Suivant la configuration du TSE, d’autres solutions seront également possibles telle que le partage d’application (TSE n’est
pas le sujet principal de ce document).

8
C
r
é
a
t
i
o
n

d
e

s
t
Administration serveur Les GPO 2012 server R2 page 17/34

LoiselJP ©2014
 r
a
t
é
g
i
e

d
e

g
r
o
u
p
e

La stratégie de groupe n’est pas un fait nouveau. Avec Windows 98 (oui oui, il y a un moment), un programme
appelé « poledit » (Policy Edit… éditeur de stratégie) permettait de mettre en place un ensemble de paramètres
pour les utilisateurs.

Avec Xp ce programme s’appelait Gedit et s’appelle encore de cette manière dans les dernières versions Windows.

Pour le lancer il suffit de taper dans « Exécuter », « gedit.msc ».

Et vous voici avec un éditeur de stratégie de groupe (plus simple que dans un serveur) mais qui permet tout de
même de gérer l’ensemble des fonctionnalités du système.

On pourra alors à volonté bloquer le clic droit de la souris, la navigation dans un disque particulier, définir les
favoris Internet Explorer…
Administration serveur Les GPO 2012 server R2 page 18/34

LoiselJP ©2014
Il ne s’agit pas faire le tour des paramètres possibles, nous y serions encore à noël (lequel?).

En développant uniquement une branche on peut très vite remarquer que la stratégie peut se
rattacher à tout type d’information.

Et ces informations peuvent encore se décliner en sous-catégories…

On comprend donc très vite que ce chapitre ne traitera donc pas de la stratégie en particulier mais bien de la manière de la
mettre en œuvre. La stratégie en particulier dépendra donc de la volonté et des orientations de chacun.

En effet, il peut s’agir d’une mise en place de stratégie liée à la configuration de base ou de fonctionnement (nom de lecteurs,
dossier à utiliser), à la limitation de fonctionnalités (ne pas autoriser l‘emploi d’un logiciel, ne pas autoriser l’ajout de
programmes), à la configuration de compte (page web par défaut, configuration de la messagerie), ou plus particulièrement la
sécurité (configuration pare-feu, antivirus, export et modification de paramètres).

Une stratégie de groupe c’est tout autant de possibilités qu’on peut avoir d’idées.

L’éditeur de stratégie sur serveur

La console de « Gestion de stratégie de groupe » (Exécuter « gpmc.msc ») sur serveur se présente de manière différente de
celle trouvée sur un poste de travail standard :

Administration serveur Les GPO 2012 server R2 page 19/34

LoiselJP ©2014
 …

Mais on retrouvera très vite la fenêtre classique dès que l’on développera la stratégie par défaut :

On peut très vite en déduire que la configuration de GPO sur serveur est identique à celle trouvée sur un poste de travail. A la
différence qu’un poste de travail ne dispose que de la stratégie par défaut et qui s’applique alors à l’ensemble des utilisateurs
ou au poste de travail à proprement parler.

Sur serveur il sera possible de créer un nouvel objet gpo…

Administration serveur Les GPO 2012 server R2 page 20/34

LoiselJP ©2014
Pour cela sur le serveur, créer un nouvel objet GPO du clic droit de la souris…

Cet objet sera modifiable à son tour (clic droit « modifier ») :

Et se présentera de manière identique au GPO par défaut…

Avec plusieurs GPO, peut-être pourra-t-on les appliquer cette fois non pas de manière globale mais à un
utilisateur, un groupe d’utilisateur, un poste de travail, une unité d’organisation ?

… Effectivement, c’est la différence avec un poste de travail standard.

Pré-configuration du système pour mettre en place le GPO

Comme indiqué au chapitre précédent, la stratégie de groupe crée (on prendra l’exemple de « New GPO») peut s’appliquer
à un objet (on ne parle pas d’utilisateur ou de poste de travail) particulier.

Avec AD est apparue la notion d’unité d’organisation (on parle d’OU).

Administration serveur Les GPO 2012 server R2 page 21/34

LoiselJP ©2014
Une OU est en quelque sorte un super groupe, ce document n’a pas pour but d’expliquer ce qu’est AD ni de reprendre à 0
toutes les notions de serveur. C’est pourquoi, bien que très schématisé, on comprendra par OU un « super groupe » dans
lequel on pourra ajouter des groupes, des utilisateurs, postes de travail….

Une unité d’organisation se crée dans la gestion des « Utilisateurs et ordinateurs ActiveDdirectory ».

Pour ouvrir l’outil de gestion lancer « dsa.msc » :

Après un clic droit sur le domaine, créer une OU, pour l’exemple du document « TSE » .

Pour rappel : ce document a pris pour exemple la configuration d’un serveur TSE avec la mise place d’une stratégie de
groupe pour les utilisateurs du serveur.

Administration serveur Les GPO 2012 server R2 page 22/34

LoiselJP ©2014
Il aurait pu être pris tout autre exemple comme la configuration des postes de travail de l’AD, les partages, connexion,
scripts…

Cette OU sera destinée à recevoir les postes de travail, groupe, utilisateurs qui seront concernés par la stratégie qui sera
mise en place au chapitre suivant.

Ouvrir alors l’OU et y créer un nouveau groupe (il ne pourra pas se nomme TSE car l’objet TSE existe) que l’on pourra
nommer « TSEgrp » (les noms simple sont les meilleurs, pour peu qu’il soient en plus explicites…).

Cette fois les utilisateurs vont être attribués au groupe.

Il suffit alors d’éditer les propriétés du groupe, puis d’y définir les membres :

Toute stratégie appliquée à l’OU TSE viendra alors s’appliquer aux utilisateurs membres du groupe TSEgrp.

Administration serveur Les GPO 2012 server R2 page 23/34

LoiselJP ©2014
Il ne reste plus qu’à mettre en place la stratégie et l’appliquer.

Créer / Configurer / Appliquer la stratégie de groupe

La stratégie de groupe a été créée au chapitre « L’éditeur de stratégie sur serveur ». Rouvrir simplement alors l’éditeur de
stratégie (gpmc.msc), puis sélectionner la stratégie.

Configurer la stratégie

Depuis l’éditeur de stratégie de groupe, il est possible désormais de configurer l’ensemble des paramètres de l’utilisateur.

Ainsi comme dans l’exemple ci-dessous, il est possible de modifier et/ou de déterminer les paramètres des dossiers de
l’utilisateur :

Tant et si bien que pressue tous les paramatres pourront être modifiés.

Jusqu’au paramètres Internet…

Administration serveur Les GPO 2012 server R2 page 24/34

LoiselJP ©2014
Pour IE 10 mais pas la version 11…

Dans un cas particulier comme celui décrit ci-dessus, il sera malgré tout possible de placer les paramètres Internet (c’est un
exemple) en passant par la base de registre :

On sait que la page de démarrage Internet se trouve dans cette clef de registre :

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

A la valeur :

Start Page

Administration serveur Les GPO 2012 server R2 page 25/34

LoiselJP ©2014
Il est alors possible de créer une nouvelle entrée dans la base de registre :

Donner l’emplacement de la clef puis sa valeur :

Note ayant un effet représentatif, c’est l’application de cette modification du registre qui sera affecté à la GPO puis mise en
place pour les utilisateurs.

Administration serveur Les GPO 2012 server R2 page 26/34

LoiselJP ©2014
Au choix, dans le cadre de TSE on pourra également donner la possibilité aux utilisateurs d’utiliser le bureau à distance.

On pourra noter qu’il ne faut pas pour autant devenir complètement accro. de GPO. La possibilité de se connecter par le
bureau à distance peut se mettre simplement dans l’appartenance de groupe :

(Ce qui n’est pas plus mal)

Appliquer la stratégie

Dès lors que la stratégie de groupe est configurée, il ne reste plus qu’à la mettre en place.

ATTENTION : Elle peut être affectée à l’administrateur lui-même et par là limiter ses droits. Ainsi il est parfois bien
compliqué de revenir en arrière.

En principe GPMC ne devrait jamais être concerné par une stratégie de groupe !

Il existe plusieurs méthodes pour appliquer une stratégie de groupe. La plus simple consiste à lier une stratégie à un groupe
(ou objet) puis de l’activer :

Administration serveur Les GPO 2012 server R2 page 27/34

LoiselJP ©2014
Puis appliquer cet objet :

Mise en application

Le serveur TSE a été installé, les utilisateurs ont été créés, la stratégie est mise en place.

Il faut disposer maintenant d’un client léger : c’est le moment de recycler tous ces vieux PC installés sous XP (xp est bien
suffisant pour créer un client)…

Avec une petite GPO cette fois locale (pas de navigation, pas de clic droit, pas de menu démarrer, pas de navigation, pas de
CTRL+ALT+SUPPr…)

Administration serveur Les GPO 2012 server R2 page 28/34

LoiselJP ©2014
…

Bref, l’utilisateur ne peut faire que ce qu’on lui autorise, ce qui est bien suffisant pour une connexion TSE !

Ne lui reste plus qu’à se connecter :

Administration serveur Les GPO 2012 server R2 page 29/34

LoiselJP ©2014
Il met alors son login et mot de passe…

Le voici connecté au serveur.

Le but de ce document étant la mise en place de GPO, c’est le moment de vérifier si la stratégie prévue a bien été appliquée :

On cherche Internet explorer, on l’épingle…

Administration serveur Les GPO 2012 server R2 page 30/34

LoiselJP ©2014
On lance… et :

On peut remarquer dans l’impression d’écran ci-dessus, qu’Internet explorer en est bien à sa première ouverture et que la
page d’accueil a bien été définie comme on le désirait !

Si on a laissé la possibilité de changer la page ou les options Internet…

Administration serveur Les GPO 2012 server R2 page 31/34

LoiselJP ©2014
A la prochaine connexion de l’utilisateur la page sera revenue.

Administration serveur Les GPO 2012 server R2 page 32/34

LoiselJP ©2014
 9
C
o
n
c
l
u
s
i
o
n
Les stratégies de groupe sont un sujet très largement abordé sur les serveurs d’entreprise et un domaine donc très recherché
dans les compétences d’un administrateur.

Lorsque l’on regarde de près ce qu’il en est, GPO n’est pas un sujet nouveau et, finalement, est utilisé plus souvent qu’on ne
le pense. Loin d’être limité au seul monde du serveur, c’est probablement la meilleure solution en termes de configuration et
sécurité que cela soit en mode mono-utilisateur ou multi-utilisateur.

Comme on peut le lire dans les différents paragraphes traitant réellement de GPO, encore une fois, comme dans bien des cas
d’administration de serveur, la mise en place de GPO n’a rien de bien compliqué : il faut juste savoir par ou entrer, le reste
n’est qu’une question de « management » : savoir quelle action mettre en place.
Cette action à mettre en place est alors en question de réflexion plutôt que de difficulté et de connaissance.

La gestion des GPO n’a rien de compliquée en soit c’est tout le « monde » qui est créé autour !

ATTENTION : comme il l’a été expliqué tout au long de ce document, les GPO vont être principalement (même si les
utilisations et applications peuvent être variées) utilisés à des fins de restriction sur l’utilisation ou la sécurité.

On peut voir dans ces restrictions de nombreuses utilisations. Pourquoi ne pas cacher le lecteur principal du serveur et
n’autoriser que les accès aux dossiers partagés… masquer le panneau de configuration ou comme dans le client léger
présenté en fin de chapitre précédent, tout interdire.

Le rôle de l’administrateur réseau ou même l’administrateur informatique en général n’est pas de se faciliter la vie en
bloquant systématiquement tout. Son objectif est de faciliter la vie de l’utilisateur tout en préservant un fonctionnement
optimal du système.

Enfin il n’est pas très approprié de frustrer l’utilisateur dans son travail.

Au-delà de l’utilisation des GPO, il est donc nécessaire de porter une étude approfondie à la stratégie qui sera mise en place
sans oublier un seul paramètre.

Administration serveur Les GPO 2012 server R2 page 33/34

LoiselJP ©2014
©Propriété
Les GPO 2012 server R2.
Jean Paul Loisel
56 Rue Philippe de Girard
59160 Lomme

loiseljp@club-internet.fr
 07 70 32 35 67

Licence
Ce document est distribué en "Public Documentation License".

The contents of this Documentation are subject to the Public Documentation License. You may only use this Documentation if
you comply with the terms of this License.

A copy of the License is available at this mail loiseljp@club-internet.fr.

The Original Documentation is " Les GPO 2012 server R2".

The Initial Writer of the Original Documentation is Jean Paul LOISEL © 2014. All Rights Reserved.

Contributor(s): ______________________________________.
Portions created by ______ are Copyright ©_________[Insert year(s)]. All Rights Reserved.
(Contributor contact(s):________________[Insert hyperlink/alias]).

 The text of this chapter may differ slightly from the text of the notices in the
files of the Original Documentation.
You should use the text of this chapter rather than the text found in the Original Documentation for Your Modifications.

Administration serveur Les GPO 2012 server R2 page 34/34

LoiselJP ©2014