SOMMAIRE

~1~
 Introduction

 Dans les entreprises de la place, de nos jours certains d’entre eux afin de

faciliter la distribution des taches, l’administration d’un système, le déploiement

d’un certain nombre de fichier utilisent des méthodes bien spécifiques.

L’administration d’un environnement Windows reste une tâche ardue. Des

fonctions comme les stratégies de groupe, qui permettent aux administrateurs de

contrôler les clients d’un domaine (ordinateurs et utilisateurs), sont fort utiles. Mais

nombreux sont les administrateurs qui n’appliquent les stratégies de sécurité

qu’après que certains événements les y obligent. De ce fait comment se présente les

stratégies de groupe, la possibilité de cloner. Afin d’élucider les stratégies de

groupe et le clonage, nous présenterons dans un premier temps les stratégies de

groupe, son processus, ses différentes méthodes et ensuite nous travaillerons sur le

processus de clonage.

~2~
 I- LA STRATEGIE DE GROUPE

1. Qu’est-ce qu’une Stratégie de groupe ?

Les stratégies de groupe sont des ensembles de paramètres qui s’appliquent aux
utilisateurs sur des postes clients ou des serveurs. Elles permettent en effet de gérer
plus facilement la sécurité d’un poste ou de plusieurs postes dans un domaine
(ensemble d’ordinateur relié à internet et possédant une caractéristique commune).

Encore appelé GPO (Group Policy Object) c’est un ensemble d’outils intégrés à
Windows qui permet au service informatique de centraliser la gestion de
l’environnement utilisateur et la configuration des machines (poste de travail et
serveurs). L’objectif est d’avoir une configuration homogène sur les machines de
votre parc ou toutes les sessions ont des paramètres communs. Chaque stratégie ou
GPO dispose de ses propres paramètres, définis par l'administrateur système, et qui
seront appliqués ensuite à des postes de travail, des serveurs ou des utilisateurs.

Les stratégies de groupe (GPO) offrent la possibilité de gagner du temps

lorsqu'il est utile de réaliser une modification sur un ensemble de postes. En effet,
le nouveau paramétrage peut être spécifié dans une GPO et celle-ci appliqué sur les
postes clients, ce qui est beaucoup plus efficace que de devoir passer sur tous les
postes un par un. En effet quand un ordinateur Windows Server 2003, Windows XP
ou Windows 2000 qui est membre d’un domaine démarre, le système traite et
applique les stratégies basées sur l’ordinateur, localement et au niveau du domaine.
Ensuite, quand un utilisateur se connecte au domaine à partir de cet ordinateur, le
système traite et applique les stratégies basées sur l’utilisateur locales et au niveau
du domaine.

~3~
 2. Avantages
L’utilisation des GPO par l’administrateur system et autre offre plusieurs
avantages tels que :

- La gestion de la confidentialité et la sécurité des différents serveurs

sous Windows Server.
- Gérer la sécurité de vos pc Clients sous Windows à l’aide de
stratégies ciblant l’ordinateur et d’autres ciblant l’utilisateur. Par
exemple : Grace au GPO il est possible de sécuriser le poste client en
désactivant l’utilisation de certains logiciels et la reconnaissance d’une
clé USB au sein d’une des machines clientes.
- La gestion de la configuration des différents composants Windows,
tels que : les services RDS, Windows Defender, Windows update…
- L’Utilisation les profils itinérants et la gestion de la redirection de
dossiers pour permettre à un utilisateur d'utiliser ses documents en se
connectant sur n'importe quel PC client d'une salle informatique par
exemple.
- Le déploiement des applications grâce a des paquets au format MSI
(qui est le plus utilisé par Windows).
- Le paramétrage des applications (par exemple l’ajout d’un site de
confiance comme internet Explorer etc…)
3. Inconvénients
Quand un administrateur applique des stratégies au coup par coup, il s’en suit
souvent un magma de nombreuses stratégies. Un trop grand nombre de stratégies
peut augmenter le temps de connexion des machines client, au grand dam des
utilisateurs. Cela peut aussi entraîner des conflits de stratégie présentant un double
inconvénient : certains utilisateurs ne peuvent pas effectuer correctement leur

~4~
travail et d’autres peuvent effectuer, à tort, des tâches qui affectent le domaine. On
établit alors à la hâte une stratégie de plus pour corriger l’erreur, ce qui ne fait
qu’aggraver la situation.

4. Les Objets de Stratégie de groupe

C’est un ensemble de paramètre de stratégie de groupe qui définissent a quoi va
ressembler un système et comment il va se comporter pour un groupe défini
d’utilisateur.

Pour gérer les stratégies de groupe (GPO) existantes ou en créer d'autres, nous
pouvons ouvrir la console "Gestion de stratégie de groupe" sur un contrôleur de
domaine grâce à la commande « gpmc.msc » NB : En sachant que vous pouvez
aussi installer cette console sur un PC client si vous le souhaitez grâce aux consoles
RSAT.

Dans cette console "Gestion de stratégie de groupe", par défaut, il existe 2

objets de stratégies de groupe :

- Default Domain Controller Policy : les stratégies configurées dans cet

objet de stratégies de groupe s'appliquent seulement aux contrôleurs de
domaine Active Directory du domaine concerné.
- Default Domain Policy : Ces stratégies s'appliquent à tous les ordinateurs
et serveurs situés dans notre domaine Active Directory.

Un seul dossier auquel on pourrait lier d'autres objets de stratégies. Il s'agit du

dossier : Domain Controller. En fait, pour qu'un "dossier" apparaisse dans votre
Active Directory et dans la console de gestion des stratégies de groupe, il faut que
ce soit une unité d'organisation (OU) et non un conteneur (CN).

5. Paramètres des Configurations d’Objets de stratégies de groupe

~5~
Les GPO s’appliquent aux :

 Domaines, unité d’organisation (OU), sites Actives Directory.

 Utilisateurs

On peut appliquer en effet une GPO a des utilisateurs et a des ordinateurs,

tout ceci a l’aide des fonctions Configuration ordinateur et Configuration
utilisateur.

Configuration Utilisateurs :

Les paramètres de GPO qui s’appliquent aux utilisateurs comprennent les

paramètres qui déterminent le comportement d’un système d’exploitation, les
paramètres du bureau, de sécurité, des applications etc… Et ceux qui personnalisent
l’environnement du bureau de l’utilisateur figurent sous Configuration utilisateur
dans l’éditeur d’Object de stratégie de groupe.

- Paramètres logiciels de configuration utilisateur : Ce dossier contient les

paramètres logiciels qui s’applique aux utilisateurs qui ouvrent une
session, ainsi que leur installation …

~6~
- Paramètres Windows de configuration des utilisateurs : Il contient les
paramètres de sécurité des dossiers ainsi que les paramètres Windows qui
s’appliquent aux utilisateurs.

~7~
Configuration Ordinateurs :

Généralement prioritaire a ceux des paramètres attribués aux ordinateurs, il

comprend les paramètres qui déterminent tout aussi le comportement du système
d’exploitation, les scripts de démarrage et d’arrêt des ordinateurs, les options
d’applications attribués aux ordinateurs.

Avec Windows Server, Microsoft a introduit des paramètres supplémentaires

aux stratégies de groupe afin d'offrir des possibilités supplémentaires, appelé :
préférences de GPO.

6. Les préférences des stratégies de groupe

Relativement ancienne et peu connus, il s'agit des préférences de stratégie de
groupe, que l'on appelle également Group Policy Préférences (GPP). Pour rappel,
lorsqu'un paramètre est défini dans une GPO et qu'il s'applique sur un utilisateur ou
un poste, ce paramètre est forcé et ne peut pas être modifié par l'utilisateur. Avec
les préférences, c'est différent. En effet, ces paramètres sont déployés, mais peuvent
être modifiés.

a. Caractéristiques

Afin de mieux cerner les préférences de stratégies de groupe, voici ce que

l'on peut en dire :

- Comme pour les paramètres d'une stratégie de groupe classique, elles

existent pour les ordinateurs et les utilisateurs.
- Les préférences sont configurables directement à partir de la console
classique GPMC.
- La configuration déployée peut être modifiée par l'utilisateur.

~8~
 - Par défaut, si l'on supprime une GPP qui s'applique sur un poste, cela ne
supprime pas la configuration déployée par cette GPP, contrairement aux
paramètres classiques qui reviendraient à leur état initial.
- Les paramètres GPP sont différents des paramètres classiques.

Lorsque l'on édite une stratégie de groupe, les préférences sont regroupées dans
une section dédiée avec différentes sous-catégories. De manière générale, on peut
toujours réaliser trois actions telles que : l’ajout, la suppression et la modification.
Celle-ci doit être choisi au moment où l’on définit le paramètre.

b. Actions

Lors de la création d’une nouvelle configuration, on a le choix entre plusieurs

actions telles que :

- Créer : utiliser uniquement pour des choses qui n’existe pas,

- Remplacer : supprime et remplace par un nouveau avec les paramètres
prédéfinis dans le GPP.
- Mettre à jour : En fait, cette action se rapproche du mode de
fonctionnement d'une GPO : la configuration du poste sera mise à jour
pour correspondre à ce qui est défini dans la GPP, tout en offrant la
possibilité à l'utilisateur de modifier la configuration.
- Supprimer : Pour permettre de supprimer ce qui n'est plus utilisé, par
exemple une tâche planifiée, une clé de registre, etc... Il faudra mettre à
jour votre GPP pour utiliser l'action "Supprimer" à la place de "Mettre à
jour" (ou autre) afin de faire le nettoyage.
7. Les types de GPO
Il faut savoir que depuis Windows XP toutes les versions intègrent des
paramètres GPO. La majorité d’entre elles possèdent l’éditeur de stratégies de

~9~
groupe intégrer dans la machine comme cité plus haut. Il existe uniquement deux
types de GPO :

 GPO Active Directory : Cette stratégie ne fonctionne que si active

directory est activé. A l’aide d’une console unique, vous allez pouvoir gérer
différentes catégories de GPO a appliquer sur vos machines et utilisateurs.
 GPO Local : Ici il est possible par contre de configurer des paramètres
GPO sur une machine hors domaine (Work group) mais cela reste en local et
doit être fait machine par machine. Cette stratégie est privilégiée lorsque
active directory n’est pas disponible. Son inconvénient est la faite que la
configuration soit locale.
8. Ordre d’application des GPO active directory

Les GPO peuvent s’appliquer sur plusieurs endroits, c’est le principe de LSDOU.

 En local : C’est-à-dire la stratégie de groupe local.

 Site :

~ 10 ~
 C’est à dire la stratégie au niveau du site. Ici ses paramètres affectent
tout les compte utilisateur et ordinateurs de ce site quelques soit le domaine
ou l’OU auxquelles il appartient. Ce principe se base ici des sous réseau-Ip.
 Domaine :
C’est-à-dire la stratégie au niveau du domaine. Ici il affecte tout les
utilisateurs et touts les ordinateurs du domaine, dans toute les OU qui se
situent à un niveau inférieur.
 Unité d’Organisation :
C’est-à-dire la stratégie d’une unité d’Organisation. Il affecte tous les
utilisateurs et ordinateur qui sont sur cette OU et même les OU (unité
d’information) en dessous.

9. Processus de Création d’une GPO (Cas pratique)

Nous allons commencer par la création d’une stratégie de groupe :

Tout d’abord commençons par entrer dans l’éditeur de stratégie de groupe en

tapant : wind+R+gpedit.msc sur le menu démarrer.

~ 11 ~
 II- CLONAGE GPO

En informatique, le clonage est l’opération de copie d’une instance d’objet afin

de créer une nouvelle instance qui contienne les même informations. Dans le cas
des GPO il existe plusieurs manières de cloner une GPO afin de donner naissance a
un autre de même type.

En effet pour réaliser cette opération vous avez deux solutions, soit passer par
l’interface graphique et la console de gestion de stratégie de groupe ou utiliser
PowerShell (qui est une suite de logicielle développée par Microsoft qui intègre
une interface en ligne de commande, un langage de script nommé PowerShell). Il
es possible de choisir l’une des deux méthodes de clonage.

1. Copier une stratégie de groupe avec le Console Gestion de

Stratégie de groupe
- Depuis la console entrez dans le dossier Object de stratégie de groupe

~ 12 ~
- Sur l’objet de stratégie de groupe a cloner, faire un clic droit et cliquer sur
Copier

- Faire un clic droit sur le conteneur Objets de stratégie de groupe et cliquer

sur Coller

~ 13 ~
- Choisir la façon dont les autorisations sont copiées et cliquez sur Ok

- Une fois terminer, cliquer sur ok pour fermer la fenêtre

~ 14 ~
 - L’Objet GPO est copié et disponible dans le dossier Objets de stratégie de
groupe, il est suffixé avec le mot Copie

2. Copier une stratégie de groupe en PowerShell

Il est aussi possible de copier une stratégie de groupe (GPO) avec PowerShell à
l’aide de la commande Copy-GPO .Ouvrir une invite de commande PowerShell en
administrateur sur un contrôleur de domaine.

~ 15 ~
Utiliser la Copy-GPO pour dupliquer une stratégie de groupe avec :

Copy-GPO -SourceName Name_gpo_source -TargetName Name_of_Copy

Il est possible de vérifier dans la console Gestion de stratégie de groupe que

celle-ci est bien copié avec le nom que l’on a passé en paramètre.

~ 16 ~
Conclusion

~ 17 ~