01/01/2014 GPO

Stratégie de groupe dans un environnement

Active Directory

Anthony MAESTRE
CFA ROBERT SCHUMAN
 Principales fonctionnalités
Les stratégies de groupe (ou GPO pour Group Policy Object) sont des fonctions de gestion centralisée
de la famille Microsoft Windows. Elles permettent la gestion des ordinateurs et des utilisateurs dans
un environnement Active Directory. Les stratégies de groupe incluent la gestion des ordinateurs
déconnectés, la gestion des utilisateurs itinérants ou la gestion de la redirection des dossiers ainsi
que la gestion des fichiers en mode déconnecté.

Les stratégies de groupe peuvent contrôler des clés de registre, la sécurité NTFS, la politique de
sécurité et d’audit, l’installation de logiciel, les scripts de connexion et de déconnexion, la redirection
des dossiers, et les paramètres d’Internet Explorer. Les paramétrages sont stockés dans les stratégies
de groupe. Chaque stratégie de groupe possède un identifiant unique appelé GUID (« Globally
Unique Identifier »). Chaque stratégie de groupe peut être liée à un ou plusieurs domaines, site ou
unité d’organisation (en). Cela permet à plusieurs objets ordinateurs ou utilisateurs d’être contrôlés
par une seule stratégie de groupe et donc de diminuer le coût d’administration globale de ces
éléments.

Les stratégies de groupe sont analysées et appliquées au démarrage de l’ordinateur et pendant

l’ouverture de session de l’utilisateur. Les ordinateurs rafraîchissent les paramètres transmis par les
stratégies de groupe de façon périodique, généralement toutes les 60 ou 120 minutes, ce paramètre
étant ajustable par un paramètre de stratégie de groupe.

Les stratégies de groupes sont des ensembles de paramètres qui s'appliquent aux utilisateurs et
ordinateurs. Elles permettent de gérer plus facilement la sécurité d'un poste ou de plusieurs postes
dans un Domain. Les GPO ne s'appliquent pas aux groupes, mais comme dit précédemment aux
postes et utilisateurs, qui se trouvent dans un conteneur ou une UO (Unité Organisation). Elles
permettent à titre d'exemples de rediriger le dossier Mes Documents, de déployer des Logiciels en
fonction des services d'une entreprise ou des utilisateurs.

Les stratégies de groupe sont supportées sur Windows 2000, Windows XP Pro, Windows Vista,
Windows 2003, Windows 2008, Windows 7, Windows 8 et Windows 2012.

Les GPO existent dès la création d’un Domain.

Héritage d’une GPO

L’ordre dans lequel les objets GPO sont appliqués dépend du conteneur active directory auquel sont
liés les objets. Ils sont hérités et appliqués dans l’ordre suivant : au site, au domaine puis aux unités
d’organisation.

Chaque paramètre d’une GPO peut être configuré ou non, s’il n’est pas configuré, un paramètre ne
provoque pas de conflit. Cependant si des paramètres configurés entrent en conflit, l’échelle de
priorité précédente détermine le paramètre à appliquer. Lorsque plusieurs GPO sont appliqués sur
une OU, la GPO la plus élevée (la première) est la plus prioritaire et la dernière, la moins prioritaire.

En cas de conflit dans la configuration des GPO de différents niveaux, par défaut, on appliquera le
1
Page

paramètre de la GPO la plus proche de l’objet. Voici les règles applicables par défaut :
 - Dans le cas d’un domaine, les GPO appliquées celui-ci sont héritées de domaine père en
domaines fils.

- Dans le cas d’une Unité d’organisation, les GPO appliquées à celle-ci sont héritées d’une
unité d’organisation mère en unités d’organisations filles.

Il existe néanmoins des exceptions dans la mesure où pour chaque conteneur (OU ou domaine) les
deux options suivantes sont configurables :

- Bloquer l’héritage : Lorsque cette case est cochée, aucune GPO supérieure ne sera héritée
par le conteneur en question.

- Ne pas passer outre : Cette exception va empêcher qu’une GPO plus proche de l’objet
utilisateur ou ordinateur ne prime sur une GPO plus éloigné.

Dans la mesure où ils sont définis une seule fois pour tout le domaine dans la première GPO, certains
paramètres font exception à l’ordre d’application et aux possibilités d’héritage : c’est le cas des
paramètres de mots de passe et ceux de verrouillage de compte. Si ces derniers sont définis à un
autre emplacement, ils n’auront aucun effet.

Pourquoi ? Pour qui ?

Bien que les stratégies de groupe soient régulièrement utilisées dans les entreprises, elles sont
également utilisées dans les écoles ou dans les petites organisations pour restreindre les actions et
les risques potentiels comme le verrouillage du panneau de configuration, la restriction de l’accès à
certains dossiers, la désactivation de l’utilisation de certains exécutables, etc.

Déroulement du TP
Ce TP a été effectué dans le cadre scolaire, en autonomie. Pour les besoins de celui-ci, nous avons
virtualisé Windows 2008 server via Virtual Box, dans lequel nous avons installé Active Directory.

Nous avons également installé une machine cliente Windows 7 afin de vérifier les stratégies de
groupe appliquées.

Tout d’abord, une fois Active Directory installé, nous devons ouvrir le gestionnaire de stratégie de
groupe depuis « menu démarrer, outils d’administration, gestion des stratégies de groupe » puis,
dans l’arborescence du domaine faire un clic droit sur « objets de stratégie de groupe » et choisir
« nouveau » comme montré ci-dessous :
2
Page
 Ensuite, il nous ai demandé de choisir un nom pour la nouvelle stratégie de groupe, nous voulons
forcer l’activation du pare-feu du domaine sur les machines clientes, nous nommons donc cette
stratégie comme suit :
3
Page
 Une fois la stratégie créé, elle apparait dans l’arborescence à gauche, pour la configurer, il suffit de la
sélectionner avec un clic droit et de choisir « modifier », nous arrivons ensuite sur l’éditeur de
gestion des stratégies de groupe
4
Page
 Une fois arrivé sur cette page, c’est ici que se configure les stratégies de groupe que nous voulons
appliquer. Elles sont classés par type, c’est pourquoi nous avons le choix entre crée une stratégie
applicable sur les ordinateurs ou les utilisateurs. Nous voulons appliquer cette règle sur les
ordinateurs, nous choisissons donc « configuration ordinateur » puis « stratégie » puis « paramètre
Windows ». Les stratégies de pare-feu faisant partie du domaine de la sécurité, nous choisissons
« paramètre de sécurité »
5
Page
 Une fois paramètre de sécurité sélectionné, nous nous trouvons dans l’arborescence du menu
« paramètre de sécurité ». Dans cette arborescence, nous trouvons « pare-feu Windows avec
fonctions avancées » que nous sélectionnons avec un clic droit puis propriétés.

Nous arrivons donc dans les propriétés du pare-feu Windows que nous configurons comme ci-
dessous :
6
Page
 Nous autorisons la réponse en monodiffusion et bloquons les connexions entrantes. Nous
désactivons les règles de pare-feu locale ainsi que la sécurité de connexion locale afin d’appliquer les
paramètres de sécurité du domaine avec la stratégie de groupe.

Puis, dans l’Active Directory nous créons une « unité d’organisation » à la racine du domaine, que
nous nommons « Seven », qui désigne le système des machines clientes.
7
Page
 Dans cette UO, nous y ajoutons le nom de la machine cliente qui devra être soumis à la stratégie de
groupe, puis nous la déplaçons pour l’ajouter dans l’UO « Seven » se situant dans l’arborescence de
« gestion des stratégies de groupe »
8
Page
 Une fois fait, il nous reste plus qu’à lier cette UO qui se trouve dans l’arborescence de
« fonctionnalité » « gestion des stratégies de groupe », à la stratégie que nous avons créée.

Une fois l’UO lié à la stratégie « configuration du Pare-Feu Windows », la machine cliente est soumise
à cette règle au bout de 90 minutes (temps de mise à jours des stratégies), cependant, afin de ne pas
attendre nous allons forcer cette mise à jour.
9
Page
 Pour ce faire, nous nous connectons sur la machine cliente, et ouvrons l’invite de commande afin de
saisir la commande suivante :

Gpupdate /force

Afin d’afficher le résultat de cette mise à jour et consulter les stratégie qui ont été mis en place, nous
tapons la commande :

Gpresult /h rapport.html (rapport.html nous permet d’afficher le résultat via un navigateur)

10
Page
 Nous pouvons constater que le pare-feu de la machine cliente est activé et suit les règles de sécurité
du domaine. Notons qu’il est impossible pour les utilisateurs de modifier/désactiver ce pare-feu.

Nous allons maintenant établir une nouvelle stratégie qui consiste à supprimer la fonction « centre et
réseau de partage » du panneau de configuration afin qu’il soit impossible pour les utilisateurs d’y
accéder.

Pour ce faire, nous procédons comme précédemment, dans le centre de gestion des stratégies de
groupe, nous créons et nommons une nouvelle stratégie, puis nous nous rendons dans
l’arborescence qui concerne les stratégies du panneau de configuration, autrement dit dans
« configuration ordinateur » « stratégies » « modèles d’administration » « panneau de
configuration » comme montré ci-dessous :
11
Page
 Puisque notre but est de masquer un élément, dans l’arborescence des stratégies du panneau de
configuration, nous sélectionnons « Masquer les éléments du panneau de configuration spécifique »,
nous cochons la case « activé » et tapons le nom de l’élément que nous voulons cacher, ici « centre
de réseau et partage »

Attention : Le nom doit être tapé exactement comme il est nommé dans le panneau de
configuration, les accents et les majuscules comptent
12
Page
Page
13
 Une fois effectué, il nous reste plus qu’à lier cette stratégie à la machine créé précédemment dans
l’UO « Seven », de la même façon qu’expliqué précédemment pour la stratégie du Pare-Feu Windows

L’élément « Centre de réseau et partage » du panneau de configuration a maintenant disparu de la

machine cliente, il est donc inaccessible pour tous les utilisateurs utilisant cette machine.
14
Page