TP

Stratégies de groupe (GPO)

Objectif :
 Configurer et tester le bon fonctionnement des stratégies de groupe
Besoins :
Pour réaliser ce TP on aura besoin de trois machines :
 Une machine Windows 2019 server qui va jouer le rôle du contrôleur de domaine et
du serveur DNS
 Deux machines clientes Windows 7
Partie 1 : installation d’active directory et de la fonctionnalité gestion des
stratégies de groupe
1. Configurez les paramètres IP des machines (le serveur et les clients) comme indiqué
sur le tableau :

Serveur Client1 Client2

Adresse 192.168.1.1 192.168.1.3 192.168.1.4
Masque 255.255.255.0 255.255.255.0 255.255.255.0
Passerelle 192.168.1.254 192.168.1.254 192.168.1.254
DNS préféré 192.168.1.1 192.168.1.1 192.168.1.1
DNS auxiliaire 192.168.1.2 192.168.1.2 192.168.1.2
2. Installez active directory sur le serveur avec les paramètres suivants :
 Nom de domaine : ofppt.org
 Niveau fonctionnel : Windows 2019
 Mot de passe de restauration : azerty.123
3. Joignez les machines clientes au domaine ofppt.org.
4. Créez trois unités d’organisation appelées respectivement stagiaires, formateurs et
administrateurs
5. Créez deux utilisateurs formateur1 et formateur2 dans l’unité d’organisation
formateurs, deux utilisateurs stagiaire1 et stagiaire2 dans l’unité d’organisation
stagiaires et deux utilisateurs administrateur1 et administrateur2 dans l’unité
d’organisation administrateurs.
6. Installez la fonctionnalité gestion des stratégies de groupe

Partie 2 : Présentation des stratégies de groupe du TP à créer

Nous allons créer quatre stratégies de groupes au niveau du domaine, qui seront
appliquées de manière ciblée à différents utilisateurs.
 a. La stratégie de groupe nommé « invite de commandes » s’applique à tous les
utilisateurs. Elle est composée des paramètres suivants :
 Empêcher l’accès à l’invite de commande ;
b. La stratégie de groupe nommé « GPO-formateurs » s’applique aux formateurs. elle
est composée des paramètres suivants:
 Empêcher l’accès au panneau de configuration ;
c. La stratégie de groupe « GPO-stagiaires » s’applique aux stagiaires. Elle est
composée des paramètres suivants :
 Empêcher l’accès au panneau de configuration ;
 Suppression du menu « exécuter » dans le menu Démarrer ;
 Suppression des connexions réseau dans le menu démarrer
d. La stratégie de groupe « GPO-administration » s’applique aux administrateurs. elle
est composé des paramètres suivants :
 Désactivation de l’accès à la base de registre ;

Partie 3 : configuration de la stratégie de groupe invite de commandes

1. Créez une stratégie de groupe nommée « invite de commandes » permettant de
désactiver l’invite de commande pour tous les utilisateurs du domaine ofppt.org
a. Créez de la GPO « invite de commandes »
 Aller dans le menu « Démarrer », « Outils d’administration », « Gestion
des stratégies de groupes ».
 Ouvrir l’arborescence du domaine « ofppt.org », faites un clic droit sur «
Objet de stratégies de groupe » et sélectionner « Nouveau », puis Donner
le nom « invite de commandes » à la stratégie et valider :

b. Pour définir les paramètres de cette nouvelle GPO, faites un clic droit dessus et
sélectionner « modifier »
L’éditeur des stratégies de groupes s’ouvre.

Développer l’arborescence de la « Configuration utilisateur », « Stratégies »,

« Modèle d’administration » et sélectionner « système ». A droite se trouve
la stratégie « désactiver l’accès à l’invite de commandes » :
 Faites un clic droit sur « Empêcher l’accès à l’invite de commandes », et cliquer sur «
Propriétés ». Cliquer sur « Activer » et valider :

Vous pouvez à présent fermer la fenêtre de l’éditeur des stratégies.

c. Revenez à la console gestion des stratégies de groupe, faites une actualisation

puis affichez les paramètres de la GPO « invite de commandes »

2. Afin que la GPO puisse être appliquée à tous les utilisateurs du domaine, il faut la Lier
au domaine ofppt.org. Pour cela, procéder comme suit :
 Ouvrir le gestionnaire de stratégies de groupe ;
 Ouvrir l’arborescence de la forêt « ofppt.org » et cliquer droit sur « ofppt.org
». Sélectionner « Lier un objet de stratégie de groupe existant » ;
 Dans la liste, sélection les stratégies de groupes « invite de commandes » et
valider :
 3. Afin de tester l’application de la stratégie de groupe « invite de commandes » à tous
les utilisateurs du domaine, connectez-vous à partir du client1 au domaine en
utilisant le compte formateur1. Puis essayez d’accéder à l’invite de commande ? que
remarquez-vous ?

4. Refaites le même test avec au moins deux autres comptes (stagiaire1 à partir du
client1 et administrateur1 à partir du client2)

Partie 4 : configuration de la stratégie de groupe GPO-formateurs

La stratégie de groupe nommé « GPO-formateurs » s’applique aux formateurs et est
composée de la restriction suivante :

 Empêcher l’accès au panneau de configuration ;

1. Créez une nouvelle stratégie de groupe nommée « GPO-formateurs »
2. A partir de la console « Editeur de gestion des stratégies de groupe » ajoutez le
paramètre « Empêcher l’accès au panneau de configuration » à la GPO-
formateurs
3. Revenez à la console gestion des stratégies de groupe, faites une actualisation et
affichez les paramètres de la GPO « GPO-formateurs »
4. Afin de limiter l’application de la GPO juste aux formateurs, Liez-la à l’unité
d’organisation formateurs.
5. Affichez les stratégies de groupe qui sont appliquées à l’unité d’organisation
« formateurs »

- Quelles sont les stratégies de groupe qui ont été héritées par l’unité
d’organisation « formateurs » ?
6. Afin de tester l’application des stratégies de groupe « invite de commandes » et
« GPO-formateurs » aux formateurs,
a. connectez-vous à partir du client1 au domaine en utilisant le compte
formateur1, puis essayez d’accéder à l’invite de commande ? que remarquez-
vous ?
 b. connectez-vous à partir du client1 au domaine en utilisant le compte
formateur2, puis essayez d’accéder au panneau de configuration? que
remarquez-vous ?
c. refaites les deux tests à partir du client2
7. Afin de tester que la stratégie de groupe « GPO-formateurs » n’est pas appliquée
aux stagiaires et aux administrateurs,
a. connectez-vous à partir du client1 au domaine en utilisant un compte
stagiaire, puis essayez d’accéder au panneau de configuration? que
remarquez-vous ?
b. refaites le test à partir du client2 en utilisant un compte administrateurs ? que
remarquez-vous ?

Partie 5 : configuration de la stratégie de groupe GPO-stagiaires

La stratégie de groupe « GPO-stagiaires » s’applique aux stagiaires et est composée des
restrictions suivantes :

 Empêcher l’accès au panneau de configuration ;

 Suppression du menu « exécuter » dans le menu Démarrer ;
 Suppression des connexions réseau dans le menu démarrer
1. Créez une nouvelle stratégie de groupe nommée « GPO-stagiaires»
2. A partir de la console « Editeur de gestion des stratégies de groupe » ajoutez le
paramètre « Empêcher l’accès au panneau de configuration » à la GPO-stagiaires
3. A partir de la console « Editeur de gestion des stratégies de groupe » ajoutez le
paramètre « supprimer le menu exécuter du menu démarrer » à la GPO-stagiaires
4. A partir de la console « Editeur de gestion des stratégies de groupe » ajoutez le
paramètre « supprimer les connexion réseau du menu démarrer » à la GPO-
stagiaires

8. Revenez à la console gestion des stratégies de groupe, faites une actualisation et

affichez les paramètres de la GPO « GPO-stagiaires »
 9. Afin de limiter l’application de la GPO juste aux stagiaires, Liez-la à l’unité
d’organisation stagiaires.
10. Afin de tester l’application de la stratégie de groupe « GPO-stagiaires » aux
stagiaires, connectez-vous à partir d’un client au domaine en utilisant le compte
stagiaire, puis essayez d’accéder :
 Au panneau de configuration ? que remarquez-vous ?
 au menu « exécuter » dans le menu Démarrer ? que remarquez-vous ?
 aux connexions réseau à partir du menu démarrer ? que remarquez-vous ?
11. Afin de tester que la stratégie de groupe « GPO-stagiaires » n’est pas appliquée
aux administrateurs et au formateurs, connectez-vous à partir d’un client au
domaine en utilisant un compte formateur ou administrateur, puis essayez
d’accéder :
 Au panneau de configuration ? que remarquez-vous ?
 au menu « exécuter » dans le menu Démarrer ? que remarquez-vous ?
 aux connexions réseau à partir du menu démarrer ? que remarquez-vous ?

Partie 6 : configuration de la stratégie de groupe GPO-administration

La stratégie de groupe « GPO-administration » s’applique aux administrateurs et est
composé de la restriction suivante :

 Désactivation de l’accès à la base de registre ;

1. Créez une nouvelle stratégie de groupe nommée « GPO-administration »
2. A partir de la console « Editeur de gestion des stratégies de groupe » ajoutez le
paramètre « Empêcher l’accès aux outils de modifications du registre » à la GPO-
administration
3. Revenez à la console gestion des stratégies de groupe, faites une actualisation et
affichez les paramètres de la GPO « GPO-administration »

4. Afin de limiter l’application de la GPO juste aux administrateurs, Liez-la à l’unité

d’organisation administrateurs.
5. Afin de tester l’application de la stratégie de groupe « GPO-administration » aux
administrateurs, connectez-vous à partir d’un client au domaine en utilisant le
compte administrateur, puis essayez d’accéder  au registre :
 Démarrer  exécuter  regedit
6. Afin de tester que la stratégie de groupe « GPO-administration » n’est pas appliquée
aux formateurs, connectez-vous à partir d’un client au domaine en utilisant un
compte formateur, puis essayez d’accéder  au registre ? que remarquez-vous ?

Partie 7 : Bloquer l’héritage et forcer l’application des GPO

La stratégie de groupe « invite de commandes » est liée au domaine « ofppt.org » et par
conséquent elle sera appliqué à tous les utilisateurs du domaine.

Si on ne veut pas appliquer cette GPO pour les formateurs il faut bloquer l’héritage au
niveau de l’unité d’organisation « formateurs »

1. Vérifiez que la GPO « invite de commandes » est appliquée à tous les utilisateurs
(formateurs, stagiaires et administrateurs)
2. bloquez l’héritage de la GPO « invite de commandes » au niveau de l’unité
d’organisation « formateurs »

3. affichez l’héritage de stratégie de groupe pour l’unité d’organisation « formateurs »

4. vérifiez que la GPO « invite de commandes » est toujours appliquée sur les stagiaires
et les administrateurs mais pas sur les formateurs
5. si l’administrateur du domaine « ofppt.org » veut que la GPO « invite de
commandes » soit appliqué même si un administrateur délégué bloque l’héritage, il
doit forcer son application :
a. forcer l’application de la GPO « invite de commandes » à partir du domaine
ofppt.org

b. affichez l’héritage de stratégie de groupe pour l’unité d’organisation

« formateurs »
 c. vérifiez que la GPO « invite de commandes » est maintenant appliquée aux
formateurs même si on a bloqué l’héritage au niveau l’unité d’organisation
« formateurs »

Partie 8 : Filtrage NTFS des stratégies de groupe

Une fois une GPO est liée à un conteneur « site, domaine ou unité d’organisation », il sera
appliquée à tous les utilisateurs ou ordinateurs de ce conteneur. Si on désire que la GPO
s’applique juste à quelques utilisateurs ou ordinateurs on doit utiliser le filtrage NTFS.

La stratégie de groupe « GPO-stagiaires » est composée des restrictions suivantes :

 Empêcher l’accès au panneau de configuration ;

 Suppression du menu « exécuter » dans le menu Démarrer ;
 Suppression des connexions réseau dans le menu démarrer

Cette GPO a été lié à l’unité d’organisation « stagiaires » et du fait elle sera appliquée sur les
deux stagiaires (stagiaire1 et stagiaire1)

1. Vérifiez que la GPO « GPO-stagiaires » est appliquée aux deux stagiaires

2. On veut que cette GPO ne soit appliquée que sur le stagiaire1 et pas au stagiaire2
a. Dans l’étendu de la GPO « GPO-stagiaires », supprimez « utilisateurs
authentifiés ».
 b. Afin que la GPO soit appliquée au stagiare1, Dans l’étendu de la GPO « GPO-
stagiaires », ajoutez stagiare1

3. vérifiez que la GPO « GPO-stagiaires » est maintenant appliquée juste à stagiaire1 et

pas au stagiaire2.

Partie 9 : Exécution d’un script à l’ouverture d’une session à l’aide d’une GPO
Nous allons créer une GPO permettant d’afficher une fenêtre avec un message de
bienvenue pour les administrateurs.
Pour cela :
1. Editer la stratégie de groupe « GPO-administration »
2. Aller dans « Configuration Utilisateur », « Paramètres Windows », « Scripts
(Ouverture / Fermeture de session) » et double cliquer sur « Ouverture de
Session » à droite :
3. Cliquer sur « Ajouter » et « Parcourir » :

4. Faites un clic droit et sélectionner « Nouveau document texte » et Donner le

nom « script_direction » à votre document.
5. Modifiez votre document en ajoutant le code suivant :
MsgBox "Bonjour administrateur"
6. sauvegardez-le et modifiez l’extension en « .vbs »

7. cliquez sur ouvrir et complétez les autres étapes

8. ouvrez une session en tant que administrateur1 sur une machine cliente ? le
script s’est-il exécuté lors de l’ouverture de la session ?
9. ouvrez une session en tant que administrateur2 sur une machine cliente ? le
script s’est-il exécuté lors de l’ouverture de la session ?