GPO1 – Renforcement des mots de passe utilisateurs et sécurisation des ordinateurs

Le but de cette GPO est de s’assurer qu’aucun mot de passe trivial ne pourra être utilisé pour la
connexion à l’annuaire. Cette GPO définit également quand est-ce qu’un compte va être bloqué
après un nombre donné de faux mots de passe entrés et combien de temps le compte va être
bloqué. Comme option de sécurité, on prévient d’afficher le nom de l’utilisateur précédemment
connecté. Cette GPO s’applique à tous les ordinateurs du domaine beaureseau.sa

GPO-2 – Verrouillage des ordinateurs après un temps d’inactivité

Un écran de veille doit s’activer après 10 minutes d’inactivité de l’utilisateur (on active la demande de
mot de passe). Cette GPO s’applique à tous les utilisateurs du domaine beaureseau.sa
GPO-3 – Session bureau à distance

Cette GPO donne l’accès à une ouverture de session distante à des ordinateurs du domaine. On
restreint les accès en tant qu’administrateur local des postes en session de bureau à distance en créant
un groupe de sécurité (ne disposant pas des droits d’administration) contenant des utilisateurs devant
ouvrir une session bureau à distance.

GPO-4 – Bloquer des programmes et empêcher l’installation de logiciels – restriction logicielle

Cette GPO permet de bloquer le lancement de programmes et empêcher l’installation de certains

logiciels avec la stratégie de restriction logicielle. Par défaut, si les utilisateurs ne sont pas
administrateurs (local) de l’ordinateur, il n’est normalement pas possible d’installer des programmes,
par contre il est possible de lancer des applications portables qu’ils téléchargent sur Internet. Cette
stratégie de groupe permet de bloquer cela. En plus des programmes (EXE / MSI), cette stratégie de
groupe bloque l’exécution de script (bat/powershell…).
Seuls les programmes des répertoires Windows et Program Files seront autorisés.

Ci-dessous le résultat de la stratégie appliqué au poste client utilisateur.