Approfondissez votre connaissance des stratégies

de groupes

Vous avez navigué dans les paramètres des stratégies de groupes par défaut lors du
précédent chapitre. Je vous propose maintenant de créer votre première stratégie.
Pour cela, prenons un exemple tout simple : créer une GPO pour uniformiser le fond
d’écran de tous les postes d’un parc informatique !

Allez-vous utiliser les paramètres utilisateurs ou ordinateurs, qu’en est-il exactement

et quel est l’intérêt de les avoir dissociés ? C’est ce que je vous propose de découvrir
dans ce nouveau chapitre !

Prenez en main les paramètres d’une GPO

Dans une GPO, vous avez observé qu’il est possible d’avoir deux types de
configurations. Un premier type de paramètres qui s’appliquera en fonction de
l’utilisateur connecté sur la machine, quelle que soit la machine, et un second qui
s’appliquera sur la machine, quel que soit l’utilisateur connecté.

Passons en revue tout cela dans cette vidéo :

Pour chaque type de paramètres, ordinateur et utilisateur, vous allez retrouver les
informations suivantes :

 Stratégies
o Paramètres du logiciel
o Paramètres Windows
o Modèles d’administration
 Préférences
Les paramètres logiciels permettent de gérer des déploiements de logiciels de
façon centralisée.

Ce type de déploiement suppose que l’installeur du logiciel soit dans un format

particulier, le format MSI. Le MSI est un format de fichier propre à Microsoft, une
extension de nom de fichier signifiant Microsoft System Installer.
Les paramètres Windows regroupent les différents scripts qu’il va être possible
d’écrire pour exécuter des actions à différents moments clés (démarrage du poste,
connexion d’un utilisateur…). À noter que certains paramètres ne seront disponibles
que pour l’ordinateur, notamment les paramètres de pare-feu et d’autres
spécifiquement pour un utilisateur, comme les paramètres d’Internet Explorer.

C’est également ici que vous pourrez configurer une stratégie de mot de passe pour,
par exemple, un groupe d’utilisateurs particulier, ou déployer des imprimantes. Je
vous invite à naviguer dans les différents paramètres de cette section pour vous les
approprier.

Les modèles d’administration sont des fichiers au format ADMX qui permettent de

gérer la base de registre de Windows. Cela va permettre de modifier un grand
nombre de paramètres en lien avec les différentes zones du registre Windows. À
noter que vous disposez ici d’une description du paramètre et de l’impact qu’il pourra
avoir sur le comportement des clients.

Enfin, les préférences. Apparues avec Windows 2008, elles permettent de simplifier

de nombreuses tâches en apportant une interface graphique très proche de celle que
l’on pourrait retrouver sur un poste client !

Maintenant que vous avez une vue générale des paramètres existant pour une GPO,
je vous propose de passer à l’action !

Créez votre première stratégie de groupe

Pour votre première GPO, je ne vais pas vous demander de créer une stratégie trop
complexe. L’idée ici est que vous compreniez le fonctionnement et surtout, l'intérêt
d’en utiliser, pour que vous puissiez concevoir des GPO plus complexes par la suite.

Prenez une configuration simple et réaliste : le directeur de Gift S.A. souhaite que
ses employés n’oublient jamais la société pour laquelle ils travaillent. Il vous
demande donc de forcer l’affichage d’un fond d‘écran pour tous les utilisateurs de
l’entreprise.
Comme vous venez de le voir dans la vidéo, vous allez donc créer un nouvel objet
GPO en cliquant sur le nom de votre domaine dans l’outil, et le lier à ce dernier.

Nommez ce nouvel objet, de préférence, rappelez-vous, avec des

informations identifiables.

Par exemple : GPO_U_fondEcran. Cela permet de savoir qu’il s’agit d’un objet GPO
avec des paramètres utilisateur concernant le fond d’écran.

Vous devriez avoir cet affichage :

Affichage de votre GPO

En effet, le lien sur le domaine fait apparaître l’objet GPO sous le nom du domaine,
et cet objet se retrouve listé avec les autres objets GPO existants.

Faites un clic gauche sur le nom de votre GPO et sélectionnez Modifier. Vous

arrivez dans la fenêtre de personnalisation de la GPO :
Fenêtre de paramètrage de l’objet GPO
Rendez-vous dans la partie Configuration utilisateur, Stratégies, Modèle
d’administration puis dans Bureau, et Bureau à nouveau :

Emplac
ement du paramètre que vous allez modifier
Vous avez sur la partie de droite la liste des paramètres modifiables. Vous allez
modifier le paramètre Papier peint du Bureau. Cliquez sur ce paramètre, et vous
obtenez la page de configuration.
Page de configuration du paramètre Papier peint du Bureau
Je vous propose d’activer ce paramètre en cochant Activé, et de remplir les champs
disponibles. Assurez-vous d’avoir un papier peint disponible. Si vous n’en avez pas,
faites comme moi et utilisez vos talents sous Paint pour en créer un 😉 !

Une fois votre fond d’écran confectionné, stockez-le sur un emplacement réseau

accessible. Si vous n’en avez pas créé pour le moment, sachez qu’il existe des
partages par défaut sur un contrôleur de domaine : NETLOGON et SYSVOL.

Vous vous rappelez de SYSVOL, lors de la création du domaine ? Ce partage va

être répliqué entre tous les contrôleurs de domaine, et stocke notamment les objets
GPO.

NETLOGON quant à lui est un raccourci vers le répertoire script présent dans le

dossier SYSVOL\gift.sa\scripts.

Pour ce premier exemple, je vous propose d’utiliser le partage NETLOGON.

Partages par défaut d’un contrôleur de domaine
Finissez la configuration de votre papier peint avec le style que vous voulez lui
donner. Pour moi, ce sera Remplir.
Configuration terminée pour l’objet GPO fond d’écran
Vous venez de créer une stratégie de groupe (GPO) pour tous les utilisateurs
authentifiés du domaine racine gift.sa, de votre forêt Active Directory !

Pour appliquer cette GPO uniquement aux utilisateurs de l’Immeuble de région

parisienne, il suffit maintenant de déplacer cette GPO dans l’UO “Immeuble RP”.
 Affichage de votre GPO dans Immeuble RP
Maintenant, comment vérifier qu’elle s’applique correctement ? 🤔

Vérifier l’application de votre stratégie de groupe

Pour le moment, vous venez de créer votre GPO, et votre poste client n’a pas
redémarré. Si votre poste était éteint, vous n’avez qu’à vous connecter avec un
utilisateur du domaine que vous aurez préalablement créé, et vous devriez
rapidement identifier les changements !

Pour vous assurer qu’une stratégie s’applique correctement, voici deux commandes
qui pourront vous être utiles :
 gpresult
 gpupdate
La première,gpresult, permet d’afficher les informations sur l’application des
stratégies à partir d’un poste et pour l’utilisateur courant.
Par exemple, je suis connecté avec l’utilisateur Maelys sur le PCFIXE01. Voici le
résultat de la commande avec le commutateur  /R  qui permet d’afficher les
informations RSoP (Results of Set of Policy, pour résultats de jeu de stratégies) :
Jeu de stratégies - gpresult /R
Une stratégie s’est appliquée : GPO_U_fondEcran. Et en effet, mon fond d’écran est
remplacé par celui que j’ai confectionné :
Magnifique fond d’écran 😅
La seconde commande permet l’application des paramètres des GPO : gpupdate. Il
est possible de forcer l’application grâce au commutateur   /force. Ce commutateur
peut être pratique pour certains paramètres nécessitant par exemple de déconnecter
l’utilisateur courant.
La commande gpupdate sans commutateur applique les paramètres modifiés
uniquement. Le fait d'utiliser le commutateur /force oblige une nouvelle évaluation
puis l’application de tous les paramètres !
Voilà, vous avez créé une première stratégie de groupe ; je vous propose de plonger
plus en détail dans les options possibles pour un utilisateur et pour un ordinateur,
dans les prochains chapitres.

En résumé
 Les GPO distinguent les paramètres utilisateurs et ceux des ordinateurs.
 Il est possible de filtrer des GPO par groupes.
 GPRESULT  permet d’afficher le résultat de l'application des GPO.
 GPUPDATE  permet de lancer une mise à jour des GPO et d’en appliquer les
paramètres.
Vous venez de voir un des aspects majeurs d’Active Directory : les stratégies de
groupes. Mais savez-vous que vous pouvez aller encore plus loin en ajoutant des
options de restriction non disponibles par défaut ? C’est justement de ça qu’il s’agit
dans la suite du cours.