Les unités organisationnelles et les

GPO (Group Policy Object)

Les stratégies de groupe, aussi appelées GPO, sont des outils puissants de configuration de
l’environnement applicable sur des utilisateurs et/ou des ordinateurs membres d’un domaine A.D.

Les stratégies de groupe peuvent s’appliquer à des sites, des domaines, mais aussi à des unités
d’organisation. Les unités d’organisation (U.O) permettent de grouper des objets suivant vos besoins.

Ce groupe d’objets est similaire à un dossier NTFS (on peut imbriquer une U.O dans une U.O parente
par exemple), il s’agit en réalité d’un container qui contiendra des utilisateurs et/ou des machines. Les
GPO appliquées aux utilisateurs sont en général différentes des GPO appliquées aux ordinateurs, il
peut cependant y avoir des stratégies identiques, c’est le cas du déploiement d’applications par
exemple. Déployer un logiciel sur une machine ou un utilisateur est différent. En effet, appliquer une
GPO sur un ordinateur signifie « J’applique cette GPO quel que soit l’utilisateur connecté, ce type de
GPO s’appliquera généralement au démarrage de la machine. A l’inverse, l’application d’une GPO sur
un utilisateur suivra celui-ci dans ses déplacements, quel que soit la machine utilisée, ce type de
GPO s’applique généralement à l’ouverture de session.

Les U.O reflètent en général la structure organisationnelle de l’entreprise. Ces dernières sont
organisées de telle façon qu’il est possible de grouper les utilisateurs/ordinateurs selon plusieurs axes
: par fonction, par département, par zone géographique, … Ainsi, on pourra simplement appliquer
une GPO du type « il faut que les comptables disposent tous de la dernière version de leur progiciel
». Travailler avec des U.O facilite grandement la tâche des administrateurs, puisque l’on travaille sur
un ensemble structuré et non de façon unitaire.

Les filtres WMI permettent quant à eux d’ajouter une granularité supplémentaire dans l’application
des GPO. Les filtres WMI sont semblables à des requêtes SQL et permettent par exemple de dissocier
la version de l’OS installée sur les clients à l’intérieur d’un même container. Ainsi, grâce au WMI, il est
possible d’appliquer une GPO du type « je veux que la version 1.2 de mon logiciel ne soit installée que
sur des OS client disposant de Windows 10 ».

● Il est fondamental de bien différencier les unités d’organisation et les groupes de sécurité
(voir pages suivantes). Une U.O associée aux GPO permet de modeler et personnaliser
l’environnement d’un ensemble d’utilisateurs et/ou de machines. Un groupe de sécurité est
utilisé pour définir un accès pour un groupe d’utilisateurs à une ressource du réseau. Bien
que ces deux notions de « regroupement » soient souvent confondues, il convient de
connaître la différence.
 Exemple d’unités organisationnelles. Une GPO peut être affectée à chaque U.O

Voici quelques exemples de GPO :

● Déployer, mettre à jour, désinstaller un logiciel
● Lancer des scripts de démarrage/fermeture de session
● Imposer des stratégies de comptes (longueur de mot de passe, complexité, durée de
vie,…)
● Déléguer des tâches administratives
● Rediriger des documents, empêcher le plug de médias amovibles,
● Paramétrage du firewall, Stratégie IPSEC, Cryptage Wifi, PKI, …
Et bien plus encore …

Des milliers de GPO sont disponibles sur votre serveur, et ce nombre augmente avec les versions de
Windows. Ainsi, Windows serveur regroupe pas moins de 3500 stratégies de sécurité.

Microsoft tient à jour un fichier Excel référençant tous les paramètres de stratégies de groupe
disponibles en fonction des systèmes d’exploitation. Ce tableau Excel inclut Windows 10 et Windows
Server 2022. Celui-ci est disponible à l’emplacement suivant :

https://www.microsoft.com/en-us/download/details.aspx?id=25250
Ordre d’application des GPO

Une stratégie de sécurité s’applique au niveau du conteneur sur lequel elle est liée. Il est possible de
lier une stratégie au niveau d’un site, d’un domaine, d’une U.O et des U.O enfants. Une question se
pose toutefois : si j’applique par exemple une GPO au niveau de mon domaine et une autre au niveau
de mon U.O, quelle règle sera prise en compte ?

La figure ci-dessus nous montre l’ordre de priorité suivant lequel les objets GPO sont appliqués (1
étant la priorité la plus faible, 5 étant la plus élevée).

Généralement, la GPO la plus proche de l’objet concerné sera appliquée mais ce n’est pas toujours le
cas. En effet, chaque paramètre de GPO peut être dans un des états suivants :

∙ Activé : Le paramètre de stratégie est actif

∙ Désactivé : Le paramètre de stratégie est désactivé
∙ Non configuré : le paramètre ne dépend pas de cette stratégie -> hérite du paramètre de la
GPO située juste au-dessus.
Niveau GPO1 GPO2 GPO3 GPO4

Locale NC A NC D

Site NC D NC NC

Domaine D A NC NC

U.O NC A NC NC

U.O enfant NC NC NC A

Résultat D A D A
A=Activé D=Désactivé NC=Non configuré

● Si la stratégie la plus proche est activée, alors le paramètre est actif

● Si la stratégie la plus proche est désactivée, alors le paramètre est désactivé
● Si la stratégie la plus proche est Non configurée, alors elle hérite de la stratégie située au
niveau supérieur.
En l’absence de stratégie, elle sera désactivée.

Pour ouvrir la console d’administration GPO c’est très simple, il vous suffit d’ouvrir une fenêtre
exécuter et d’écrire gpedit.msc comme ceci :

Par défaut, deux stratégies sont créées en même temps que l’environnement Active Directory :

● Default Domain Policy : est appliquée à l’ensemble du domaine, contient par défaut une
stratégie de mot de passe et la stratégie Kerberos.
● Default Domain Controllers Policy : est appliquée à l’unité d’organisation Domain
Controllers et permet d’appliquer les paramètres par défaut pour les contrôleurs de
domaine.

Si vous modifiez ou supprimez ces stratégies, il faudra utiliser la commande “DCGPOFIX” . A noter
également que toutes vos stratégies sont stockées dans le dossier Policies qui se trouve au
chemin d’accès suivant : “\\domain\sysvol\domain\policies” Ce dossier est répliqué sur
l’ensemble des contrôleurs de domaine.
 TP Stratégie de groupe
Ce TP est divisé en deux parties, la première vous allez utiliser les propriétés utilisateurs et
dans la seconde partie des stratégies de groupe.

Pour la réalisation de ce TP, vous allez devoir créer un partage réseau dans le contrôleur de
domaine afin que celui-ci puisse être utilisé.

Pour le script voici le contenu du fichier vbs :

msgbox “Hello World”

Exercice 1 :
Ajouter un script d’ouverture de session dans les propriétés utilisateur et configurer un lecteur
réseau P.

Exercice 2 :
Si vous avez réalisé l’exercice 1, remettre les propriétés par défaut. Ensuite :

Créer une stratégie de groupe pour appliquer un script d’ouverture de session

Créer une stratégie pour mapper le lecteur réseau.
Créer une stratégie pour afficher un fond d’écran personnalisé.
Créer une stratégie de groupe afin que les ordinateurs du domaine installent les mises à jour
automatiquement.

Quelques ressources :

https://247-it.io/partager-dossier-windows-serveur/
https://247-it.io/mappage-lecteur-reseau-gpo-et-script/
https://247-it.io/gpo-script-ouverture-session/
https://247-it.io/gpo-executer-script-demarrage-ordinateur/
https://247-it.io/installation-configuration-wsus-windows-serveur/6/