Travaux pratiques sur les stratégies de groupes GPO

1. Ouvrez une session sur votre contrôleur de domaine puis lancez la console
Utilisateurs et ordinateurs Active Directory.

2. Dans votre domaine laboRSI.dz, créez L’UO RSIS4

3. Dans RSIS4 créez des utilisateurs :

Yacine@laboRSI.dz
Hichem@laboRSI.dz
Larbi@laboRSI.dz
Bouchra@laboRSI.dz
Sara@laboRSI.dz
Amine@laboRSI.dz

4. créez deux groupes globaux :

Un groupe global GG1 qui contient Yacine, larbi et sara
Un autre groupe global GG2 qui contient Hichem, bouchra et Amine

5. Créez une GPO qui permet de paramétrer le mot de passe pour tous les utilisateurs
comme suit : longueur minimale=12, activer la complexité ?

6. Créez une GPO qui interdit l’accès au panneau de configuration pour Hichem, Bouchra
et Amine ?

7. Créez une GPO qui interdit l’accès au gestionnaire des tâches pour Yacine, Larbi et
Sara ?

8. Créez une GPO qui lance automatiquement une application (Exemple : Wordpad) pour
tous les ordinateurs du domaine.

9. Créez une GPO qui permet d’empêcher des utilisateurs d’installer une imprimante
locale.

1
TP1 GPO : Paramétrage du mot de passe
Créez une GPO qui permet de paramétrer le mot de passe pour tous les utilisateurs
comme suit : longueur minimale=12, activer la complexité ?
1-Lancez la console Utilisateurs et ordinateurs Active Directory et créez L’UO
et tous les comptes users et comptes de groupes
2- Dans outils, lancez la console Gestion de stratégie de groupe, et dans l’arborescence,
cliquez sur le nom de votre domaine.
3-Selectionnez Default Domain Policy (Stratégie de domaine par défaut)
Allez dans paramètres, configuration d’ordinateurs, sécurité (vous allez voir les
paramètres imposés sur tous les ordinateurs du domaine).
Vous pouvez vérifier ces paramètres sur les paramètres de stratégie locale (Modèles
d’administration…….)
Pour modifier les paramètres de la GPO :
- Clic droit sur Default Domain Policy et choisir Modifier dans le menu contextuel
- Aller dans Computer configuration, Windows settings, Security settings, Account
policy, Password policy
(Configuration d’ordinateur, paramètres Windows, paramètres de sécurité, stratégie de
compte, stratégie de mot de passe)
- Modifiez les paramètres que vous voulez : pour notre cas longueur minimale
et Activez la complexité du mot de passe.
Vérifiez l’application de la GPO :
-Démarrez la VMWARE pour le poste client Windows7
-Ouvrez une session avec n’importe quel utilisateur que vous avez créez
Si vous ne voyez pas que votre GPO est appliquée, forcez-la avec la commande :
gpupdate /force

2
TP2 GOP : Interdire l’accès au panneau de configuration
Créez une GPO qui interdit l’accès au panneau de configuration pour Hichem, Bouchra et
Amine ?
1- Créer la GPO
2- lier la GPO à l’OU, l’ordinateur, l’utilisateur ou le groupe des utilisateurs
3- Vérifier l’application de la GPO sur les objets concernés.
1- Créer la GPO :
Clic droit sur Group Policy objects, Choisir NEW, donnez un nom à votre GPO
(exemple : Interdire Panneau) puis cliquez sur OK
On veut l’appliquer sur Hichem, Bouchra et Amine qui appartiennent au groupe global
GG2, donc on va aller à User configuration comme suit :
Clic droit sur la GPO « Interdire panneau » que vous avez créez pour la configurer ,
Choisir Modifier
Aller dans user configuration, Administratives Templates policy definition, control
panel
(Configuration utilisateur, Modèles d’administration, panneau de configuration)
Activez le paramètre Prohibit acces to control panel and pc settings (Interdire l’acces
au panneau de configuration)
2- Lier la GPO au groupe GG2
Clic droit sur l’UO concernée
Sélectionnez lier un objet de stratégie existant
Choisir la stratégie que vous avez créez et validez votre choix
Allez en ligne de commande et forcez sl’application de la GPO : gpupdate/force

3- Vérifier l’application de la GPO sur les objets concernés.

- Ouvrez une session avec l’un des utilisateurs du groupe GG2
- Vérifiez si panneau de configuration existe dans leur session

3
TP3 GPO : INTERDIT L’ACCES AU GESTIONNAIRE DES TACHES
Créez une GPO qui interdit l’accès au gestionnaire des tâches pour Yacine, Larbi et
Sara ?
1- Créer la GPO
2- lier la GPO à l’OU, l’ordinateur, l’utilisateur ou le groupe des utilisateurs
3- Vérifier l’application de la GPO sur les objets concernés.
1- Créer la GPO :
Clic droit sur Group Policy objects, Choisir NEW, donnez un nom à votre GPO
(exemple : Interdire Gestionnaire) puis cliquez sur OK
On veut l’appliquer sur Hichem, Bouchra et Amine qui appartiennent au groupe global
GG1, donc on va aller à User configuration comme suit :
Clic droit sur la GPO « Interdire Gestionnaire » que vous avez créez pour la
configurer , Choisir Modifier
Aller dans user configuration, Administratives Templates policy definition, system,
CTRL+Alt+DEL
(Configuration utilisateur, Modèles d’administration, panneau de configuration)
Activez le paramètre Remove Task Managergs (Supprimer le gestionnaire des tâches)
2- Lier la GPO au groupe GG1
Clic droit sur l’UO concernée
Sélectionnez lier un objet de stratégie existant
Choisir la stratégie que vous avez créez et validez votre choix
Allez en ligne de commande et forcez l’application de la GPO : gpupdate/force

3- Vérifier l’application de la GPO sur les objets concernés.

- Ouvrez une session avec l’un des utilisateurs du groupe GG1
- Vérifiez si le gestionnaire des tâches est accessible dans leur session (clic droit sur barre
des tâches) ou appuyez sur Ctrl+Alt+Suppr

4
TP4 GPO : INTERDIT D’INSTALLER UNE IMPRIMANTE LOCALE
Créez une GPO qui interdit l’accès au gestionnaire des tâches pour Yacine, Larbi
et Sara ?
1- Créer la GPO
2- lier la GPO à l’OU, l’ordinateur, l’utilisateur ou le groupe des utilisateurs
3- Vérifier l’application de la GPO sur les objets concernés.
Créez une GPO qui permet d’empêcher des utilisateurs d’installer une imprimante locale.
1- Créer la GPO :
Clic droit sur Group Policy objects, Choisir NEW, donnez un nom à votre GPO
(exemple : Blocage imprimante locale) puis cliquez sur OK
Donc on va aller à User configuration dans default Domain policy comme suit :
Clic droit sur la GPO « Blocage imprimante locale» que vous avez créez pour la
configurer, Choisir Modifier
Aller dans user configuration, Administratives Templates policy definition, control
panel, printers
(Configuration utilisateur, Modèles d’administration, panneau de configuration,
imprimantes)
Activez le paramètre Prevent addition of printers (Interdire l’ajout d’imprimante)

2- Lier la GPO
La GPO doit être appliqué sur tout le domaine

3- Vérifier l’application de la GPO sur les objets concernés.

- Ouvrez une session avec l’un des utilisateurs du domaine
- Vérifiez si cet utilisateur peut ajouter une imprimante

5
TP5 GPO : Lancer automatiquement une application
1- Créer la GPO
2- lier la GPO à l’OU, l’ordinateur, l’utilisateur ou le groupe des utilisateurs
3- Vérifier l’application de la GPO sur les objets concernés.
1- Créer la GPO :
Clic droit sur Group Policy objects, Choisir NEW, donnez un nom à votre GPO
(exemple : Lancer Wordpad) puis cliquez sur OK
on va aller à computer configuration (configuration ordinateur)comme suit :
Clic droit sur la GPO « Lancer Wordpad» que vous avez créez pour la configurer ,
Choisir Modifier
Aller dans computer configuration, strategies,Administratives Templates policy
definition, system, login
(Configuration ordinateur, stratégies, Modèles d’administration, system, ouverture de
session)
Activez le paramètre Exécuter ces programmes à l’ouverture de session
Cliquez sur Afficher et saisir la valeur suivante :
¨%ProgramFiles%\\WindowsNT\Accessories\wordpad.exe¨
2- Lier la GPO au groupe GG2
Clic droit sur l’UO concernée
Sélectionnez lier un objet de stratégie existant
Choisir la stratégie que vous avez créez et validez votre choix
Allez en ligne de commande et forcez si l’application de la GPO : gpupdate/force

3- Vérifier l’application de la GPO sur les objets concernés.

- Ouvrez une session avec l’un des utilisateurs de l’UO
- Vérifiez si Wordpad se lance dès l’ouverture de session

6
TP6 GPO : Déploiement de logiciels
Méthode :
- Télécharger le package d’installation .RSI
- Créer un dossier partagé et placer le package à l’intérieur.
- Créer une GPO pour déployer le package.
Clic droit sur le dossier qui contient le package, propriété, onglet partage, cliquez
sur ‘partage avancé’,
Cochez partager ce dossier, cliquez sur Autorisations puis au groupe tout le
monde cochez ‘control total’
Sur l’onglet sécurité, nous allons supprimer l’héritage :
Compte CREATEUR PROPRIETAIRE, cliquez sur avancé, cliquez sur
‘Désactiver l’héritage’, choisir ‘supprimer toutes les autorisations hérités de
cet objet’ puis validez avec OK
Toujours dans l’onglet sécurité, Cliquez sur Modifier et Ajoutez le groupe tout
le monde et donnez à ce groupe Contrôle total
Création de la GPO (qui sera appliqué sur tous les ordinateurs du domaine)
Clic droit sur Group Policy objects, Choisir NEW, donnez un nom à votre GPO
(exemple : Blocage imprimante locale) puis cliquez sur OK
Donc on va aller à configuration ordinateur, stratégies, paramètres du logiciel, Clic
droit et choisir Nouveau, package puis cliquez sur parcourir pour lui indiquer
l’emplacement du fichier d’installation (.RSI) :indiquez lui le chemin réseau (le chemin
UNC) car les postes client vont utiliser ce chemin pour trouver le fichier d’installation
\\nomdu serveur\nom du dossier partagé
\\RSIserver\PackageOFFICE\nom du fichier.RSI puis cliquez sur ouvrir
Dans la fenêtre de déploiement :
Si on choisit publié, le logiciel sera installé dans panneau de configuration,
programmes et fonctionnalités et c’est à l’utilisateur de l’installer
Si on choisit Attribué, l’application sera directement installée au démarrage du poste
client
-Vérifier que le package a été ajouter et son chemin réseau est correcte
3- Vérifier l’application de la GPO sur les objets concernés.
- Ouvrez une session avec l’un des utilisateurs du domaine
- Vérifiez si le logiciel a été installé pour cet utilisateur peut ajouter une imprimante.

7
2eme solution :
1-Lancez la console Utilisateurs et ordinateurs Active Directory .
2- Dans l’UO RSI créez le Groupe Global GG_OFFICE
3-Déplacez le compte d’ordinateur que vous avez donnez à votre machine virtuelle
Windows7, dans ce groupe.
4- dans l’explorateur Windows, créez un dossier nommé Applications puis partagez-le
(vous pouvez utiliser ce même nom pour le partage)
Le partage est configuré comme suit :
Onglet partage : Attribuer Contrôle total pour le compte Administrateur
Attribuer Modifier pour Utilisateurs authentifiés
Onglet sécurité : Attribuer Contrôle total pour le compte Administrateur
Attribuer Modifier pour Utilisateurs authentifiés
Copiez le Fichier .RSI de l’application dans le dossier Applications
5- Lancez la console Gestion de stratégie de groupe,
Effectuez un clic droit sur Objets de stratégie de groupe, puis sélectionnez Nouveau
Dans le champ Nom, saisir Déploiement logiciel puis cliquez sur OK.
Effectuez un clic droit sur la stratégie créée, puis cliquez sur Modifier
Développez les nœuds Configuration ordinateur, Stratégies, Paramètres du
logiciel, Installation de logiciel.

Effectuez un clic droit sur Installation de logiciel puis sélectionnez Nouveau ,

Package. Sélectionnez le fichier .RSI concerné par le déploiement.
La sélection doit être effectuée par l’intermédiaire du chemin réseau et non du
chemin local.

Dans la fenêtre Déploiement du logiciel, sélectionnez Avancé puis cliquez sur OK.
Une fenêtre s’ouvre, cliquez sur l’onglet Déploiement puis cochez
Désinstaller cette application lorsqu’elle se trouve en dehors de
l’étendue de la gestion.
Cliquez sur OK puis liez la stratégie de groupe au groupe global GG_OFFICE.
Ouvrez une session sur WIN7 en tant que Hichem
Lancez une invite de commandes DOS puis saisissez la commande
gpupdate /force.
Acceptez le redémarrage du poste.
L’installation s’opère