Vous êtes sur la page 1sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Les stratgies de groupe


Une stratgie de groupe est un ensemble d'lments de configuration de Windows (sous diffrentes versions et service pack) et de logiciels s'appliquant des ordinateurs, des utilisateurs ou des groupes d'utilisateurs permettant d'autoriser ou d'interdire certaines actions ou de configurer des paramtres d'utilisation. Les stratgies sont organises: - avec une gestion de priorit, - avec la possibilit de ne pas dfinir tel ou tel lment pour que cet lment soit pris en compte dans une stratgie moins prioritaire. Il existe par dfaut une stratgie de groupe locale sur chaque ordinateur Windows 2000, 2003 ou XP non contrleur de domaine. Une stratgie de groupe des contrleurs de domaine par dfaut est aussi dfinie concernant l'ensemble des contrleurs Windows 2000 ou 2003 du domaine. Enfin, une stratgie de groupe du domaine par dfaut est dfinie l'chelle du domaine concernant toutes les machines Windows 2000, 2003 ou XP Professionnel. Ces trois stratgies sont dfinies, dans cet ordre, de la moins prioritaire la plus prioritaire. Un administrateur pourra crer des stratgies de groupe destination d'ordinateurs, d'utilisateurs ou de groupes d'utilisateurs et les interclasser par ordre de priorit avec les stratgies par dfaut. Toutes les modifications ralises sont automatiquement dployes sur le domaine en temps rel. Les outils d'administration proposent un raccourci vers un sous-ensemble de chacune des stratgies du domaine ddi la gestion de la scurit. Ces sous-ensembles sont appels "stratgie de scurit".

Les trois stratgies de scurit du domaine

Stratgie de scurit locale Utilise pour configurer les paramtres de scurit pour l'ordinateur local. Il s'agit d'un sous-ensemble de la stratgie de groupe locale. Ces paramtres comprennent la stratgie de mot de passe, la stratgie de verrouillage du compte, la stratgie d'audit, la stratgie de scurit du protocole IP, les attributions des droits utilisateur, les agents de rcupration pour les donnes cryptes et d'autres options de scurit. La stratgie de scurit locale est disponible uniquement sur les ordinateurs Windows 2003, 2000 ou XP Professionnel qui ne sont pas contrleur de domaine. Si l'ordinateur est membre d'un domaine, ces paramtres peuvent tre remplacs par les stratgies reues du domaine.

http://www.cours-infos10.ift.fr

Page 1 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

La colonne paramtres de scurit indique la valeur applique sur la machine. L'icne indique que cette valeur est issue de la stratgie locale et est donc modifiable localement. L'icne indique une valeur issue d'une stratgie dploye sur le domaine et n'est donc pas modifiable localement car les stratgies de domaine sont prioritaires.

Stratgie de mot de passe Dfinition des paramtres de validit des comptes d'utilisateur: gestion d'un historique des mots de passe pour empcher la frappe du mme mot de passe chaque changement, dure maximale d'un mot de passe avant changement obligatoire, dure minimale du mot de passe, complexit du mot de passe, longueur minimale des mots de passe, cryptage

Historique de mmorisation des mots de passe (non modifiable localement)

http://www.cours-infos10.ift.fr

Page 2 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Dure maximale d'un mot de passe (non modifiable localement)

Complexit des mot de passe (non modifiable localement)

http://www.cours-infos10.ift.fr

Page 3 sur 28

Bakhouyi Abdellah

Les stratgies de groupe Longueur minimale du mot de passe (non modifiable localement)

13/11/2006

Stratgie de verrouillage verrouillage des comptes en cas de tentatives de connexion infructueuses trop nombreuses

Stratgie d'audit Lancement de l'audit sur certains vnements: la gestion des utilisateurs et des groupes, l'ouverture et la fermeture de session, l'accs aux fichiers et objets, l'ouverture et la fermeture de session, l'utilisation de ses droits par un utilisateur, les arrt et dmarrage du systme, l'utilisation de ses droits par un utilisateur, ...

http://www.cours-infos10.ift.fr

Page 4 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Stratgie locale aprs modification

http://www.cours-infos10.ift.fr

Page 5 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Droits des utilisateurs Aprs l'installation du systme, droits par dfaut attribus aux groupes d'utilisateurs prdfinis, leurs autorisant tel ou tel privilge. Extension ou restriction possible de ces droits

http://www.cours-infos10.ift.fr

Page 6 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Utilisateurs autoriss arrter le systme

http://www.cours-infos10.ift.fr

Page 7 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Changement de la liste des utilisateurs autoriss ouvrir une session localement sur cette machine

http://www.cours-infos10.ift.fr

Page 8 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

http://www.cours-infos10.ift.fr

Page 9 sur 28

Bakhouyi Abdellah

Les stratgies de groupe Options de scurit

13/11/2006

Ne pas afficher le nom du dernier utilisateur ayant ouvert une session de travail

Stratgie de scurit des contrleurs de domaine Utilise pour configurer les paramtres de scurit pour les contrleurs du domaine. Il s'agit d'un sousensemble de la stratgie de groupe des contrleurs du domaine par dfaut.

http://www.cours-infos10.ift.fr

Page 10 sur 28

Bakhouyi Abdellah

Les stratgies de groupe Contenu de la stratgie des contrleurs de domaine

13/11/2006

Stratgie Kerberos

Stratgie de scurit du domaine Utilise pour configurer les paramtres de scurit du domaine. Il s'agit d'un sous-ensemble de la stratgie de groupe du domaine par dfaut.

Contenu de la stratgie du domaine

Stratgie Kerberos Accs aux stratgies de groupe du domaine Outre les accs limits proposs dans les outils d'administration, la MMC peut tre utilise et paramtre pour crer d'autres points d'accs aux stratgies de groupe du domaine. http://www.cours-infos10.ift.fr Page 11 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Aucun composant prsent. Demander ajouter

Dans l'outil MMC demander l'ajout d'un composant logiciel enfichable. Choisir un composant de type "Editeur d'objets de stratgie de groupe"

http://www.cours-infos10.ift.fr

Page 12 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Demander Parcourir

http://www.cours-infos10.ift.fr

Page 13 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Ajout des deux stratgies par dfaut du domaine

Pas de stratgie site

http://www.cours-infos10.ift.fr

Page 14 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Ajout de la stratgie locale

http://www.cours-infos10.ift.fr

Page 15 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Ajout des stratgies locales des autres machines du domaine penelope et ulysse

Onglet "Tous" pour un accs directe toutes les stratgies accessibles

http://www.cours-infos10.ift.fr

Page 16 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Rsultat des slections

http://www.cours-infos10.ift.fr

Page 17 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Rsultat dans la MMC Cration et affectation d'une stratgie de scurit l'chelle d'un domaine Lancement de l'outil d'administration "Utilisateurs et ordinateurs Active Directory"

Accs aux proprits de l'entre portant le nom d'un domaine

http://www.cours-infos10.ift.fr

Page 18 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Etat initial

http://www.cours-infos10.ift.fr

Page 19 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Cration d'une stratgie

Etat aprs cration de la stratgie "Test Policy". Stratgie la moins prioritaire

http://www.cours-infos10.ift.fr

Page 20 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Nouvel ordre des stratgies de groupe obtenu aprs configuration de la nouvelle stratgie en stratgie la plus prioritaire

Options de cette stratgie

Menu contextuel associ une stratgie

http://www.cours-infos10.ift.fr

Page 21 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Proprits gnrales d'une stratgie Dsactivation possible des parties Ordinateur et/ou Utilisateur de cette stratgie

Liaisons sur cette stratgie entre sites, domaines et unit organisationnelles http://www.cours-infos10.ift.fr Page 22 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Scurit de cette stratgie (valeurs initiales)

http://www.cours-infos10.ift.fr

Page 23 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Filtre WMI de cette stratgie Pour qu'une stratgie s'applique un utilisateur, un groupe d'utilisateurs ou un ordinateur, les scurits doivent tre places en "Lire" et en "Appliquer la stratgie de groupe" sur ces entits et uniquement sur elles.

http://www.cours-infos10.ift.fr

Page 24 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Suppression de l'entre "Utilisateurs authentifis" Ajout des utilisateurs Einstein et Bohr

http://www.cours-infos10.ift.fr

Page 25 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Prfrable de travailler avec des groupes d'utilisateurs

http://www.cours-infos10.ift.fr

Page 26 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Suppression de l'entre "Utilisateurs authentifis" Ajout des ordinateurs ARGOS et ULYSSE

http://www.cours-infos10.ift.fr

Page 27 sur 28

Bakhouyi Abdellah

Les stratgies de groupe

13/11/2006

Prfrable de travailler avec des groupes d'ordinateurs

Ouverture de la stratgie dans la MMC via un double-clic Quelques manipulations utiles Cration d'une stratgie de groupe pour l'administrateur du domaine lui autorisant toutes les actions Autorisation d'ouverture de session de travail attribue tous les utilisateurs sur les machines Windows 2000 ou 2003 Server Limitation de la taille du profil des utilisateurs Limitation de l'accs l'onglet paramtres du panneau de configuration Affichage Paramtrage de la stratgie de gestion des mots de passe

http://www.cours-infos10.ift.fr

Page 28 sur 28