Administration sous windows … server Stratégies de groupes par : Mr Grari Mounir.

Plan 1. QU'EST-CE QU'UNE DE GROUPE ? 1.1 Présentation des stratégies dSTRATEGIE e groupe 1.2 Configuration ordinateur 1.3 Configuration utilisateur 1.4 Stockage des paramètres d'une GPO 2. APPLICATION D'UNE STRATEGIE DE GROUPE 2.1 Les modèles d'administration 2.2 Héritage d'une GPO 2.3 Filtrage à l'installation d'une GPO 2.4 Délai d'application 3. COMMENT CONFIGURER LES PARAMETRES DE LA GPO ? 3.1 Options des paramètres 3.2 Exemple de paramètre 4. QUELQUES OUTILS EN LIGNE DE COMMANDE 4.1 GPUpdate 4.2 GPResult 4.3 Rapport des GPO

1. Qu'est-ce qu'une stratégie de groupe ? 1.1 Présentation des stratégies de groupe Le terme Stratégie désigne la configuration logicielle du système par rapport aux utilisateurs. A la suite d’une installation de Windows, aucune stratégie n'est configurée, et tout est permis (en fonction des droits des groupes d'utilisateurs prédéfinis : Administrateurs, Utilisateurs, Utilisateurs avec pouvoir...). Les stratégies de groupe ou GPO (Group Policies Object) permettent de configurer des restrictions d'utilisation de Windows où des paramètres à appliquer soit sur un ordinateur donné soit sur un compte utilisateur donné.

1. Qu'est-ce qu'une stratégie de groupe ? Voici un exemple de stratégie de groupe : Menu Démarrer et Barre des tâches 1. Suppression du menu Documents dans le menu Démarrer 2. Suppression des Connexions réseau et accès distant du menu Démarrer 3. Suppression du menu Exécuter dans le menu Démarrer 4. Désactivation de la fermeture de session dans le menu Démarrer 5. Désactivation de la commande Arrêter • Panneau de configuration 1. Désactivation du Panneau de configuration 2. Masque de certaines applications du Panneau de configuration • Internet Explorer 1. Désactivation de la modification des paramètres de la page de démarrage

1. Qu'est-ce qu'une stratégie de groupe ? Les GPO ne peuvent êtres appliquées qu’à des conteneurs : site, domaine ou encore unité d’organisation mais elles peuvent être assignées plusieurs fois à des conteneurs différents. Le contenu d’une GPO sera donc appliqué sur les comptes utilisateurs et ordinateurs contenus dans le conteneur et plusieurs GPO peuvent être liés à un même conteneur.

1.2 Configuration ordinateur La console de gestion des stratégies de groupe se divise en deux arborescences, la première étant Ordinateur. La configuration ordinateur définit le comportement du système d’exploitation ou d’une partie du bureau et la configuration de la sécurité. Elle intervient dans des opérations comme l’installation des logiciels dès le démarrage de la machine… Voici ce à quoi ressemble l'arborescence ordinateur :

1.3 Configuration utilisateur Utilisateur est la seconde arborescence des stratégies de groupe. La configuration utilisateur définit la configuration des applications, les options d’applications affectées et publiées et enfin les paramètres de bureau, elle intervient dans des opérations comme le déploiement de scripts de démarrage…

1.4 Stockage des paramètres d'une GPO Lorsqu’une GPO est définie, les paramétrages de cette dernière sont stockés dans la base de registre dans les branches suivantes : • KEY_CURRENT_USER\Software\Policies\Microsoft •KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies •HKEY_LOCAL_MACHINE\Software\Policies\Microsoft •HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

2. Application d’une stratégie de groupe 2.1 Les modèles d’administration

2. Application d’une stratégie de groupe 2.2 Héritage d’une GPO L’ordre dans lequel les objets GPO sont appliqués dépend du conteneur active directory auquel sont liés les objets. Ils sont hérités et appliqués dans l’ordre suivant : au site, au domaine puis au unité d’organisation. Chaque paramètre d’une GPO peut être configuré ou non, s’il n’est pas configuré, un paramètre ne provoque pas de conflit. Cependant si des paramètres configurés entrent en conflit, l’échelle de priorité précédente détermine le paramètre à appliquer. Lorsque plusieurs GPO sont appliqués sur une OU, la GPO la plus élevée (la première) est la plus prioritaire et la dernière, la moins prioritaire.

2. Application d’une stratégie de groupe 2.2 Héritage d’une GPO En cas de conflit dans la configuration des GPO de différents niveaux, par défaut, on appliquera le paramètre de la GPO la plus proche de l’objet. Voici les règles applicables par défaut : • Dans le cas d’un domaine, les GPO appliquées celui-ci sont héritées de domaine père en domaines fils. • Dans le cas d’une Unité d’organisation, les GPO appliquées à celle-ci sont héritées d’une unité d’organisation mère en unités d’organisations filles.

2. Application d’une stratégie de groupe 2.3 Filtrage à l’installation de la GPO L’option filtrage du déploiement d’une GPO permet d’appliquer la stratégie de groupe à certains groupes exclusivement. En effet, chaque objet GPO va être lié à une ACL (liste d’accès) qui va définir quels sont les utilisateurs, ordinateurs ou groupes qui vont pouvoir accéder à l’objet GPO donc pouvoir appliquer ces paramètres. Par exemple, pour appliquer une GPO seulement sur le groupe Administrateur, il suffit donc d’afficher les sécurités de l’objet GPO et de retirer l’autorisation Appliquer la stratégie de groupe à tous les autres utilisateurs excepté au groupe « Administrateurs ».

2. Application d’une stratégie de groupe 2.4 Délai d’application Un ordinateur vérifie qu’il utilise la dernière version des GPO toutes les 90 minutes environ ( plus ou moins 30 minutes déterminées de façon aléatoire) afin d’éviter que plusieurs ordinateurs fassent des requêtes au DC en même temps. En ce qui concerne les contrôleurs de domaines, ils sont réactualisés toutes les 5 minutes. Ce paramètre est configurable dans la GPO elle-même. Vous pouvez forcer le rafraîchissement sur chaque machine en utilisant les 4/6commandes suivantes (l’une pour les paramètres d’ordinateur, l’autre pour les paramètres utilisateurs) : • Secedit /refresh machine_policy • Secedit /refresh user_policy • gpudate (pour les clients XP et les serveurs 2003)

3. Comment configurer les paramètres des GPO ? 3.1 Options des paramètres : non configuré, activé, désactivé Pour chaque paramètre, il est nécessaire de choisir à l’avance s’il sera configuré et si oui, s’il sera activé ou désactivé. En effet tout paramètre a une valeur par défaut qu’il conserve s’il n’est pas configuré. Pour modifier ce paramètre, vous avez le choix dans la plupart des cas entre « Activé » ou « Désactivé » ce paramètre. Exemple : Supprimer le menu Rechercher du menu Démarrer. • Non configuré : Le menu Rechercher va s’afficher sauf si n’importe quelle autre GPO spécifie le contraire. • Activé : Le menu Rechercher va être supprimé sauf si une GPO ayant une priorité plus importante spécifie le contraire. • Désactivé : Le menu Rechercher va s’afficher sauf si une GPO ayant une priorité plus importante spécifie le contraire.

3. Comment configurer les paramètres des GPO ? 3.2 Exemple de paramètre : la redirection des fichiers Ce paramètre de stratégie de groupe permet de rediriger les dossiers sensibles de l’utilisateur afin de centraliser sur un serveur les données et ainsi en faciliter la sécurité et la sauvegarde. Les dossiers pouvant être redirigés sont les suivants : • Menu Démarrer : Permet de faire pointer le contenu du menu Démarrer de tous les utilisateurs vers un contenu unique. • Bureau : Permet de faire pointer le contenu du Bureau de tous les utilisateurs vers un contenu unique. • Mes documents : Permet de centraliser les données utilisateur sur un serveur de fichiers pour que son contenu soit disponible quelque soit l’ordinateur sur lequel on se connecte. • Application Data : Contient les préférences applicatifs de certaines applications qui peut être sauvegarder sur un serveur avec la réplication.

4. Quelques outils en lignes de commandes 4.1 GPUpdate GPUpdate est un outil en ligne de commande qui permet de rafraîchir instantanément l’application des stratégies de groupe sur une machine cliente. En effet comme nous l’avons indiqué précédemment, les ordinateurs clients depuis Windows 2000 actualisent les GPO à des intervalles définis. L’actualisation assure que les paramètres qui ont pu être modifiés par un administrateur sont appliqués le plus tôt possible. La syntaxe de GPudate est la suivante : gpupdate [/Target:{Computer | User}] [/Force] [/Wait:valeur] [/Logoff] [/Boot] [/Sync]

4. Quelques outils en lignes de commandes 4.2 GPResult GPResult est un outil en ligne de commande dont l’objectif est de permettre la visualisation des stratégies effectives pour l’ordinateur où la commande est tapée et pour un utilisateur spécifié. La syntaxe de GPResult est la suivante : gpresult [/s Ordinateur [/u Domaine\Utilisateur /p Mot de passe]] [/user NomUtilisateurCible] [/scope {user|computer}] [/v] [/z] Le résultat ressemblera à celui là :

4. Quelques outils en lignes de commandes 4.3 Rapport des GPO Grâce à la console Gestion de stratégie de groupe, il est possible d’afficher un rapport par GPO permettant de visualiser uniquement les paramètres qui ont été modifié, crée au format HTML, il sera aussi enregistrable au format XML. Dans la console Gestion de stratégie de groupe, il est possible de lancer une simulation de déploiement de stratégie de groupe ce qui va générer un rapport. Enfin des informations sur le déploiement des GPO peuvent être récupérées dans la GPMC dans le but de générer un rapport.

Merci pour votre attention 