GESTION DE PARCS D’ORDINATEURS

Slides:



Advertisements
Présentations similaires
Didacticiel Mon EBSCOhost
Advertisements

Active Directory Windows 2003 Server
Installer un serveur FTP
GPO Group Policy Object
GESTION D’IMPRISSION SOUS WINDOWS & LINUX
FACULTE DES SCIENCES ET TECHNIQUES DE SETTAT
ESU Faciliter la gestion dInternet au CDI avec ESU.
Abes agence bibliographique de l’enseignement supérieur Les scripts.
D/ Partage et permission NTFS
Chapitre I : Systèmes d’exploitation
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
Vue d'ensemble Création de comptes d'utilisateurs
Administration sous windows … server Stratégies de groupes
Connaître et utiliser l’environnement Windows
Systèmes d’exploitation
Module II : Les logiciels
Active Directory Windows 2003 Server
LA SÉCURITE DU RÉSEAU Stéphane Le Gars – Mars
Informatique générale
Chapitre 1: Système d’exploitation
Formation Microsoft® Office® 2010
Module 1 : Préparation de l'administration d'un serveur
Citrix® Presentation Server 4.0 : Administration
Windows 7 Administration des comptes utilisateurs
Autodesk® Revit® Building 9
Création d'un diaporama Création d'un diaporama
Configuration de Windows Server 2008 Active Directory
GESTION DE PARCS D’ORDINATEURS
Module 4 : Création et gestion de comptes d'utilisateur
Création et gestion de comptes d'utilisateur
FICHIERS : Définition : Algorithme général:

Console MMC de Windows 2000 Présenté par Suzanne Savoie Cours 4.
Module 8 : Maintenance des logiciels à l'aide des services SUS
Module 7 : Accès aux ressources disque
Module 1 : Installation de Windows 2000 ou mise à niveau vers Windows 2000.
GESTION DE PARCS D’ORDINATEURS
GESTION DE PARCS D’ORDINATEURS
GESTION DE PARCS D’ORDINATEURS
Module 1 : Installation de Microsoft Windows XP Professionnel
Pourquoi est-il nécessaire d'installer de nouveaux logiciels sur votre ordinateur ? J'exclus de cette présentation l'installation de nouveaux matériels.
Vue d'ensemble Préparation de l'installation
© 2012 Microsoft Corporation. Tous droits réservés. Planifier une réunion Lync Si vous utilisez Outlook, vous pouvez planifier une réunion Lync à l’aide.
GESTION DES UTILISATEURS ET DES GROUPES
Administration d'un serveur Windows 200x Partie 1
Gestion des comptes utilisateurs (Windows 2000)
Windows 2003 Server Modification du mode de domaine
Conversation permanente
La mémoire virtuelle Dans laquelle un ordinateur exécute des programmes dont les besoins en mémoires dépassent la mémoire disponible. Par exemple des.
Création d’un domaine Il faut :
Module 3 : Création d'un domaine Windows 2000
AFPA CRETEIL 14-1 Windows NT Environnement des utilisateurs Chapitre 14.
Administration d'un serveur Windows 200x Partie 1
En route vers le déploiement . . .
Yonel GRUSSON 1 Administration d'un serveur Windows 200x Partie 2 Server.
Citrix ® Presentation Server 4.0 : Administration Module 9 : Déploiement d'applications.
1 Windows 2003 Server Stratégie des comptes. 2 Windows 2003 Server Il faut tenir compte de ces 3 paramètres.
Création JJ Pellé novembre 2014Musique : David Schombert.
L'explorateur de Fichiers Windows
1 Session de formation Windows 8.1 Bienvenue !. Module de formation 1 2 Sujets : Naviguez dans Windows 8.1 Découvrez les bases de la nouvelle interface,
Stratégies de groupe : GPO
Administration d'un serveur Windows 200x Partie 2
AFPA CRETEIL 5-1 Windows NT Administration des utilisateurs Chapitre 5.
WINDOWS SEVEN.
1Boulogne Informatic Club PRESENTATION DE WINDOWS 10.
Abes agence bibliographique de l’enseignement supérieur Les scripts.
FACTORY systemes Module 2 Section 1 Page 2-3 Installation d’Industrial SQL FORMATION InSQL 7.0.
Chapitre 12 Surveillance des ressources et des performances Module S41.
Chapitre 9 Configuration de Microsoft Windows XP Professionnel pour fonctionner sur des réseaux Microsoft Module S41.
Chapitre 3 Administration des accès aux ressources
Transcription de la présentation:

GESTION DE PARCS D’ORDINATEURS INF-1017

Contenu du cours 4 Stratégies de groupe Composant d’une stratégie de groupe Objets stratégies de groupe Gestion des stratégies de groupe Accès à une stratégie de groupe Ordre d’héritage Annulation de l’héritage Définir l’étendue d’une GPO Création d’un objet stratégie de groupe (GPO) Filtrage des GPO avec les ACL Exemple de GPO: Mots de passe complexes

Contenu du cours 4 Stratégies de groupe Éditeur de GPO (paramètres de configuration) Recherche de liens de GPO Actualisation de la stratégie de groupe Spécifier des scripts avec des stratégies de groupe Stratégie de groupe et redirection de dossier Paramètres de sécurité Modèles d’administration Restreindre Internet Explorer Empêcher l’installation ou l’exécution des logiciels non autorisés

Contenu du cours 4 Stratégies de groupe Définir la stratégie de mot de passe et verrouillage de compte Dépannage des stratégies de groupe Exécution d’une requête RSoP Mode planification RSoP Mode journalisation LECTURES: Chapitre 9 (WIN SERVER 2003) Notes de cours (site ftp UQTR)

Stratégie de groupe (GPO) Les GPO permettent de configurer et gérer des ordinateurs et des utilisateurs. Les GPO peuvent être appliquées à un domaine complet, aux UO ou à des groupes d’utilisateurs ou d’ordinateurs. Les GPO peuvent utilisées pour par exemple: Déployer des application à grande échelle Définir divers paramètres de configuration de l’environnement de travail d’utilisateurs Prévenir l’installation défendue de programmes ou d’applications Group

Stratégie de groupe (GPO) Les GPO sont catégorisées en trois groupes distinct: User, Computer, Administrative Template GPO pour des utilisateurs (exemples): Comportements spécifiques du OS Paramètres du bureau Paramètres de sécurité Assigner et publier des options d’applications Paramètres d’applications Options de redirection de fichiers Scripts divers (logon, logout) Ces GPO sont appliquées au logon Group

Stratégie de groupe (GPO) GPO pour des ordinateurs (exemples): Comportements spécifiques du OS Comportements du bureau Paramètres de sécurité Options d’applications Paramètres d’applications Scripts divers (strartup, shutdown) Ces GPO sont appliquées lors du démarrage du OS Group

Stratégie de groupe (GPO) GPO Administrative template Plusieurs fichiers template (.adm) appelés administrative template fournissent des informations stratégiques sur chaque item dans le dossier Administrative Template. Les Administrative Template comportent aussi des paramètres du registre pour les items du dossier User Configuration et Computer Configuration. Group

Composant d’une stratégie de groupe La stratégie de groupe peut s’appliquer à un domaine ou à aucun domaine (stratégies de sécurité locales) et est constituée de plusieurs composantes configurables: Modèles d’administration: Fournissent des informations de stratégie pour les éléments qui apparaissent sous le dossier Modèles d’administrations. Ce dossier est présent dans l’arborescence de l’Éditeur d’objet de Stratégie de groupe. Ces politiques affectent l’interface utilisateur, les outils disponibles et les configurations du bureau. Paramètres de sécurité: Configure la sécurité des utilisateurs, des ordinateurs et des domaines. Limitent l’accès des utilisateurs aux GPO systèmes et comptes utilisateurs. Group

Composant d’une stratégie de groupe La stratégie de groupe est constituée de plusieurs composantes configurables: Scripts: Précise les scripts d’arrêt et de démarrage des ordinateurs ainsi que les scripts d’ouverture et de fermeture de session Redirection de dossiers: Positionne les dossiers spéciaux (dossiers dans les profils d’utilisateurs: ex. menu Démarrer et le Bureau) tels que Mes Documents pour qu’il soient stockés dans un emplacement centralisé ou spécifie les dossiers d’application sur le réseau Logiciel: Attribue les applications aux utilisateurs par publication de logiciels sur le réseau Group

Composant d’une stratégie de groupe Objets stratégie de groupe Les paramètres de la stratégie de groupe sont stockés dans un objet stratégie de groupe (GPO) Les GPO sont stockées au niveau du domaine et sont associés à un objet AD, un site, un domaine, un contrôleur de domaine ou une OU Plusieurs GPO peuvent s’appliquer à un domaine, DC, OU Une GPO peut être liée à plusieurs sites, domaines, DCs, OUs Group

Gestion des Stratégies de groupe (GPO) STRATÉGIE DE GROUPE Gestion des Stratégies de groupe (GPO) Les GPO sont héritées et cumulatives. Lorsqu’une GPO est associée à un conteneur AD cette GPO est aussi appliquée à tous les ordinateurs et comptes utilisateurs du conteneur WINDOWS SERVER 2003 applique le modèle LSDOU pour l’application de l’héritage. L’ordre d’application des GPO et leur héritage suit l’ordre suivant: Local Computer (L) -> Site (S) -> Domain (D) -> Organizational unit (OU) Accès à une stratégie de groupe Il est possible de créer et/ou modifier les GPO selon le type de stratégie de groupe que vous voulez mettre en oeuvre Group

STRATÉGIE DE GROUPE Gestion des Stratégies de groupe Accès à (application d’) une stratégie de groupe Group

STRATÉGIE DE GROUPE Gestion des Stratégies de groupe Accès à (application d’) une stratégie de groupe Group

STRATÉGIE DE GROUPE Gestion des stratégies de groupe Ordre d’héritage

Gestion des stratégies de groupe STRATÉGIE DE GROUPE Gestion des stratégies de groupe Ordre d’héritage Règles générales GPO Conteneur parent Group Conteneur fils Conteneur fils

Gestion des Stratégies de groupe STRATÉGIE DE GROUPE Gestion des Stratégies de groupe Ordre d’héritage Règles générales Une GPO parent s’applique aux fils Par contre, si une GPO spécifique est appliquée au fils et qu’elle contredit celle du parent seule celle du fils s’applique Si les GPOs ne se contredisent pas elles peuvent être toutes les deux mises en oeuvre Group

Gestion des Stratégies de groupe STRATÉGIE DE GROUPE Gestion des Stratégies de groupe L’ordre d’héritage des GPO

Gestion des Stratégies de groupe STRATÉGIE DE GROUPE Gestion des Stratégies de groupe Exemple d’héritage des GPO

Gestion des Stratégies de groupe STRATÉGIE DE GROUPE Gestion des Stratégies de groupe Exemple de blocage de l’héritage des GPO No Override

Gestion des Stratégies de groupe STRATÉGIE DE GROUPE Gestion des Stratégies de groupe Forcer l’héritage Marche à suivre pour positionner l’option Ne pas passer outre au niveau d’un conteneur parent Ouvrez l’objet GPO à administrer Cliquez-droit sur la GPO et sélectionnez Ne pas passer outre (No override) dans la menu contextuel (force l’application des GPO) Cliquez OK Annulation de l’héritage Une seconde possibilité est de cocher la case à cocher Bloquer l’héritage de stratégies dans la boîte de dialogue Propriétés de GPO Group

STRATÉGIE DE GROUPE Gestion des Stratégies de groupe Forcer l’héritage (enforced) Group

STRATÉGIE DE GROUPE Gestion des Stratégies de groupe Annuler l’héritage Group X

STRATÉGIE DE GROUPE Gestion des Stratégies de groupe Modification de l’héritage Création d’une GPO au niveau du domaine qui installe l’antivirus avec l’option No Override activée qui installe la suite OFFICE Au niveau de l’OU Payroll, activer l’option Block Policy Inheritance Modifier (filtrer) le DACL du GPO (accounting application) pour que l’application de la GPO soit refuser (DENY) au groupe de machines des administrateurs de l’OU Payroll Group

Gestion des stratégies de groupe STRATÉGIE DE GROUPE Gestion des stratégies de groupe Définir l’étendue d’une GPO Pour établir l’étendue d’une GPO, il faut créer des groupes de sécurité et attribuer uniquement les permissions Lire et Appliquer la stratégie de groupe aux groupes auxquels s’applique la GPO Pour paramétrer les accès aux GPO: Ouvrez la GPO à administrer avec l’Éditeur de Stratégies de groupe Cliquez-droit sur la GPO et sélectionnez Propriétés Cliquez sur l’onglet Sécurité Ajouter ou supprimez des groupes ou modifiez des paramètres, cliquez sur OK autant de fois qu’il y a de fenêtres d’ouvertes Group

STRATÉGIE DE GROUPE Gestion des stratégies de groupe Définir l’étendue d’une GPO Paramétrage de l’étendue d’une GPO Group

STRATÉGIE DE GROUPE Gestion des stratégies de groupe Définir l’étendue d’une GPO Paramétrage des stratégies des groupes de sécurité Group

Création d’un objet stratégie de groupe Étapes de configuration d’une GPO Démarrez Utilisateurs et ordinateurs AD Cliquez-droit sur l’objet pour lequel vous désirez créer une GPO et sélectionnez Propriétés dans le menu contextuel Cliquez sur l’onglet Stratégies de groupe puis sur Ajouter Saisissez le nom de la nouvelle GPO et choisissez un des boutons suivants: Ajouter: Pour ajouter un lien à la nouvelle stratégie Modifier: Pour ouvrir la nouvelle GPO avec l’Éditeur de Stratégie de groupe Options: Positionne l’option Ne pas passer outre ou désactive la GPO Group

Création d’un objet stratégie de groupe Étapes de configuration du GPO Saisissez le nom du nouveau GPO et choisissez un des boutons suivants: Supprimer: Supprime la GPO ou la retire de la liste (reste dans AD mais n’est plus appliquée) Propriétés: Paramètre le filtrage de la GPO à l’aide des groupes de sécurité Cliquez sur OK pour terminer Group

STRATÉGIE DE GROUPE Création d’un objet stratégie de groupe Propriétés de la GPO par défaut du domaine Group

STRATÉGIE DE GROUPE Création d’un objet stratégie de groupe Liste des autorisations du GPO Group

STRATÉGIE DE GROUPE Création d’un objet stratégie de groupe Changement de la priorité des GPO (ordre de mise en œuvre) Group

STRATÉGIE DE GROUPE Création d’un objet stratégie de groupe Ajouter une GPO par liaison Group

Création d’un objet stratégie de groupe Filtrage des GPO avec les ACL Les groupes Admins du domaine et Administrateurs possèdent l’autorisation Lire et Écrire Le groupe Utilisateurs authentifiés possède les autorisations Lire et Appliquer la stratégie de groupe Si vous créez par exemple une GPO pour restreindre des paramètres du Bureau mais vous ne voulez pas que cette GP s’applique à tous. Cette GP s’applique aux Utilisateurs authentifiés (tous sauf les invités), ce qui veut dire que les groupes Admins du domaine et Administrateurs reçoivent les paramètres de cette GP Pour éviter que ces deux groupes ne récupèrent cette GP, cochez la case Refuser vis-à-vis l’autorisation Appliquer la stratégie de groupe Group

STRATÉGIE DE GROUPE Création d’un objet stratégie de groupe Filtrage des GPO avec les ACL ACL d’une GPO avec le groupe Utilisateurs authentifiés Group

STRATÉGIE DE GROUPE Création d’un objet stratégie de groupe Filtrage des GPO avec les ACL ACL d’un GPO sans le groupe Utilisateurs authentifiés Group

STRATÉGIE DE GROUPE Création d’un objet stratégie de groupe Filtrage des GPO avec les ACL Group

Création d’un objet stratégie de groupe Exemple de GPO: Mots de passe complexes Rappel sur ce qui pour MicroSoft est considéré comme un mot de passe complexe (fort): Au moins six caractères de long Contient 3/4 types de caractères (Lettres majuscules, minuscules, nombres ou caractères spéciaux) Ne contient pas votre nom d’utilisateur Activation de la stratégie Le mot de passe doit respecter des exigences de complexité Group

Création d’un objet stratégie de groupe Exemple de GPO: Mots de passe complexes Étapes d’activation Ouvrez la console Utilisateurs et ordinateurs AD Cliquez-droit sur l’icône représentant votre annuaire dans le volet gauche, sélectionnez Propriétés. Sélectionnez ensuite l’onglet Stratégie de groupe Créez une nouvelle GPO, appelé par exemple, Stratégie Mots de passe complexes et cliquez ensuite sur le bouton Modifier pour ouvrir l’Éditeur d’objets de stratégie de groupe Ouvrez le nœud Configuration ordinateur. Cette stratégie affecte toute action sur l’ordinateur concerné (contrôleur de domaine) Ouvrez ensuite Paramètres Windows, puis Paramètres de sécurité. Ouvrez ensuite Stratégies de comptes, puis Stratégie de mot de passe Group

Création d’un objet stratégie de groupe Exemple de GPO: Mots de passe complexes Étapes d’activation Dans le dossier Stratégie de mot de passe, double-cliquez sur l’entrée Le mot de passe doit respecter des exigences de complexité Cochez la case Définir ce paramètre de stratégie Cliquez ensuite Activé Fermer l’Éditeur de GPO Déplacez ensuite cette nouvelle stratégie au-dessus de Default Domain Policy dans l’interface graphique (Onglet Stratégie de groupe). Il faut savoir que les GP sont appliquées du bas vers le haut et que Default Domain Policy désactive par défaut la stratégie des mots de passe forts Group

STRATÉGIE DE GROUPE Éditeur de GPO (paramètres de configuration) | |---- Stratégie du domaine par défaut |----Configuration de l’ordinateur | |----Paramètres du logiciel | |----Paramètres WINDOWS | |----Modèles d’administration |----Configuration de l’utilisateur Group

STRATÉGIE DE GROUPE Éditeur de GPO (paramètres de configuration) Le nœud Configuration de l’ordinateur permet de personnaliser les stratégies des ordinateurs du réseau Les GP sont prises en compte au démarrage du système d’exploitation Les GP s’appliquent à tous les utilisateurs qui ouvrent une session sur cet ordinateur Ex: Forcer un environnement strict sur des machines localisées dans une salle spécifique Le nœud Configuration de l’utilisateur contient les paramètres permettant de personnaliser les environnements ou de configurer les GP des utilisateurs du réseau Les GP sont appliquées lors de l’ouverture de session sur le réseau Group

STRATÉGIE DE GROUPE Éditeur de GPO (paramètres de configuration) Group

Éditeur de GPO (paramètres de configuration) STRATÉGIE DE GROUPE Éditeur de GPO (paramètres de configuration) Recherche de liens de GPO Il est important de conserver une trace des liens entre les GPO et les conteneurs AD (domaines, OU) Pour déterminer les liens d’un GPO: Ouvrez l’Éditeur de GPO et cliquez-droit sur la GPO Sélectionnez Propriétés dans le menu contextuel Cliquez sur l’onglet Liens puis sur Rechercher maintenant pour afficher la liste des liens vers cette GPO Group

Éditeur de GPO (paramètres de configuration) STRATÉGIE DE GROUPE Éditeur de GPO (paramètres de configuration) Actualisation de la GPO Les modifications des GPO sont immédiates mais ne sont pas propagées instantanément aux machines clientes (+/- 90 min). Les ordinateurs clients interrogent la GPO dans les situations suivantes: L’ordinateur démarre Un utilisateur ouvre une session Une application demande une actualisation Un utilisateur demande une actualisation Un intervalle d’actualisation de GPO est activé et le délai est écoulé Les DC rafraîchissent les GPO plus souvent. Group

Éditeur de GPO (paramètres de configuration) STRATÉGIE DE GROUPE Éditeur de GPO (paramètres de configuration) Actualisation de la GPO (Intervalle de rafraîchissement) Pour les GPO de machines clientes: Computer Configuration -> Administrative Templates -> System -> Group Policy -> Group Policy refresh interval for computers Pour la GPO Default Group Policy d’un DC: Computer Configuration -> Administrative Templates -> System -> Group Policy -> Group Policy refresh interval for domain controllers Group

Éditeur de GPO (paramètres de configuration) STRATÉGIE DE GROUPE Éditeur de GPO (paramètres de configuration) Actualisation de la GPO (Intervalle de rafraîchissement) Pour les GPO de machines clientes Group

Éditeur de GPO (paramètres de configuration) STRATÉGIE DE GROUPE Éditeur de GPO (paramètres de configuration) Actualisation de la GPO (Intervalle de rafraîchissement) Pour la GPO Default Group Policy d’un DC Group

Éditeur de GPO (paramètres de configuration) STRATÉGIE DE GROUPE Éditeur de GPO (paramètres de configuration) Spécifier des scripts avec des stratégies de groupe À partir des nœuds Configuration utilisateur ou Configuration ordinateur en utilisant le nœud Paramètres Windows, vous pouvez spécifier des scripts d’ouverture et de fermeture de session ainsi que des scripts de démarrage et d’arrêt En sélectionnant le nœud Paramètres Windows vous pouvez ensuite sélectionner le nœud Scripts qui vous permet de sélectionner en double-cliquant sur le type de script dans le volet de droite Cliquez Ajouter (Add) pour faire afficher la boîte de dialogue Ajouter un Script. Sélectionnez un nom de fichier. Ex. testscript.js pouvant avoir été créé par Notepad et contenant: Wscript.echo(“Voici un script de LOGON“); Group

STRATÉGIE DE GROUPE Éditeur de GPO (paramètres de configuration) Spécifier des scripts avec des stratégies de groupe Scripts disponibles du nœud Configuration utilisateur Group

Stratégie de groupe et redirection de dossier Une des stratégies les plus utiles du nœud Configuration utilisateur est celle qui permet d’amener les dossiers Application Data, Bureau, Menu Démarrer, ou Mes Documents à suivre l’utilisateur d’ordinateurs en ordinateurs Ces dossiers sont importants dans l’environnement de travail d’un utilisateur Application Data: Stocke des informations utilisateur spécifiques aux applications (ex: Internet Explorer) Bureau: Contient des dossiers importants et des raccourcis Menu Démarrer: Groupes de programmes et raccourcis vers des programmes Mes Documents: Emplacement par défaut des fichiers Group

Stratégie de groupe et redirection de dossier Pour définir un emplacement réseau pour le dossier Mes Documents: Ouvrez l’Éditeur de stratégie de groupe Accédez à Configuration utilisateur/Paramètres Windows/Redirection de dossiers/Mes Documents Cliquez-droit sur le dossier Mes Documents et choisissez Propriétés dans le menu contextuel Choisissez l’option De base dans la liste déroulante pour spécifier un emplacement unique pour le dossier Mes Documents à partager par tous les utilisateurs Indiquez simplement l’emplacement réseau du dossier cible ou parcourez le réseau pour le localiser Group

STRATÉGIE DE GROUPE Stratégie de groupe et redirection de dossier Stratégie de redirection du dossier Mes Documents des utilisateurs d’un groupe (Bureau d’études) vers le partage DocumentsCentraux du serveur xirius-essais avec l’option De base ou Avancé: Créer un dossier pour chaque utilisateur sous le chemin racine Group

STRATÉGIE DE GROUPE Stratégie de groupe et redirection de dossier Paramètres de redirection pour le dossier Mes Documents Group

Paramètres de sécurité STRATÉGIE DE GROUPE Paramètres de sécurité Lorsque vous voulez renforcer la sécurité vous devez le plus possible effectuer des modifications standardisées La majorité des paramètres de sécurité se trouvent dans Configuration ordinateur\Paramètres Windows\Paramètres de sécurité, par exemple: Stratégies de comptes: Restrictions de mot de passe, verrouillage de compte Système de fichier: Crée des modèles de sécurité pour les autorisation sur des fichiers ou dossiers Stratégie de restriction logicielle: Définit les restrictions liées aux logiciels qui s’exécutent sur un système. Empêche que des logiciels non approuvés (ex: virus) s’exécute sur un système Group

Modèles d’administration STRATÉGIE DE GROUPE Modèles d’administration Group

Modèles d’administration STRATÉGIE DE GROUPE Modèles d’administration La section Modèles d’administration de l’Éditeur d’objets de stratégies de groupe réunis un grand nombre d’options de configuration, plus ou moins organisées, dans le but d’alléger la tâche de l’administrateur, pour l’aider à gérer ses réseaux et ses utilisateurs Ex: Restreindre Internet Explorer Paramètres utiles: Pour empêcher les utilisateurs de faire n’importe quoi avec les zones de sécurité et les paramètres de proxy Activez les paramètres pour les zones de sécurité et le proxy sous Configuration ordinateur/Modèles d’administration/Composants Windows/Internet Explorer et ceci pour tous les utilisateurs Group

Modèles d’administration Ex: Restreindre Internet Explorer STRATÉGIE DE GROUPE Modèles d’administration Ex: Restreindre Internet Explorer Paramètres utiles: Pour empêcher de télécharger du contenu sur leur poste de travail Activez la stratégie Désactiver l’ajout de planifications pour les pages hors connexion sous Configuration utilisateur/Modèles d’administration/Composants Windows/Internet Explorer/ Page hors connexion Pour empêcher les utilisateurs de modifier les pages Sécurité, Connexions ou Avancé d’Internet Explorer Désactivez l’accès à ces pages sous Configuration utilisateur/…/Internet Explorer/Panneau de configuration de Internet Group

Modèles d’administration Restreindre Internet Explorer STRATÉGIE DE GROUPE Modèles d’administration Restreindre Internet Explorer Paramètres utiles: Pour empêcher de télécharger des logiciels à partir du WEB Désactivez l’option Enregistrer ce programme sur disque sous Configuration utilisateur/…/Internet Explorer/Menus du navigateur Les utilisateurs peuvent par contre installer le logiciel sans l’enregistrer Group

Modèles d’administration STRATÉGIE DE GROUPE Modèles d’administration Empêcher l’installation ou l’exécution des logiciels non autorisés Pour empêcher les utilisateurs d’installer des logiciels à partir d’un CD-ROM ou une disquette Activez la stratégie Éviter l’utilisation de la source média amovible pour toutes les installations sous Configuration utilisateur/Modèles d’administration/Composants Windows/Windows Installer Activez aussi la stratégie Masquer l’option Ajouter un programme à partir d’un CD-ROM ou d’une disquette dans Configuration utilisateur/Modèles d’administration/Panneau de configuration/Ajouter ou supprimer des programmes Pour éviter que les utilisateurs contournent ces restrictions, Désactivez l’accès à l’invite de commandes dans Configuration utilisateur/Modèles d’administration/Système Group

Modèles d’administration STRATÉGIE DE GROUPE Modèles d’administration Empêcher l’installation ou l’exécution des logiciels non autorisés Pour autoriser/empêcher des utilisateurs d’exécuter des applications Windows Activez la stratégie Exécuter seulement les applications Windows autorisées sous Configuration utilisateur/Modèles d’administration/Système Vous devez par contre dresser la liste des applications qui peuvent être lancées de l’Explorateur Windows Vous pourriez aussi au même endroit, activer la stratégie N’exécutez pas les applications Windows spécifiées Vous devez alors dresser la liste des applications refusées Group

STRATÉGIE DE GROUPE Modèles d’administration Empêcher l’installation ou l’exécution des logiciels non autorisés Pour autoriser/empêcher des utilisateurs d’exécuter des applications Windows Group

STRATÉGIE DE GROUPE Modèles d’administration Exemple de standardisation du bureau Enlever l’option RUN du menu Start Activez la stratégie Enlever le menu Exécuter du menu Démarrer sous Configuration utilisateur/Modèles d’administration/Menu Démarrer et barre de tâches Désactiver l’accès au panneau de contrôle Activez la stratégie Empêcher l’accès au panneau de contrôle sous Configuration utilisateur/Modèles d’administration/Panneau de contrôle Cacher l’icône Mon voisinage réseau sur le bureau Activez la stratégie Cacher l’icône Mon voisinage réseau sur le bureau sous Configuration utilisateur/Modèles d’administration/Bureau Enlever Connexions réseau du menu Démarrer Activez la stratégie Enlever Connexions réseau du menu Démarrer sous Configuration utilisateur/Modèles d’administration/Menu Démarrer et barre de tâches Activer Enlever « Connecter un Lecteur Réseau » et « Déconnecter un Lecteur Réseau » Activez la stratégie Enlever Connexions réseau du menu Démarrer sous Configuration utilisateur/Modèles d’administration/Composantes WINDOWS/Windows Explorer Group

Définir la stratégie de mot de passe et verrouillage de compte STRATÉGIE DE GROUPE Définir la stratégie de mot de passe et verrouillage de compte Les paramètres de ces stratégies sont situés sous Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies de comptes La stratégie de mot de passe inclut les options: Conserver l’historique des mots de passe, pour spécifier le nombre de mots de passe uniques consécutifs requis Durée de vie maximale du mot de passe (intervalle typique de 30 à 90 jours) Durée de vie minimale du mot de passe Longueur minimale du mot de passe (typiquement 7-8 caractères) Group

Définir la stratégie de mot de passe et verrouillage de compte STRATÉGIE DE GROUPE Définir la stratégie de mot de passe et verrouillage de compte La stratégie de mot de passe inclut les options: Le mot de passe doit respecter des exigences de complexité Enregistrer les mots de passe en utilisant un cryptage réversible Durée du verrouillage des comptes Seuil de verrouillage des comptes (# d’essais infructueux) Réinitialiser le compteur de verrouillages du compte après Group

STRATÉGIE DE GROUPE Définir une GPO qui empêche le verrouillage d’un ordinateur (LOCK) Création d’une OU (Engineering) attachée au domaine Entcert2.com, auquel est ajouté un utilisateur. Création d’une autre OU (Sustaining) attachée à l’UO Engineering, auquel est ajouté un utilisateur. Sélectionnez la OU Engineering, Properties -> Group Policy -> New (Engineering GPO) Cliquez Edit et sélectionnez User Configuration -> Administrative Templates -> System -> CTRL + ALT + DEL options. Double-Cliquez Remove Lock Computer Sélectionnez Enabled dans la fenêtre de dialogue Remote Lock Computer Properties. Group

Définir une GPO qui empêche le verrouillage d’un ordinateur (LOCK) STRATÉGIE DE GROUPE Définir une GPO qui empêche le verrouillage d’un ordinateur (LOCK) Création de 2 OU: Engineering et Sustained Group

Définir une GPO qui empêche le verrouillage d’un ordinateur (LOCK) STRATÉGIE DE GROUPE Définir une GPO qui empêche le verrouillage d’un ordinateur (LOCK) Création d’une GPO (Engineering GPO) Group

Définir une GPO qui empêche le verrouillage d’un ordinateur (LOCK) STRATÉGIE DE GROUPE Définir une GPO qui empêche le verrouillage d’un ordinateur (LOCK) Remote Lock Computer Properties (Enabled) Group

Dépannage des stratégies de groupe STRATÉGIE DE GROUPE Dépannage des stratégies de groupe L’outil jeu de stratégie résultant (Resultant Set of Policy) regroupe des informations sur toutes les stratégies existantes pour déterminer les GPO effectives et l’ordre de leurs applications Les RSoP possède deux modes: Journalisation: Indique les stratégies appliquées à un utilisateur et permet de détecter les GPO à supprimer ou à réparer Planification: Construit un scénario d’événements permettant de tester les effets d’une nouvelle GPO ou la priorité d’une GPO Group

Dépannage des stratégies de groupe STRATÉGIE DE GROUPE Dépannage des stratégies de groupe Exécution d’une requête RSoP Une requête RSoP peut s’exécuter sur un site, un domaine, un compte utilisateur, compte d’ordinateur, une OU Pour exécuter une requête sur un domaine, un ordinateur, un utilisateur ou une OU Ouvrez l’outil Utilisateur et ordinateur AD Cliquez-droit sur l’objet à interroger, sélectionnez Toutes les tâches et choisissez Jeu de stratégie résultant (planification) ou Jeu de stratégie résultant (journalisation) L’assistant RSoP démarre Group

Dépannage des stratégies de groupe STRATÉGIE DE GROUPE Dépannage des stratégies de groupe Mode planification RSoP Permet la simulation des effets d’une modification de votre système Si vous envisagez de modifier une GPO (ex: déplacer, ajouter, supprimer un groupe), RSoP vous en décrit les conséquences Dans la fenêtre Sélection d’ordinateurs et d’utilisateurs, utilisez Parcourir pour sélectionner l’utilisateur, l’ordinateur, ou le conteneur à analyser et cliquez sur Suivant Group

STRATÉGIE DE GROUPE Dépannage des stratégies de groupe Mode planification RSoP La fenêtre Sélection d’ordinateurs et d’utilisateurs Group

STRATÉGIE DE GROUPE Dépannage des stratégies de groupe Mode planification RSoP Affichage des choix par l’assistant RSoP Group

STRATÉGIE DE GROUPE Dépannage des stratégies de groupe Mode planification RSoP Console des résultats RSoP Group

STRATÉGIE DE GROUPE Dépannage des stratégies de groupe Mode planification RSoP Propriétés de Configuration utilisateur (information sur l’erreur) Group

Dépannage des stratégies de groupe STRATÉGIE DE GROUPE Dépannage des stratégies de groupe Mode planification RSoP Options de planification de l’assistant RSoP Connexion réseau lent: Certaines GP ne s’appliquent pas à une connexion lente ou à une connexion à distance. Permet de simuler une connexion lente Traitement en boucle: Si vous devez modifier la GP de l’utilisateur en fonction de l’ordinateur sur lequel il ouvre une session. Le traitement en boucle simule l’application des GP à chaque utilisateur qui ouvre une session sur un ordinateur contrôlé par des paramètres de stratégie utilisateur alternés Nom de site: Permet de tester le démarrage ou l’ouverture de session sur un sous-réseau différent Groupe de sécurité: Simule le résultat des GP en fonction des modifications des appartenances à un groupe de sécurité Filtres WMI pour utilisateurs: Relie les filtres WMI (Windows Management Instrumentation) pour générer une stratégie basée sur des informations sélectionnées (ex: les logiciels installés) Group

Dépannage des stratégies de groupe STRATÉGIE DE GROUPE Dépannage des stratégies de groupe Mode journalisation Ce mode est utiliser pour déterminer les stratégies effectives d’un utilisateur ou d’un ordinateur Indiquez l’ordinateur sur lequel vous voulez exécuter la requête RSoP et l’utilisateur Group