Articles

Gestion de la stratégie de groupe

On novembre 20, 2021 by

La stratégie de groupe est une technologie de gestion Active Directory pour Windows qui permet une gestion centralisée des paramètres de configuration. Bien qu’il ne s’agisse pas de la seule solution de gestion disponible – PowerShell Desired State Configuration (DSC) et Mobile Device Management (MDM) peuvent également être utilisés – la stratégie de groupe est la technologie recommandée pour les périphériques clients joints à un domaine car elle fournit un contrôle plus granulaire que les autres solutions.

Console de gestion de la stratégie de groupe

Les paramètres de la stratégie de groupe sont configurés dans des objets de stratégie de groupe (GPO). Vous pouvez lier les GPO à des domaines, des sites et des unités d’organisation (OU). Pour encore plus de contrôle, les GPO peuvent être appliqués en fonction des résultats des filtres Windows Management Instrumentation (WMI), bien que les filtres WMI doivent être utilisés avec parcimonie car ils peuvent augmenter considérablement le temps de traitement des stratégies.

La console de gestion des stratégies de groupe (GPMC) est un outil d’administration Windows intégré qui permet aux administrateurs de gérer la stratégie de groupe dans une forêt Active Directory et d’obtenir des données pour le dépannage de la stratégie de groupe. Vous trouverez la Console de gestion des stratégies de groupe dans le menu Outils du Gestionnaire de serveur Microsoft Windows. Ce n’est pas une bonne pratique d’utiliser les contrôleurs de domaine pour les tâches de gestion quotidiennes, vous devez donc installer les outils d’administration de serveur distant (RSAT) pour votre version de Windows.

Installation de la console de gestion des stratégies de groupe

Si vous utilisez Windows 10 version 1809 ou ultérieure, vous pouvez installer la GPMC à l’aide de l’app Paramètres :

  1. Ouvrir l’app Paramètres en appuyant sur WIN+I.
  2. Cliquez sur Apps sous Paramètres Windows.
  3. Cliquez sur Gérer les fonctionnalités optionnelles.
  4. Cliquez sur + Ajouter une fonctionnalité.
  5. Cliquez sur RSAT : Outils de gestion des stratégies de groupe, puis cliquez sur Installer.

Figure 1. Installation de la console de gestion des stratégies de groupe à l’aide de l’interface Setting app

Si vous utilisez une ancienne version de Windows, vous devrez télécharger la bonne version de RSAT à partir du site Web de Microsoft.

Pour plus de commodité, vous pourriez vouloir installer également Server Manager. Mais si vous choisissez de ne pas le faire, vous pouvez ajouter GPMC à une console de gestion Microsoft (MMC) et enregistrer la console.

Utilisation de la console de gestion des stratégies de groupe

Chaque domaine AD possède deux GPO par défaut :

  • Politique de domaine par défaut, qui est liée au domaine
  • Politique de contrôleurs de domaine par défaut, qui est liée à l’OU du contrôleur de domaine

Vous pouvez voir toutes les GPO d’un domaine en cliquant sur le conteneur Objets de stratégie de groupe dans le volet gauche de GPMC.

Figure 2. Interface de la console de gestion des stratégies de groupe

Créer un nouvel objet de stratégie de groupe

Ne modifiez ni la stratégie des contrôleurs de domaine par défaut ni la stratégie du domaine par défaut. La meilleure façon d’ajouter vos propres paramètres est de créer un nouveau GPO. Il existe deux façons de créer une nouvelle GPO :

  • Cliquez avec le bouton droit de la souris sur le domaine, le site ou l’OU auquel vous souhaitez lier la nouvelle GPO et sélectionnez Créer une GPO dans ce domaine, et la lier ici… Lorsque vous enregistrez la nouvelle GPO, elle sera liée et activée immédiatement.
  • Cliquez avec le bouton droit de la souris sur le conteneur des objets de stratégie de groupe et sélectionnez Nouveau dans le menu. Vous devrez lier manuellement la nouvelle GPO en faisant un clic droit sur un domaine, un site ou une OU et en sélectionnant Lier une GPO existante. Vous pouvez le faire à tout moment.

Quoi qu’il en soit de la façon dont vous créez un nouveau GPO, dans la boîte de dialogue Nouveau GPO, vous devez donner un nom au GPO et vous pouvez choisir de le baser sur un GPO existant. Consultez la section suivante pour obtenir des informations sur les autres options.

Modifier un objet de stratégie de groupe

Pour modifier une GPO, cliquez dessus avec le bouton droit de la souris dans GPMC et sélectionnez Modifier dans le menu. L’éditeur de gestion de stratégie de groupe Active Directory s’ouvrira dans une fenêtre séparée.

Figure 3. Interface de l’éditeur de gestion des stratégies de groupe

Les GPO sont divisées en paramètres d’ordinateur et d’utilisateur. Les paramètres de l’ordinateur sont appliqués au démarrage de Windows, et les paramètres de l’utilisateur sont appliqués lorsqu’un utilisateur se connecte. Le traitement en arrière-plan des stratégies de groupe applique les paramètres périodiquement si un changement est détecté dans une GPO.

Politiques contre préférences

Les paramètres de l’utilisateur et de l’ordinateur sont encore divisés en stratégies et préférences :

  • Les stratégies ne tatouent pas le registre – lorsqu’un paramètre d’une GPO est modifié ou que la GPO tombe hors de portée, le paramètre de la stratégie est supprimé et la valeur d’origine est utilisée à la place. Les paramètres de stratégie remplacent toujours les paramètres de configuration d’une application et seront grisés afin que les utilisateurs ne puissent pas les modifier.
  • Les préférences tatouent le registre par défaut, mais ce comportement est configurable pour chaque paramètre de préférence. Les préférences écrasent les paramètres de configuration d’une application mais permettent toujours aux utilisateurs de modifier les éléments de configuration. De nombreux éléments configurables dans les préférences de stratégie de groupe sont ceux qui pourraient avoir été configurés précédemment à l’aide d’un script de connexion, comme les mappages de lecteurs et la configuration des imprimantes.

Vous pouvez développer les stratégies ou les préférences pour configurer leurs paramètres. Ces paramètres seront ensuite appliqués aux objets ordinateur et utilisateur qui entrent dans la portée de la GPO. Par exemple, si vous liez votre nouvelle GPO à l’OU du contrôleur de domaine, les paramètres seront appliqués aux objets ordinateur et utilisateur situés dans cette OU et dans toute OU enfant. Vous pouvez utiliser le paramètre Block Inheritance (Bloquer l’héritage) sur un site, un domaine ou une OU pour empêcher les GPO liées à des objets parents d’être appliquées à des objets enfants. Vous pouvez également définir le drapeau Enforced sur des GPO individuelles, qui remplace le paramètre Block Inheritance et tout élément de configuration dans les GPO qui ont une priorité supérieure.

Précédence des GPO

Des GPO multiples peuvent être liées à des domaines, des sites et des OU. Lorsque vous cliquez sur l’un de ces objets dans GPMC, une liste des GPO liées s’affiche à droite dans l’onglet Objets de stratégie de groupe liés. S’il y a plus d’un GPO lié, les GPO ayant un numéro d’ordre de lien plus élevé ont la priorité sur les paramètres configurés dans les GPO ayant un numéro inférieur.

Vous pouvez modifier le numéro d’ordre de lien en cliquant sur un GPO et en utilisant les flèches sur la gauche pour le déplacer vers le haut ou vers le bas. L’onglet Héritage de la politique de groupe montrera toutes les GPO appliquées, y compris celles héritées des objets parents.

Figure 4. Informations sur toutes les GPO appliquées dans GPMC

Gestion avancée des stratégies de groupe

La gestion avancée des stratégies de groupe (AGPM) est disponible dans le cadre du pack d’optimisation du bureau Microsoft (MDOP) pour les clients de l’assurance logicielle. Contrairement à GPMC, AGPM est une application client/serveur où le composant serveur stocke les GPO hors ligne, y compris un historique pour chaque GPO. Les GPO gérées par AGPM sont appelées GPO contrôlées parce qu’elles sont gérées par le service AGPM et que les administrateurs peuvent les vérifier en entrée et en sortie, un peu comme vous pourriez vérifier des fichiers ou du code en entrée et en sortie de GitHub ou d’un système de gestion de documents.

AGPM fournit un plus grand contrôle sur les GPO que ce qui est possible avec GPMC. En plus de fournir un contrôle de version, il vous permet d’attribuer des rôles tels que réviseur, éditeur et approbateur aux administrateurs de stratégie de groupe, ce qui vous aide à mettre en œuvre un contrôle strict des modifications tout au long du cycle de vie des GPO. L’audit d’AGPM donne également un meilleur aperçu des changements de stratégie de groupe.

Consultant en informatique et auteur spécialisé dans les technologies de gestion et de sécurité. Russell a plus de 15 ans d’expérience en informatique, il a écrit un livre sur la sécurité de Windows et il a coécrit un texte pour la série Microsoft’s Official Academic Course (MOAC).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.