IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Les GPO (Les sécurités de groupes : ou comment simplifier la gestion des sécurités de vos postes dans un domaine)

Avant de lire ce tutoriel, il est préférable d'avoir des connaissances de base sur le fonctionnement d'Active directory ainsi que la création d'Unités Organiques (UO) et la création d'utilisateurs au sein de ces mêmes UO. Pour l'exemple principal, il faut savoir créer un utilisateur avec un répertoire de mapper. Pour les tests eux-mêmes, il n'est pas utile d’avoir un serveur, des postes, etc. Pensez virtuel. Personnellement, j'utilise Virtual pc, mais VMWare ou Virtualbox font aussi bien. Donc, montez un serveur et un poste client.

Article lu   fois.

L'auteur

Liens sociaux

Viadeo Twitter Facebook Share on Google+   

I. Généralités

Les stratégies de groupes sont des ensembles de paramètres qui s'appliquent aux utilisateurs et ordinateurs. Elles permettent de gérer plus facilement la sécurité d'un poste ou de plusieurs postes dans un domaine. Les GPO ne s'appliquent pas aux groupes, mais comme dit précédemment aux postes et utilisateurs, qui se trouvent dans un conteneur ou une UO (Unité Organisation). Elles permettent à titre d'exemple de rediriger le dossier Mes Documents, de déployer des Logiciels en fonction des services d'une entreprise ou des utilisateurs. En résumé les GPO sont là pour vous simplifier la vie, et surtout l'administration de votre domaine. Les GPO existent dès la création d’un domaine, c'est là que sont inscrits les différents fonctionnements du domaine. (J'entends par fonctionnement, les stratégies qui sont appliquées au domaine, durée du mot de passe, complexité, etc.) Il en existe deux types à la création du domaine :

1) Default Domain Policy : lié au domaine, et qui régit le fonctionnement des postes et des utilisateurs ;

2) Default Domain Controler Policy : lié au contrôleur de domaine, et régit les fonctionnements de celui-ci.

Pour rappel : un contrôleur de domaine est inséré dans le conteneur Domain contrôleur, les postes et utilisateurs dans les conteneurs Computers et Users. Si vous placez un poste dans le conteneur Domain Controler, ce poste serait affecté par les stratégies des contrôleurs de domaine).


Image non disponible


Les GPO s'appliquent au niveau du site, du domaine et des UO. Je ne parlerai que du domaine et des UO pour l'instant. On peut avoir autant de GPO que désiré. L'ordre d’exécution d’une GPO est du bas vers le haut, ce qui signifie qu'en cas de conflit, c'est la stratégie la plus haute qui sera appliquée. Les stratégies étant appliquées à différents niveaux (site, domaine, OU, local), elles sont toutes appliquées s’il n’y a pas de conflits, dans le cas contraire c'est toujours la plus proche de l'utilisateur qui est appliquée donc au niveau de l'OU.

Image non disponible
Exemple de priorité

II. Création d'une GPO

Il existe plusieurs façons de créer une GPO, soit en passant par la console utilisateur Active Directory, en créant une MMC (Microsoft Management Console) et pour finir GPMC, une nouvelle console qui prend en charge beaucoup plus de possibilités que les deux autres. Ceci fera l'objet d’un autre tutoriel). Dans cet exemple nous créerons d'abord une UO test et un utilisateur (Eva par exemple) . Les membres de cette UO se verront affecter une GPO de redirection de Mes Documents sur un répertoire partagé du serveur. (Cet exemple suppose que vous savez créer une UO et un utilisateur de base avec un dossier de base mapper.) Je ne rentrerai pas dans les détails de la redirection, ce n'est pas le but de ce dossier. Donc la redirection sera classique et se fera sur le répertoire de base de l'utilisateur.

Image non disponible
Création GPO 01



1) Ouvrez la console utilisateurs et ordinateurs Active directory.
2) Sur votre UO test, faites un clic droit puis propriétés.
3) Cliquez sur Nouveau, ce qui crée une nouvelle GPO que vous nommerez « Redirection Mes Documents ».

Image non disponible
Création GPO 02

Une fois cela fait, clic droit sur Redirection Mes Documents, et faites Modifier, ce qui a pour effet d'ouvrir la console GPEDIT.

Image non disponible
Création GPO 03
Image non disponible
Création GPO 03 Bis


On constate sur la figure ci-dessus que les stratégies s'appliquent aux ordinateurs et aux utilisateurs. On peut mélanger les deux, mais je ne le conseille pas, mais ce n'est que mon avis…


4) Déployez Configuration Utilisateur, puis Paramètre Windows et enfin Redirection Des Dossiers.
5) Cliquez droit pour afficher propriétés.
6) Dans l'onglet cible à paramètre ,utilisez « de base, Redirigez-les de tout le monde vers le même emplacement ».
7) Emplacement cible, vous choisissez « Rediriger vers le répertoire d'accueil de l'utilisateur »

Image non disponible
Création GPO 04
Image non disponible
Création GPO 05


8) Sur l'onglet Paramètre, choisissez les options suivantes

Image non disponible
Création GPO 06

Je pense qu'il est inutile de les détailler. Après avoir fait appliquer et fermer la console, nous nous retrouvons ici :

Image non disponible
Création GPO 07

Nous allons maintenant détailler certaines des diverses possibilités de la GPO, les autres parlant d'elles-mêmes.

Option :
Ne pas passer outre : cette exception va empêcher qu'une GPO plus proche de l'objet utilisateur ou ordinateur ne prime sur une GPO plus éloignée. Ceci a pour but de ne pas tenir compte de l'ordre d’exécution des stratégies (voir plus haut)

Image non disponible
Option des onglets

Désactive : la GPO n'est pas appliquée.
Supprimer : supprime la stratégie au niveau de l'UO ou la supprime définitivement du domaine. Lorsqu'une GPO est supprimée d'un conteneur, celle-ci existe toujours et peut être utilisée par une autre OU (voir chapitre suivant). Donc lors d’une suppression, faites bien attention à ne pas vous tromper

Image non disponible
Option des onglets

Propriété : le bouton propriété nous ouvre une console avec quatre onglets Général, liaison, sécurité et filtre WMI. Je passerai les trois premiers qui sont faciles à comprendre pour ne m'intéresser qu'au dernier. Les filtres WMI permettent d'appliquer une GPO en fonction de certains critères. Supposons que dans une UO, vous avez des postes 2000 et XP. Vous pouvez spécifier que seuls les postes XP seront affectés par cette stratégie ou que seuls les postes disposant des capacités supérieures à 20 Go de libres peuvent installer tel logiciel. Les filtres WMI permettent un filtrage supplémentaire au niveau de la GPO sur des postes ou utilisateurs.Ce sont des requêtes de types SQL

Image non disponible
Option des onglets

2a) Ajout d’une stratégie existante : prenons, par exemple, deux UO d'un domaine (Programmeur et design), tous les utilisateurs des deux UO doivent avoir accès à un même partage sur le serveur (\\serveur\developpement). Il serait long de faire un mappage sur chaque poste, et pour chaque utilisateur. Donc j'ai recours à une GPO, que nous nommons. Je crée un petit Batch " net use z : \\serveur\développement ". Je mets le script dans ma GPO au niveau de l'ouverture de session dans le logon des utilisateurs et l'applique à l'OU programmeur. Vais-je devoir refaire la même chose pour l'OU design ? Hé bien non !!! Je n'ai qu'à lier ma GPO « partagedev » à l'OU design. Il y a trois onglets, le premier concerne les GPO du domaine et UO du domaine, le second celle du site et la dernière les liste toutes.

Image non disponible
Ajout d'une GPO

Je sélectionne mon UO design, je fais ajouter. Je vais soit sur Domain/unité d'organisation ou dans Tous. Je sélectionne Partagedev, je valide et mon OU design se voit ajouter ma GPO.

2b) Héritage des stratégies.
Par défaut, les stratégies sont héritées du parent. C'est-à-dire qu'une UO qui n'aurait pas de GPO affecté se voit quand même attribuer des sécurités par exemple celles du domaine ou du site, voire celle d’une UO supérieure. Donc si vous ne voulez pas que des stratégies soient appliquées, vous la bloquez. Il ne s'agit pas d'un blocage sélectif, vous bloquez toutes les stratégies du parent, donc celle du domaine.
2 c) Application de la stratégie au domaine
Lorsque vous créez ou liez une stratégie, celle-ci n'est pas appliquée tout de suite. L'actualisation des stratégies est effectuée toutes les 90 minutes. Il y a une possibilité de réduire ce temps en se servant des commandes suivantes :

 

Windows 2003/XP

Windows 2000

Ordinateurs

Gpupdate /Force

Secedit /refreshpolicy Machine_Policy /enforce

Utilisateurs

Gpupdate /Force

Secedit /refreshpolicy User_Policy /enforce

Il existe aussi une autre commande qui permet de vérifier si les stratégies sont bien appliquées.
Gpresult [/s ordinateur [/u domaine\utilisateur /p mot_de_passe]] [/user NomUtilisateurCible] [/scope {user|computer}] [/v] [/z].
Pour avoir plus de détails pour ces paramètres, faites gpresult / ?

III. Conclusion

Je pense que nous avons vu l'essentiel du fonctionnement et de la mise en place d'une stratégie de sécurité.
Il existe des combinaisons importantes de possibilités à mettre en œuvre avec les GPO. Il ne tient qu'à vous de les tester. Les GPO faciliteront la gestion de vos postes et utilisateurs, diminueront le temps passé à installer des logiciels par exemple.
Il existe plusieurs outils graphiques ou en ligne de commande, je ne citerai que GPMC, cette nouvelle console permet de gérer plus facilement vos GPO, d'avoir un rapport détaillé sur celles-ci, ce qui est avantageux lorsque l'on récupère un domaine sans suivi.
GPMC permet de faire des sauvegardes, et d'exporter vos stratégies en supprimant le SID afin de les utiliser dans d'autres domaines. J'ai volontairement omis certains détails sur les stratégies de groupes, car cet article n'a pas pour but d'expliquer en profondeur le mécanisme de celles-ci.
Je pense avant toutes choses qu'il est important de tester vos GPO avant de les déployer. Donc il est préférable d'avoir un laboratoire de tests, virtuel ou non.

IV. Remerciement

Je tiens à remercier Pedro, Auteur, Buchs et Louis-Guillaume Morand pour la correction de cet article et pour leurs conseils pour la mise en page, ainsi que toutes les personnes qui m'ont aidé à mettre en place mon premier article à travers mes différents posts sur le forum.
Je remercie également Ridan pour ma page d'accueil.

Vous avez aimé ce tutoriel ? Alors partagez-le en cliquant sur les boutons suivants : Viadeo Twitter Facebook Share on Google+   

Copyright © 2007 Olivier Rabache. Aucune reproduction, même partielle, ne peut être faite de ce site ni de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts. Droits de diffusion permanents accordés à Developpez LLC.