I. Généralités

Les stratégies de groupes sont des ensembles de paramètres qui s'appliquent aux utilisateurs et ordinateurs. Elles permettent de gérer plus facilement la sécurité d'un poste ou de plusieurs postes dans un Domain. Les GPO ne s'appliquent pas aux groupes, mais comme dit précédemment aux postes et utilisateurs, qui se trouvent dans un conteneur ou une UO (Unité Organisation). Elles permettent à titre d'exemples de rediriger le dossier Mes Documents, de déployer des Logiciels en fonction des services d'une entreprise ou des utilisateurs. En résumé les GPO sont la pour vous simplifier la vie, et surtout l'administration de votre Domain. Les GPO existent dés la création d un Domain, c'est la que sont inscris les différents fonctionnements du Domain.(j entends par fonctionnement, les stratégies qui sont appliquées au Domain, durée du mot pas , complexité, etc...) Il en existe deux types à la création du Domain.

1) Default Domain Policy : Lié au Domain, et qui régit le fonctionnement des postes et des utilisateurs.

2) Default Domain Controler Policy : Lié au Contrôleur de Domain, et régit les fonctionnements de celui-ci

Pour rappel : un contrôleur de Domain est inséré dans le conteneur Domain contrôleur, les postes et utilisateurs dans les conteneurs Computers et Users. Si vous placez un poste dans le conteneur Domain Controler, ce poste serait affecté par les stratégies des contrôleurs de Domain).


Image non disponible


Les GPO s appliquent au niveau du site, du Domain et des UO. Je ne parlerai que du Domain et des UO pour l'instant. On peut avoir autant de GPO que désirées. L'ordre d exécution d une GPO est du bas vers le haut, ce qui signifie qu'en cas de conflit, c'est la stratégie la plus haute qui sera appliquée. Les stratégies étant appliquées à différents niveaux (site, Domain, OU, local), elles sont toutes appliquée si il n y a pas de conflits, dans le cas contraire c'est toujours la plus proche de l'utilisateur qui est appliquées donc au niveau de l'OU.

Image non disponible
Exemple de Priorité

2. Création d'une GPO

Il existe plusieurs façons de créer une GPO, soit en passant par la console utilisateur Active Directory, en créant une MMC (Microsoft Management Console) et pour finir GPMC, une nouvelle console qui prend en charge beaucoup plus de possibilitées que les deux autres. Ceci fera l objet d un autre tutorial). Dans cette exemple nous créerons d'abord une UO test et un utilisateur (Eva par exemple) . Les membres de cette UO se verront affecter une GPO de redirections de Mes Documents sur un répertoire partage du serveur.(Cet exemple suppose que vous savez crée une UO et un utilisateur de base avec un dossier de base mapper). Je ne rentrerai pas dans les détails de la redirection, ce n'est pas le but de ce dossier. Donc la redirection sera classique et se fera sur le répertoire de base de l utilisateur..

Image non disponible
Creation GPO 01



1) Ouvrir La console utilisateurs et ordinateurs Active directory.
2) Sur votre UO test faites un click droit puis propriétés
3) Cliquer sur Nouveau ce qui crée une nouvelle GPO que vous nommerez " Redirection Mes Documents "

Image non disponible
Creation GPO 02

Une fois cela fait, click droit sur Redirection Mes Documents, et faites Modifier, ce qui a pour effet d'ouvrir la console GPEDIT

Image non disponible
Creation GPO 03
Image non disponible
Creation GPO 03 Bis


On constate sur la figure ci-dessus, que les stratégies s'appliquent aux ordinateurs et aux utilisateurs. On peut mélanger les deux, mais je ne le conseille pas,Mais ce n'est que mon avis...


4) Déployer Configuration Utilisateur, puis Paramètre Windows et enfin Redirection Des Dossiers.
5) Clique droit pour afficher propriétés.
6) Dans l'onglet cible à paramètre ,utilisez " de base,Rediriger les de tout le monde vers le même emplacement "
7) Emplacement cible, vous choisissez " rediriger vers le répertoire d'accueil de l'utilisateur "


Image non disponible
Creation GPO 04
Image non disponible
Creation GPO 05


8) Sur l'onglet paramètre choisissez les options suivantes

Image non disponible
Creation GPO 06

Je pense qu'il est inutile de les détailler. Apres avoir fait appliquer et fermer la console nous nous retrouvons ici

Image non disponible
Creation GPO 07

Nous allons maintenant détailler certaines des diverses possibilités de la GPO, les autres parlant d'elles-mêmes

Option :
Ne pas passer outre : Cette exception va empêcher qu'une GPO plus proche de l'objet utilisateur ou ordinateur ne prime sur une GPO plus éloignée. Ceci à pour but de ne pas tenir compte de l'ordre d execution des strategies (cf voir plus haut)

Image non disponible
Option des onglets

Désactive : La GPO n'est pas appliquée
Supprimer : Supprime la stratégie au niveau de l'UO ou la supprime définitivement du Domain. Lorsqu'une GPO est supprimée d'un conteneur, celle-ci existe toujours et peut être utilisée par une autre OU.(voir chapitre suivant). Donc lors d une suppression faites bien attention à ne pas vous tromper

Image non disponible
Option des onglets

Propriété :Le bouton propriété nous ouvre une console avec quatre onglets Général, liaison, sécurité et filtre WMI. Je passerai les 3 premiers qui sont faciles à comprendre pour ne m'intéresser qu'au dernier. Les filtres WMI permettent d'appliquer une GPO en fonction de certains critères. Supposons que dans une UO vous avez des postes 2000 et XP. Vous pouvez spécifier que seul les postes XP seront affectés par cette stratégie ou que seul les postes disposant du capacités superieur à 20 GIGA de libre peuvent installer tel logiciel. Les filtres WMI permettent un filtrage supplémentaires au niveau de la GPO sur des postes ou utilisateurs.Ce sont des requete de types SQL

Image non disponible
Option des onglets

2a) Ajout d une stratégie existante :

Prenons, par exemple, deux UO d'un domaine (Programmeur et design) , tout les utilisateurs des deux UO doivent avoir accès à un même partage sur le serveur (\\serveur\developpement). Il serait long de faire un mappage sur chaque poste, et pour chaque utilisateur. Donc j'ai recours à une GPO, que nous nommons " partagedev ". Je crée un petit Batch " net use z : \\serveur\développement ".Je mets le script dans ma GPO au niveau de l ouverture de session dans le logon des utilisateurs et l'applique à l'OU programmeur. Vais- je devoir refaire la même chose pour l'OU design….Hé bien non !!! Je n'ai cas lier ma GPO " partagedev " à l'OU design.. Il y a trois onglets, le premier concerne les GPO du Domain et UO du Domain, le second celle du site et la dernière les liste toutes.

Image non disponible
Ajout d'une GPO

Je sélectionne mon UO design, je fais ajouter,Je vais soit sur Domain/unité d'organisation ou dans Tous. Je sélectionne Partagedev , je valide,et mon OU design se voit ajoute ma GPO.

2b) Héritage des stratégies.
Par défaut, les stratégies sont hérites du parent. Cet à dire qu'une UO qui n'aurait pas de GPO affecte se voit quand même attribuer des sécurités Par exemple celle du Domain ou du site voir celle d une UO supérieure. Donc si vous ne voulez pas que des stratégies soit appliquées, vous la bloquez. Il ne s'agit pas d'un blocage sélectif, vous bloquez toutes les stratégies du parent, donc par conséquences celle du Domain.
2 c) Application de la stratégie au Domain
Lorsque vous créez ou liez une stratégie celle-ci n'est pas appliquées de suite. L'actualisation des stratégies est effectuée toutes les 90 minutes. Il y a une possibilité de réduire ce temps en se servant des commandes suivantes :

  Windows 2003/XP Windows 2000
Ordinateurs Gpupdate /Force Secedit /refreshpolicy Machine_Policy /enforce
Utilisateurs Gpupdate /Force Secedit /refreshpolicy User_Policy /enforce

Il existe aussi une autre commande qui permet de vérifier si les stratégies sont bien appliquées.
Gpresult [/s ordinateur [/u domaine\utilisateur /p mot_de_passe]] [/user NomUtilisateurCible] [/scope {user|computer}] [/v] [/z].
Pour avoir un le détail de ces paramètres faites gpresult / ?

3. Conclusion

Je pense que nous avons vu l'essentiel du fonctionnement et de la mise en place d'une stratégie de sécurité.
Il existe des combinaisons importantes de possibilités à mettre en oeuvre avec les GPO.Il ne tient qu'à vous de les tester. Les GPO faciliteront la gestion de vos postes et utilisateurs, diminueront le temps passé à installer des logiciels par exemple.
Il existe plusieurs outils graphique ou en lignes de commande, je ne citerai que GPMC ,cette nouvelle console permet de gérer plus facilement vos GPO, d'avoir un rapport détaillés sur celle-ci, ce qui est avantageux lorsque l'on récupère un Domain sans suivi.
GPMC permet de faire des sauvegardes, et d'exporter vos stratégies en supprimant le SID afin de les utiliser dans d'autres Domain. J'ai volontairement omis certains détails sur les stratégies de groupes car cet article n'a pas pour but d'expliquer en profondeur le mécanisme de celle-ci.
Je pense avant toutes choses qu'il est important de tester vos GPO avant de les déployer. Donc il est préférable d'avoir un laboratoire de tests, virtuel ou non.

4. Remerciement

Je tiens à remercier Pedro ,Auteur,Buchs et Louis-Guillaume Morand pour la correction de cet article et de leurs conseil pour la mise en page, ainsi que toutes les personnes qui m'ont aider à mettre en place mon premier article à travers mes differents posts sur le forum.
Je remercie egalement Ridan pour ma page d'accueil.