« Mise en place des stratégies de groupe (GPO) » : différence entre les versions
| (14 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 10 : | Ligne 10 : | ||
- d’appliquer des règles de sécurité | - d’appliquer des règles de sécurité | ||
- de configurer les paramètres système | - de configurer les paramètres système | ||
- de déployer des logiciels | - de déployer des logiciels | ||
- de restreindre l’accès à certaines fonctionnalités | - de restreindre l’accès à certaines fonctionnalités | ||
- d’automatiser la configuration des postes | - d’automatiser la configuration des postes | ||
| Ligne 18 : | Ligne 22 : | ||
- Utilisateurs | - Utilisateurs | ||
- Ordinateurs | - Ordinateurs | ||
| Ligne 24 : | Ligne 29 : | ||
== Pré-requis == | == Pré-requis == | ||
- Active Directory installé et fonctionnel | - Active Directory installé et fonctionnel | ||
- Poste intégré au domaine | - Poste intégré au domaine | ||
- Compte administrateur du domaine | - Compte administrateur du domaine | ||
- Console "Gestion des stratégies de groupe" disponible | - Console "Gestion des stratégies de groupe" disponible | ||
| Ligne 31 : | Ligne 39 : | ||
1. Ouvrir "Gestion des stratégies de groupe" | 1. Ouvrir "Gestion des stratégies de groupe" | ||
2. Développer le domaine | 2. Développer le domaine | ||
3. Sélectionner l’OU cible | 3. Sélectionner l’OU cible | ||
| Ligne 37 : | Ligne 47 : | ||
1. Clic droit sur l’OU concernée | 1. Clic droit sur l’OU concernée | ||
2. "Créer un objet GPO dans ce domaine, et le lier ici" | 2. "Créer un objet GPO dans ce domaine, et le lier ici" | ||
3. Nommer la GPO (ex : GPO_Securite_Postes) | 3. Nommer la GPO (ex : GPO_Securite_Postes) | ||
| Ligne 43 : | Ligne 55 : | ||
1. Clic droit sur la GPO | 1. Clic droit sur la GPO | ||
2. "Modifier" | 2. "Modifier" | ||
| Ligne 48 : | Ligne 61 : | ||
- Configuration ordinateur | - Configuration ordinateur | ||
- Configuration utilisateur | - Configuration utilisateur | ||
| Ligne 55 : | Ligne 69 : | ||
Configuration ordinateur | Configuration ordinateur | ||
→ Paramètres Windows | → Paramètres Windows | ||
→ Paramètres de sécurité | |||
→ Paramètres de sécurité | |||
→ Stratégies de compte | → Stratégies de compte | ||
→ Stratégie de mot de passe | → Stratégie de mot de passe | ||
| Ligne 63 : | Ligne 80 : | ||
- Longueur minimale | - Longueur minimale | ||
- Complexité obligatoire | - Complexité obligatoire | ||
- Durée de validité | - Durée de validité | ||
| Ligne 69 : | Ligne 88 : | ||
Configuration utilisateur | Configuration utilisateur | ||
→ Modèles d’administration | → Modèles d’administration | ||
→ Panneau de configuration | |||
→ Panneau de configuration | |||
→ "Interdire l’accès au Panneau de configuration" | → "Interdire l’accès au Panneau de configuration" | ||
| Ligne 76 : | Ligne 97 : | ||
Configuration utilisateur | Configuration utilisateur | ||
→ Préférences | |||
→ Préférences | |||
→ Paramètres Windows | → Paramètres Windows | ||
→ Lecteurs réseau | |||
→ Lecteurs réseau | |||
Permet de mapper automatiquement un partage réseau. | Permet de mapper automatiquement un partage réseau. | ||
| Ligne 86 : | Ligne 111 : | ||
Sur un poste client : | Sur un poste client : | ||
'''gpupdate /force''' | |||
gpupdate /force | |||
Pour vérifier les GPO appliquées : | Pour vérifier les GPO appliquées : | ||
'''gpresult /r''' | |||
gpresult /r | |||
== Ordre d’application des GPO == | == Ordre d’application des GPO == | ||
| Ligne 103 : | Ligne 124 : | ||
- Local | - Local | ||
- Site | - Site | ||
- Domaine | - Domaine | ||
- Unité Organisationnelle | - Unité Organisationnelle | ||
| Ligne 114 : | Ligne 138 : | ||
- vérifier que la GPO est bien liée à l’OU | - vérifier que la GPO est bien liée à l’OU | ||
- contrôler les droits de sécurité | - contrôler les droits de sécurité | ||
- vérifier l’appartenance du poste à l’OU | - vérifier l’appartenance du poste à l’OU | ||
- forcer la mise à jour (gpupdate) | - forcer la mise à jour (gpupdate) | ||
- analyser l’Observateur d’événements | - analyser l’Observateur d’événements | ||
| Ligne 122 : | Ligne 150 : | ||
- GPO créée mais non liée | - GPO créée mais non liée | ||
- mauvaise OU cible | - mauvaise OU cible | ||
- filtrage de sécurité incorrect | - filtrage de sécurité incorrect | ||
- délai de réplication AD | - délai de réplication AD | ||
| Ligne 129 : | Ligne 160 : | ||
- Créer des GPO par objectif (sécurité, imprimantes, lecteurs réseau) | - Créer des GPO par objectif (sécurité, imprimantes, lecteurs réseau) | ||
- Éviter de modifier la Default Domain Policy | - Éviter de modifier la Default Domain Policy | ||
- Tester les GPO dans une OU dédiée avant déploiement | - Tester les GPO dans une OU dédiée avant déploiement | ||
- Documenter chaque GPO | - Documenter chaque GPO | ||
- Utiliser le filtrage de sécurité si nécessaire | - Utiliser le filtrage de sécurité si nécessaire | ||
== Voir aussi == | == Voir aussi == | ||
- | * [https://wiki.portfolio-articles.ovh/index.php/Cat%C3%A9gorie:Active_Directory Catégorie:Active Directory] | ||
- | * [https://wiki.portfolio-articles.ovh/index.php/Mise_en_place_d%E2%80%99un_serveur_DNS_sous_Windows_Server Mise en place d’un serveur DNS sous Windows Server] | ||
[[Catégorie: | * [[Catégorie:GPO]] | ||
[ | * [https://wiki.portfolio-articles.ovh/index.php/Cat%C3%A9gorie:Windows_Server Catégorie: Windows Server] | ||
* [https://wiki.portfolio-articles.ovh/index.php/Cat%C3%A9gorie:Infrastructure_r%C3%A9seau Catégorie:Infra] | |||
[ | |||
== Références == | == Références == | ||
Dernière version du 16 février 2026 à 16:46
Mise en place des stratégies de groupe (GPO)
Objectif
Créer et configurer des stratégies de groupe (GPO – Group Policy Objects) afin d’appliquer des paramètres de sécurité et de configuration aux utilisateurs et aux postes d’un domaine Active Directory.
Contexte
Dans une infrastructure basée sur Active Directory, il est indispensable de centraliser la configuration des postes et des comptes utilisateurs.
Les GPO permettent :
- d’appliquer des règles de sécurité
- de configurer les paramètres système
- de déployer des logiciels
- de restreindre l’accès à certaines fonctionnalités
- d’automatiser la configuration des postes
Les stratégies de groupe s’appliquent aux :
- Utilisateurs
- Ordinateurs
Elles sont liées à un site, un domaine ou une unité organisationnelle (OU).
Pré-requis
- Active Directory installé et fonctionnel
- Poste intégré au domaine
- Compte administrateur du domaine
- Console "Gestion des stratégies de groupe" disponible
Accès à la console GPO
1. Ouvrir "Gestion des stratégies de groupe"
2. Développer le domaine
3. Sélectionner l’OU cible
Création d’une GPO
1. Clic droit sur l’OU concernée
2. "Créer un objet GPO dans ce domaine, et le lier ici"
3. Nommer la GPO (ex : GPO_Securite_Postes)
Modification d’une GPO
1. Clic droit sur la GPO
2. "Modifier"
Deux sections principales apparaissent :
- Configuration ordinateur
- Configuration utilisateur
Exemple 1 : Forcer la complexité des mots de passe
Chemin :
Configuration ordinateur → Paramètres Windows
→ Paramètres de sécurité
→ Stratégies de compte
→ Stratégie de mot de passe
Paramètres possibles :
- Longueur minimale
- Complexité obligatoire
- Durée de validité
Exemple 2 : Désactiver le panneau de configuration
Configuration utilisateur → Modèles d’administration
→ Panneau de configuration
→ "Interdire l’accès au Panneau de configuration"
Exemple 3 : Déployer un lecteur réseau
Configuration utilisateur
→ Préférences
→ Paramètres Windows
→ Lecteurs réseau
Permet de mapper automatiquement un partage réseau.
Forcer l’application d’une GPO
Sur un poste client :
gpupdate /force
Pour vérifier les GPO appliquées :
gpresult /r
Ordre d’application des GPO
L’ordre d’application suit le principe :
L → S → D → OU
- Local
- Site
- Domaine
- Unité Organisationnelle
La dernière stratégie appliquée est prioritaire.
Dépannage
Si une GPO ne s’applique pas :
- vérifier que la GPO est bien liée à l’OU
- contrôler les droits de sécurité
- vérifier l’appartenance du poste à l’OU
- forcer la mise à jour (gpupdate)
- analyser l’Observateur d’événements
Erreurs fréquentes :
- GPO créée mais non liée
- mauvaise OU cible
- filtrage de sécurité incorrect
- délai de réplication AD
Bonnes pratiques
- Créer des GPO par objectif (sécurité, imprimantes, lecteurs réseau)
- Éviter de modifier la Default Domain Policy
- Tester les GPO dans une OU dédiée avant déploiement
- Documenter chaque GPO
- Utiliser le filtrage de sécurité si nécessaire
Voir aussi
Références
- Microsoft – Group Policy Overview
https://learn.microsoft.com/windows-server/identity/ad-ds/manage/group-policy/group-policy-overview
- Microsoft – Group Policy Processing Order
https://learn.microsoft.com/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing
- Microsoft – Group Policy Cmdlets
https://learn.microsoft.com/powershell/module/grouppolicy/
- Microsoft Security Baselines
https://learn.microsoft.com/windows/security/threat-protection/windows-security-baselines
