« Mise en place des stratégies de groupe (GPO) » : différence entre les versions
| Ligne 43 : | Ligne 43 : | ||
1. Clic droit sur la GPO | 1. Clic droit sur la GPO | ||
2. "Modifier" | 2. "Modifier" | ||
| Ligne 48 : | Ligne 49 : | ||
- Configuration ordinateur | - Configuration ordinateur | ||
- Configuration utilisateur | - Configuration utilisateur | ||
Version du 16 février 2026 à 16:46
Mise en place des stratégies de groupe (GPO)
Objectif
Créer et configurer des stratégies de groupe (GPO – Group Policy Objects) afin d’appliquer des paramètres de sécurité et de configuration aux utilisateurs et aux postes d’un domaine Active Directory.
Contexte
Dans une infrastructure basée sur Active Directory, il est indispensable de centraliser la configuration des postes et des comptes utilisateurs.
Les GPO permettent :
- d’appliquer des règles de sécurité - de configurer les paramètres système - de déployer des logiciels - de restreindre l’accès à certaines fonctionnalités - d’automatiser la configuration des postes
Les stratégies de groupe s’appliquent aux :
- Utilisateurs - Ordinateurs
Elles sont liées à un site, un domaine ou une unité organisationnelle (OU).
Pré-requis
- Active Directory installé et fonctionnel - Poste intégré au domaine - Compte administrateur du domaine - Console "Gestion des stratégies de groupe" disponible
Accès à la console GPO
1. Ouvrir "Gestion des stratégies de groupe" 2. Développer le domaine 3. Sélectionner l’OU cible
Création d’une GPO
1. Clic droit sur l’OU concernée 2. "Créer un objet GPO dans ce domaine, et le lier ici" 3. Nommer la GPO (ex : GPO_Securite_Postes)
Modification d’une GPO
1. Clic droit sur la GPO
2. "Modifier"
Deux sections principales apparaissent :
- Configuration ordinateur
- Configuration utilisateur
Exemple 1 : Forcer la complexité des mots de passe
Chemin :
Configuration ordinateur → Paramètres Windows
→ Paramètres de sécurité
→ Stratégies de compte
→ Stratégie de mot de passe
Paramètres possibles :
- Longueur minimale
- Complexité obligatoire
- Durée de validité
Exemple 2 : Désactiver le panneau de configuration
Configuration utilisateur → Modèles d’administration
→ Panneau de configuration
→ "Interdire l’accès au Panneau de configuration"
Exemple 3 : Déployer un lecteur réseau
Configuration utilisateur
→ Préférences
→ Paramètres Windows
→ Lecteurs réseau
Permet de mapper automatiquement un partage réseau.
Forcer l’application d’une GPO
Sur un poste client :
gpupdate /force
Pour vérifier les GPO appliquées :
gpresult /r
Ordre d’application des GPO
L’ordre d’application suit le principe :
L → S → D → OU
- Local
- Site
- Domaine
- Unité Organisationnelle
La dernière stratégie appliquée est prioritaire.
Dépannage
Si une GPO ne s’applique pas :
- vérifier que la GPO est bien liée à l’OU
- contrôler les droits de sécurité
- vérifier l’appartenance du poste à l’OU
- forcer la mise à jour (gpupdate)
- analyser l’Observateur d’événements
Erreurs fréquentes :
- GPO créée mais non liée
- mauvaise OU cible
- filtrage de sécurité incorrect
- délai de réplication AD
Bonnes pratiques
- Créer des GPO par objectif (sécurité, imprimantes, lecteurs réseau)
- Éviter de modifier la Default Domain Policy
- Tester les GPO dans une OU dédiée avant déploiement
- Documenter chaque GPO
- Utiliser le filtrage de sécurité si nécessaire
Voir aussi
Références
- Microsoft – Group Policy Overview
https://learn.microsoft.com/windows-server/identity/ad-ds/manage/group-policy/group-policy-overview
- Microsoft – Group Policy Processing Order
https://learn.microsoft.com/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing
- Microsoft – Group Policy Cmdlets
https://learn.microsoft.com/powershell/module/grouppolicy/
- Microsoft Security Baselines
https://learn.microsoft.com/windows/security/threat-protection/windows-security-baselines
