Mise en place des stratégies de groupe (GPO)

De Base de connaissances

Mise en place des stratégies de groupe (GPO)

Objectif

Créer et configurer des stratégies de groupe (GPO – Group Policy Objects) afin d’appliquer des paramètres de sécurité et de configuration aux utilisateurs et aux postes d’un domaine Active Directory.

Contexte

Dans une infrastructure basée sur Active Directory, il est indispensable de centraliser la configuration des postes et des comptes utilisateurs.

Les GPO permettent :

- d’appliquer des règles de sécurité - de configurer les paramètres système - de déployer des logiciels - de restreindre l’accès à certaines fonctionnalités - d’automatiser la configuration des postes

Les stratégies de groupe s’appliquent aux :

- Utilisateurs - Ordinateurs

Elles sont liées à un site, un domaine ou une unité organisationnelle (OU).

Pré-requis

- Active Directory installé et fonctionnel - Poste intégré au domaine - Compte administrateur du domaine - Console "Gestion des stratégies de groupe" disponible

Accès à la console GPO

1. Ouvrir "Gestion des stratégies de groupe" 2. Développer le domaine 3. Sélectionner l’OU cible

Création d’une GPO

1. Clic droit sur l’OU concernée 2. "Créer un objet GPO dans ce domaine, et le lier ici" 3. Nommer la GPO (ex : GPO_Securite_Postes)

Modification d’une GPO

1. Clic droit sur la GPO

2. "Modifier"

Deux sections principales apparaissent :

- Configuration ordinateur

- Configuration utilisateur

Exemple 1 : Forcer la complexité des mots de passe

Chemin :

Configuration ordinateur → Paramètres Windows

→ Paramètres de sécurité

→ Stratégies de compte

→ Stratégie de mot de passe

Paramètres possibles :

- Longueur minimale

- Complexité obligatoire

- Durée de validité

Exemple 2 : Désactiver le panneau de configuration

Configuration utilisateur → Modèles d’administration

→ Panneau de configuration

→ "Interdire l’accès au Panneau de configuration"

Exemple 3 : Déployer un lecteur réseau

Configuration utilisateur

→ Préférences

→ Paramètres Windows

→ Lecteurs réseau


Permet de mapper automatiquement un partage réseau.

Forcer l’application d’une GPO

Sur un poste client :

gpupdate /force

Pour vérifier les GPO appliquées :

gpresult /r

Ordre d’application des GPO

L’ordre d’application suit le principe :

L → S → D → OU

- Local

- Site

- Domaine

- Unité Organisationnelle

La dernière stratégie appliquée est prioritaire.

Dépannage

Si une GPO ne s’applique pas :

- vérifier que la GPO est bien liée à l’OU

- contrôler les droits de sécurité

- vérifier l’appartenance du poste à l’OU

- forcer la mise à jour (gpupdate)

- analyser l’Observateur d’événements

Erreurs fréquentes :

- GPO créée mais non liée

- mauvaise OU cible

- filtrage de sécurité incorrect

- délai de réplication AD

Bonnes pratiques

- Créer des GPO par objectif (sécurité, imprimantes, lecteurs réseau)

- Éviter de modifier la Default Domain Policy

- Tester les GPO dans une OU dédiée avant déploiement

- Documenter chaque GPO

- Utiliser le filtrage de sécurité si nécessaire

Voir aussi

Références

  • Microsoft – Group Policy Overview
 https://learn.microsoft.com/windows-server/identity/ad-ds/manage/group-policy/group-policy-overview
  • Microsoft – Group Policy Processing Order
 https://learn.microsoft.com/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing
  • Microsoft – Group Policy Cmdlets
 https://learn.microsoft.com/powershell/module/grouppolicy/
  • Microsoft Security Baselines
 https://learn.microsoft.com/windows/security/threat-protection/windows-security-baselines
Récupérée de « http://wiki.portfolio-articles.ovh/index.php?title=Mise_en_place_des_stratégies_de_groupe_(GPO)&oldid=248 »