Posted inActive Directory Architecture & Infrastructure Sécurité & Conformité

Introduction aux Group Policy Object (GPO)

No CommentsPosted inActive Directory, Architecture & Infrastructure, Sécurité & Conformité
gpo
gpo

Introduction

Imaginez que vous êtes le responsable informatique d’une entreprise de taille moyenne. Vous avez récemment embauché plusieurs nouveaux employés et vous devez vous assurer que leurs ordinateurs sont correctement configurés selon les normes de sécurité de l’entreprise. Vous devez également vous assurer que les employés n’ont accès qu’aux ressources dont ils ont besoin pour leur travail. Comment pouvez-vous gérer efficacement ces tâches sans avoir à configurer chaque ordinateur individuellement ? C’est là qu’interviennent les Group Policy Object (GPO).

Qu’est-ce qu’un GPO ou stratégie de groupe ?

Un GPO (Group Policy Object) est un ensemble de règles et de paramètres qui permettent de contrôler l’environnement de travail des utilisateurs et des ordinateurs dans un domaine Active Directory (AD). Sous Windows Server, l’outil de gestion des stratégies de groupe s’appelle « Group Policy Management Console » (GPMC).

Pour mettre en place une stratégie de groupe, vous avez besoin des éléments suivants :

  • Un serveur Windows avec le rôle AD DS (Active Directory Domain Services) installé
  • Des utilisateurs et des ordinateurs ajoutés au domaine (membres du domaine)
  • Des groupes d’utilisateurs et/ou d’ordinateurs créés dans l’AD

Types de GPO

Il existe trois types principaux de Group Policy Object :

  1. GPO locales : Ces stratégies sont appliquées directement sur un ordinateur, sans passer par l’AD. L’inconvénient est qu’il faut les configurer sur chaque PC individuellement. Cependant, elles sont parfaites pour les tests avant de les déployer sur l’ensemble du domaine.
  2. GPO centralisées de l’AD : Ces stratégies sont stockées dans l’AD et peuvent être appliquées à des utilisateurs, des ordinateurs ou des groupes spécifiques. C’est le type de GPO le plus couramment utilisé.
  3. Starter GPO : Ce sont des modèles de GPO prédéfinis qui peuvent être utilisés comme point de départ pour créer de nouvelles stratégies.

Hiérarchie LSDOU

La hiérarchie LSDOU (Local, Site, Domain, Organizational Unit) détermine l’ordre dans lequel les GPO sont appliquées. Voici un exemple concret :

Imaginons que vous souhaitiez appliquer un fond d’écran spécifique pour un groupe d’utilisateurs. Vous créez une GPO au niveau de l’unité d’organisation (OU) contenant ces utilisateurs.

Cependant, il existe déjà une GPO au niveau du domaine qui applique un fond d’écran différent. Dans ce cas, la GPO de l’OU sera prioritaire sur celle du domaine pour les utilisateurs de ce groupe.

Utilisation des GPO

gp-create-gpo

Mode graphique (GPMC)

Reprenons l’exemple de l’application d’un fond d’écran pour un groupe d’utilisateurs. Voici comment procéder :

  1. Ouvrez la console GPMC
  2. Faites un clic droit sur l’OU ou le domaine souhaité
  3. Sélectionnez « Créer un GPO dans ce domaine, et le lier ici… »
  4. Donnez un nom à votre GPO et configurez les paramètres souhaités

Mode cmdlet PowerShell

  1. Listez les Group Policy Objects existantes avec Get-GPO -All
  2. Filtrez sur une GPO contenant « fond d’écran » avec Get-GPO -Name "*fond d'écran*"
  3. Vérifiez si la GPO est appliquée avec Get-GPOReport -Name "nom_de_la_GPO"
  4. Appliquez la GPO avec New-GPLink -Name "nom_de_la_GPO" -Target "OU=nom_de_l'OU,DC=nom_du_domaine,DC=local"
  5. Vérifiez à nouveau si la GPO est appliquée avec Get-GPOReport -Name "nom_de_la_GPO"

Explication des options

Lorsque vous éditez un Group Policy Object, vous avez accès à deux sections principales :

gp-customize-gpo
  • Configuration ordinateur : Paramètres appliqués aux ordinateurs, indépendamment des utilisateurs qui s’y connectent.
  • Configuration utilisateur : Paramètres appliqués aux utilisateurs, quel que soit l’ordinateur utilisé.

Chaque section est divisée en deux sous-catégories :

  • Stratégies : Paramètres obligatoires qui ne peuvent pas être modifiés par les utilisateurs.
  • Préférences : Paramètres par défaut qui peuvent être modifiés par les utilisateurs.

Prenons l’exemple d’un modèle de stratégie de groupe pour définir la longueur minimale des mots de passe. Ce paramètre se trouverait dans la section « Configuration ordinateur », catégorie « Stratégies », sous-dossier « Paramètres Windows« , puis « Paramètres de sécurité« .

Pour chaque paramètre, vous avez trois options :

  • Non configuré : Le paramètre n’est pas appliqué par la GPO.
  • Activé : Le paramètre est appliqué et ne peut pas être modifié par l’utilisateur.
  • Désactivé : Le paramètre est désactivé et ne peut pas être activé par l’utilisateur.

Conclusion

Les Group Policy Objects sont un outil puissant pour gérer centralement les paramètres des utilisateurs et des ordinateurs dans un environnement Active Directory. Grâce à la hiérarchie LSDOU, vous pouvez appliquer des stratégies à différents niveaux de votre infrastructure informatique.

Que vous utilisiez l’interface graphique GPMC ou les cmdlets PowerShell, les GPO vous permettent de gagner du temps et d’assurer la sécurité et la conformité de votre système d’information.

Avec une bonne compréhension des options disponibles et une planification minutieuse, les GPO deviendront vite un allié indispensable dans votre gestion quotidienne de l’IT.

Tags:

Comments

No comments yet. Why don’t you start the discussion?

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *