Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

INTRODUCTION Les stratégies de groupes sont des ensembles de paramètres qui s'a

INTRODUCTION Les stratégies de groupes sont des ensembles de paramètres qui s'appliquent aux utilisateurs et ordinateurs. Elles permettent de gérer plus facilement la sécurité d'un poste ou de plusieurs postes dans un Domain. Les GPO ne s'appliquent pas aux groupes, mais comme dit précédemment aux postes et utilisateurs, qui se trouvent dans un conteneur ou une UO (Unité Organisation). Pour exploiter pleinement les stratégies de groupe, il est nécessaire de le faire dans un environnement Active Directory. Il est évidemment possible d’utiliser les stratégies locales sur un parc informatique dont les ordinateurs sont reliés par un Workgroup. Cependant, l’utilisation des stratégies de groupe dans un environnement Active Directory représente l’exemple le plus répandu au sein des entreprises disposant d’architectures Microsoft. Gérer les stratégies locales de chaque poste de travail d’une organisation demande beaucoup de travail ainsi qu’une gestion décentralisée des informations. Lorsqu’une modification est faite concernant les politiques de stratégie de groupe, il faut effectuer les mises à jour sur chaque poste de travail concerné. Si le Workgroup possède un nombre élevé d’ordinateurs, le travail des administrateurs prend tellement de temps pour effectuer des tâches répétitives qu’il en perd pratiquement son intérêt. Ainsi, l’utilité du déploiement des GPO dans un domaine Active Directory est incomparablement plus importante qu’au sein d’un Workgroup. Lorsque l’entreprise connecte ses ordinateurs à travers un domaine, les GPO s’appuient sur Active Directory et la console de gestion des stratégies de groupe pour fonctionner. 1. Objectif Dans cette procédure, nous allons montrer comment mettre en place des GPO en français : Objets de Stratégies de Groupe. 2. Définition Les GPO (Group Policy Object) sont des objets Active Directory qui définissent les droits des utilisateurs. Ce sont des stratégies de groupes. Les G.P.O sont applicables aux Sites, Domaines et OU. 3. Prérequis Pour réaliser cette procédure, nous avons besoin des éléments suivants : OS du serveur OS du client C/S Windows Server 2008 Windows 7 S 4. LES DIFFERENTS TYPES DE GPO RENCONTRES Il existe trois catégories de GPO :  La stratégie unique : les GPO créés ne porte que sur un seul type de paramètres de stratégie de groupe. Ex : seul les paramètres de sécurité sont concernés.  La stratégie multiple : les GPO créés influent sur plusieurs types de paramètres de stratégie de groupe. Ex : paramètres de sécurité et de script  La stratégie dédiée : les GPO créés portent sur les stratégies de groupe de configuration, soit de l'ordinateur, soit de l'utilisateur. I. Active Directory, une étape primordiale Les stratégies de groupe fonctionnent en corrélation étroite avec Active Directory. C’est dans l’Active Directory que sont liées les GPO pour s’appliquer ensuite sur les postes clients. La structure de l’Active Directory d’une entreprise, et plus particulièrement la structure des Unités d’Organisation, définit la façon dont il est possible de gérer les GPO. La constitution de l’architecture Active Directory détermine la logique de création des stratégies de groupe. Il est intéressant de disposer d’un Active Directory scindé et organisé en concordance avec les différents secteurs d’activités de l’entreprise. Dans cette hypothèse, il sera plus facile de générer des stratégies de groupe orientées vers les besoins des utilisateurs et de les lier aux Unités d’Organisation correspondantes. Il est recommandé également de maintenir la simplicité dans l’organisation des Unités d’Organisation. Une structure simple et compréhensible facilite la gestion des stratégies de groupe. II. Mise en oeuvre Gérer les stratégies de site, de domaine et d’unité d’organisation Lorsque vous déployez les Services de domaine Active Directory, vous pouvez faire appel à la Stratégie de groupe Active Directory. Chaque site, domaine ou OU peut avoir une ou plusieurs stratégies de groupe. Les stratégies de groupe de la liste Stratégie de groupe sont listées par priorité décroissante, de manière à garantir l’application correcte des stratégies dans l’ensemble des sites, domaines et OU concernés. Stratégies par défaut et de domaine Si on travaille avec la Stratégie de groupe basée sur Active Directory, on verra que chaque domaine de votre organisation possède deux GPO par défaut : GPO Default Domain Controllers Policy GPO par défaut créé pour et associé à l’OU Contrôleurs de domaine. Cet objet s’applique à tous les contrôleurs de domaine d’un domaine, tant qu’ils ne sont pas supprimés de cette OU. Il sert à gérer les paramètres de sécurité des contrôleurs de domaine d’un domaine. GPO Default Domain Policy GPO par défaut créé pour et associé au domaine au sein d’Active Directory. Cet objet permet d’établir les bases d’un ensemble varié de paramètres de stratégie qui s’appliquent à tous les utilisateurs et les ordinateurs d’un domaine. Généralement, le GPO Default Domain Policy est l’objet prioritaire associé au niveau du domaine et le GPO Default Domain Controllers Policy l’objet prioritaire associé au conteneur Contrôleurs de domaine. Il est possible de relier d’autres GPO au niveau du domaine et au conteneur Contrôleurs de domaine. Ce faisant, les paramètres du GPO prioritaire vont remplacer ceux des GPO de moindre priorité. Ces objets ne sont pas conçus pour la gestion générale de la Stratégie de groupe. Le GPO Default Domain Policy ne sert qu’à gérer les paramètres de stratégies de comptes par défaut et, en particulier, trois zones spécifiques des stratégies de comptes : la stratégie de mot de passe, la stratégie de verrouillage du compte et la stratégie Kerberos. Il existe également quatre options de sécurité qui se gèrent par le biais de ce GPO: Comptes: Renommer le compte Administrateur, Comptes: Renommer le compte Invité, Sécurité réseau : Forcer la fermeture de session quand les horaires de connexion expirent et Accès réseau : Permet la traduction de noms/ SID anonymes. Pour remplacer ces paramètres, il est possible de créer un nouveau GPO avec les paramètres de remplacement et de l’associer au conteneur de domaine avec une priorité plus élevée. Le GPO Default Domain Controllers Policy contient des paramètres d’Options de sécurité et d’attribution des droits utilisateurs spécifiques qui limitent les usages des contrôleurs de domaine. Pour remplacer ces paramètres, on crée un nouveau GPO avec les paramètres de remplacement et on l’associe au conteneur Contrôleurs de domaine avec une priorité plus élevée. Pour gérer les autres zones de la stratégie, vous devez créer un nouveau GPO et l’associer au domaine ou à une OU du domaine. Les stratégies de groupe pour le site, les domaines et les OU sont placées dans le dossier %SystemRoot%\Sysvol\Domain\Policies des contrôleurs de domaine. Ce dossier contient un sous-dossier pour chaque stratégie définie sur le contrôleur de domaine. Le nom de ce dossier est un GUID (Global Unique Identifier). Le GUID de la stratégie apparaît dans la page des propriétés de la stratégie, dans l’onglet Général. Dans chaque sous-dossier de stratégie existent les sous-dossiers suivants : Machine Stocke les scripts d’ordinateurs du dossier Script et les informations de stratégie du Registre pour HKEY_LOCAL_MACHINE (HKLM) dans le fichier Registry.pol. User Stocke les scripts d’utilisateurs du dossier Script et les informations de stratégie du Registre pour HKEY_CURRENT_USER (HKCU) dans le fichier Registry.pol. Attention Ne pas modifiez directement ces dossiers et fichiers : utilisons les fonctions appropriées de la console Stratégie de groupe. 1. Démonstration sur la gestion des stratégies de groupe - Tout d’abord, l’administrateur doit se rendre dans le menu « Démarrer », ensuite, dans« Outils d’administration » et « Gestion des stratégies de groupe » et voyons l’arborescence du serveur et une GPO créée par défaut « Default Domain Policy » : Ensuite, nous devons nous rendre dans « Objets de stratégie de groupe » pour voir les GPO créées, faisons un double clic sur la GPO « Default Domain Policy » et allons dans les paramètres : 3. Modifications des paramètres de la GPO créée par défaut - Nous sélectionnons la GPO « Default Domain Policy » pour visualiser un tableau avec tous les paramètres en cliquant sur l’onglet « Paramètres » pour ainsi appliquer un ou plusieurs paramètres pour tous les utilisateurs : Pour ce faire, nous faisons un clic droit sur la GPO, « Modifier » et choisissons, par exemple, « Configuration ordinateur », « Paramètres Windows » et « Paramètres de sécurité » : Par exemple, nous allons appliquer des restrictions pour les comptes utilisateurs. Po ce faire, nous cliquons sur « Stratégies de comptes » : - Et, par exemple, nous allons dans « Stratégie de verrouillage du compte » et voici les différents paramètres : Par exemple nous allons appliquer des restrictions pour les, compte utilisateur Pour se faire, nous cliquons sur (stratégie de compte) - Nous allons modifier les paramètres suivants : Durée de verrouillage des comptes de 30 minutes : - Nous allons dans les propriétés du paramètre, cochons la case « Définir ce paramètre de stratégie », définissons le temps de verrouillage du compte et validons : - Ici, nous proposons à l’administrateur des modifications pour les valeurs. Nous cliquons directement sur « OK » : - Ensuite, nous validons : - Nous constatons que les valeurs ont bien été prises en compte : 3 tentatives d’ouvertures de session non valides : - Pour ce faire, nous faisons uploads/Management/ exposer-gpo.pdf