Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Microsoft Windows Server 2008 Installation d'une GPO Les GPO (Group Policies Ob

Microsoft Windows Server 2008 Installation d'une GPO Les GPO (Group Policies Object) permettent de la mise en œuvre de stratégies spécifiques liées à des groupes définis dans l'Active Directory. Les stratégies de groupe sont des fonctions de gestion centralisée de la famille Microsoft Windows. Elles permettent la gestion des éléments inscrits dans un environnement Active Directory. Bien que les stratégies de groupe soient régulièrement utilisées dans les entreprises, elles sont également utilisées dans les écoles ou dans les petites organisations pour restreindre les actions et les risques potentiels comme par exemple le verrouillage du panneau de configuration, la restriction de l’accès à certains dossiers, la désactivation de l’utilisation de certains exécutables, la gestion des imprimantes, le déploiement d'applications, etc. Les GPO sont supportées sur les systèmes serveur Windows 2003 Server, Windows Server 2008 et Windows Server 2008 R2, ainsi que sur les systèmes clients Windows 2000, Windows XP Professionnel, Windows Vista et Windows 7. Sommaire 1 Présentation 2 Les trois phases de l'utilisation des stratégies de groupe  2.1 Création et édition des stratégies de groupe  2.2 Liaison des stratégies de groupe  2.3 Application des stratégies de groupe 3 Les stratégies de groupe locales 4 Quelques commandes 5 Exemples  5.1 Stratégie de groupe pour déploiement logiciel  5.2 Stratégie de groupe pour gestion de l'impression CNFETP – Nantes 31 rue des Naudières - REZE Windows 2008 Server Installation d'une GPO Mai 2010 1 Présentation Les stratégies de groupe peuvent contrôler des clés de registre, la sécurité NTFS, la politique de sécurité et d’audit, l’installation de logiciel, les scripts de connexion et de déconnexion, la redirection des dossiers, et les paramètres d’Internet Explorer. Les paramétrages sont stockés dans les stratégies de groupe. Chaque stratégie de groupe possède un identifiant unique appelé GUID (« Globally Unique Identifier »). Chaque stratégie de groupe peut être liée à un ou plusieurs domaine, site ou unité d’organisation Active Directory. Cela permet à plusieurs objets ordinateurs ou utilisateurs d’être contrôlés par une seule stratégie de groupe et donc de diminuer le coût d’administration globale de ces éléments. Les stratégies de groupe utilisent des fichiers de modèle d’administration avec les extensions .ADM ou .ADMX qui décrivent les clés de registre modifiées par l’application des stratégies de groupe. Sur un ordinateur de travail, les modèles d’administration sont stockés dans le répertoire %WinDir%\Inf, alors que sur un contrôleur de domaine Active Directory, pour chaque domaine et pour chaque stratégie de groupe, ils sont stockés dans un répertoire individuel (Le « group policy template », ou GPT) au sein du répertoire Sysvol. Les fichiers .ADMX sont des fichiers basés sur le format XML et introduits par Windows Vista pour la gestion des stratégies de groupe. Les stratégies de groupe sont analysées et appliquées au démarrage de l’ordinateur et pendant l’ouverture de session de l’utilisateur. Les ordinateurs rafraîchissent les paramètres transmis par les stratégies de groupe de façon périodique, généralement toutes les 60 ou 120 minutes, ce paramètre étant ajustable par un paramètre de stratégie de groupe. Les stratégies de groupe sont supportées sur Windows 2000, Windows XP Pro, Windows Vista, Windows 2003, Windows 2008 et Windows 7. Lorsque l'on utilise un système Windows Serveur avec Active Directory, il existe une stratégie applicable au serveur du domaine appelée Default Domain Controler Policy, et une autre pour les domaine lui-même nommée Default Domain Policy. Ces deux stratégies s'appliquent par défaut sur les machines (serveurs de domaine ou ordinateurs) et les utilisateurs. Déclarés dans le domaine. L'administrateur dispose ensuite d'un outil de gestion lui permettant de créer et d'administrer d'autres stratégies à appliquer sur les objets de son choix. CNFETP – Nantes 31 rue des Naudières – REZE page 2/18 Windows 2008 Server Installation d'une GPO Mai 2010 2 Les trois phases de l'utilisation des stratégies de groupe Les stratégies de groupe peuvent être considérées en trois phases distinctes - Création de la stratégie de groupe, Liaison des stratégies de groupe et application des stratégies de groupe. Création et édition des stratégies de groupe Les stratégies de groupe peuvent être éditées au travers de un outil accessible soit par l'outil d'administration "Gestion des stratégies de groupe" ou par un appel direct en ligne de commande de la Group Policy Management Console ("gpmc.msc"). La console GPMC simplifie grandement la gestion des stratégies de groupe en fournissant un outil de gestion centralisée et collective des objets. La GPMC inclut de nombreuses fonctionnalités telles que la gestion des paramètres, un panneau pour la gestion du filtrage par groupe de sécurité, des outils de sauvegarde et de restauration et d’autres outils graphiques intégrés à la MMC. Pour créer une nouvelle GPO, dans la console de gestion de stratégie de groupe faire un clic droit sur le domaine ou l'OU recevant la nouvelle GPO, puis créer un objet dans ce domaine et le lier ici. Ceci ouvre une fenêtre pour nommer la nouvelle GPO. Saisir le nom retenu et valider par OK La nouvelle GPO apparaît dans l'arborescence Liaison des stratégies de groupe Après avoir créé une stratégie de groupe, elle peut être liée à un site Active Directory, à un domaine ou à une unité d'organisation (UO). CNFETP – Nantes 31 rue des Naudières – REZE page 3/18 Windows 2008 Server Installation d'une GPO Mai 2010 Pour cela, nous allons modifier les paramètres de cette GPO. Cliquer sur la GPO : La fenêtre vous demande si vous voulez vraiment modifier les liens de la GPO. Cliquer sur OK pour ouvrir la fenêtre de configuration La partie droite de la fenêtre permet alors de modifier les liens et les paramètres. Cliquer sur les différents onglets pour définir : - l'étendue - les paramètres - les délégations CNFETP – Nantes 31 rue des Naudières – REZE page 4/18 Windows 2008 Server Installation d'une GPO Mai 2010 - Par les détails, il est possible d'activer et désactiver la GPO. Application des stratégies de groupe Le client de stratégie de groupe du poste récupère la configuration (de base dans un intervalle aléatoire compris entre 60 et 120 minutes, mais cela est configurable via les stratégies de groupe) qui est applicable à l’ordinateur et à l’utilisateur connecté et l’applique en tenant compte des différents critères de filtre, de sécurité et d’héritage. Il est possible de forcer la mise à jour de la GPO par la commande gpupdate /force. CNFETP – Nantes 31 rue des Naudières – REZE page 5/18 Windows 2008 Server Installation d'une GPO Mai 2010 3 Les stratégies de groupe locales Les stratégies de groupe locales sont une version plus basique des stratégies de groupe utilisées avec Active Directory. Dans les versions antérieures à Windows Vista, les stratégies de groupe locales peuvent être utilisées sur un ordinateur local, mais ne peuvent pas être utilisées pour des comptes utilisateur ou des groupes. La limitation liée aux utilisateurs peut être contournée en utilisant l’éditeur de base de registre pour modifier les clés sous HKCU ou HKU. Les stratégies de groupe locales réalisent des modifications sous la clé HKLM, ce qui affecte tous les utilisateurs ; les mêmes changements peuvent être effectués sous HKCU ou HKU pour affecter uniquement certains utilisateurs. Microsoft fournit des informations complémentaires sur le site Technet1. Windows Vista supporte les stratégies de groupe locales multiples, qui permettent de positionner les paramètres pour les utilisateurs individuels. CNFETP – Nantes 31 rue des Naudières – REZE page 6/18 Windows 2008 Server Installation d'une GPO Mai 2010 4 Quelques commandes Il est possible de vérifier l'application des GPO manuellement avec les commandes  gpresult : cette commande permet d'afficher les GPO actives  gpupdate /force : il est possible de forcer l'application des GPO manuellement avec cette commande CNFETP – Nantes 31 rue des Naudières – REZE page 7/18 Windows 2008 Server Installation d'une GPO Mai 2010 5 Exemples Nous allons traiter ici quelques exemples de stratégies de groupe courantes. Stratégie de groupe pour déploiement logiciel 1. Introduction Il s'agit d'une fonctionnalité très utile de Microsoft Active Directory. Elle permet à l’administrateur d’un réseau de pouvoir déployer sur l’ensemble des machines, grâce à une stratégie de groupe, les applications nécessaires aux utilisateurs ou de pouvoir procéder à des mises à jour automatisées et uniformes sur une portion ou l'ensemble d'un parc machines. 2. Création du point de distribution La première étape, quelque soit le type de logiciels que vous souhaitez voir installer, est de placer dans un répertoire partagé sur le serveur de fichiers, le logiciel que vous souhaitez distribuer. Afin que tout les utilisateurs puisse installer le logiciel il faut mettre les droits en lecture au groupe Tout le Monde. On appelle ce partage point de distribution. 3. Déploiement du logiciel Création de la GPO de déploiement Une fois le point de distribution partagé, vous pouvez copier le ou les logiciels qui vous souhaitez distribuer à l’intérieur (dans notre exemple nous installerons la suite Microsoft CNFETP – Nantes 31 rue des Naudières – REZE page 8/18 Windows 2008 Server Installation d'une GPO Mai 2010 Office). (N’oubliez pas que l'application doit être au format Windows Installer). Ensuite allez dans uploads/Management/ gpo-2008-server.pdf