Présentation des stratégies de groupe

Les stratégies de groupe connues également sous le nom de GPO (Group Policy Objets), est une fonctionnalité Active Directory, qui va permettre de façon centralisée d’appliquer des paramètres à un ordinateur ou à un utilisateur en fonction de plusieurs critères :

  • Unité d’organisation
  • Appartenance à un groupe
  • Requête WMI

Il est même possible pour certain paramètre d’avoir une couche de filtrage supplémentaire dans le paramètre avec le filtrage par élément.

Les stratégies de groupe existent au niveau local sur les ordinateurs, il est possible d’accéder à la console en entrant dans une fenêtre exécuter gpedit.msc.

Sur un contrôleur de domaine, les stratégies de groupe sont administrées avec la console : Gestion de stratégie de groupe.

Par défaut, deux stratégies sont créées en même temps que l’environnement Active Directory, il est conseillé de ne pas les modifier.

  • Default Domain Policy : est appliquée à l’ensemble du domaine, contient par défaut une stratégie de mot de passe et la stratégie Kerberos.
  • Default Domain Controllers Policy : est appliquée à l’unité d’organisation Domain Controllers et permet d’appliquer les paramètres par défaut pour les contrôleurs de domaine.

En cas de modification, il est possible de restaurer les stratégies par défaut à l’aide de commande DCGPOFIX.

Quelques exemples d’application de stratégies de groupe :

  • Lecteurs réseaux
  • Mappage d’imprimantes
  • Configuration d’Option Internet et de navigateurs Internet.
  • Paramétrage d’ordinateurs (activation / désactivation de fonctionnalités).

Les stratégies de groupe sont stockées dans le dossier Policies qui se trouve \\domain\sysvol\domain\policies, pour rappel ce dossier est répliqué sur l’ensemble des contrôleurs de domaines.

Pour savoir à quel dossier correspond la stratégie de groupe, il faut récupérer son GUID dans la console d’administration dans l’onglet détail.

Par défaut les stratégies de groupe sont actualisés toutes les 90 minutes avec un décalage aléatoire de 0 à 30 minutes afin d’éviter que tous les ordinateurs et utilisateurs actualise en même temps les stratégies de groupe. Ce comportement peut être modifié.

Les paramètres des stratégies de groupe sont définies à l’aide de deux type fichiers ADMX et ADML. Le fichier ADMX est le plus important, car c’est celui-ci qui va définir le ou les paramètres qui vont être modifiés avec la ou les valeurs possibles. Le fichier ADML est un fichier de langue, qui va contenir la traduction des éléments. Par défaut, les fichiers de définition de stratégie de groupe se trouvent dans le répertoire C:\Windows\PolicyDefinitions. Sur les contrôleurs de domaine, il est possible de configurer un répertoire commun à tous les contrôleurs de domaine afin qu’ils aient tous les mêmes définitions. Les fichiers de définitions sont mises à jour à chaque nouvelle version de Windows. Il est aussi possible d’ajouter d’autres fichiers pour configurer les paramètres d’Office, Firefox …

Fichiers ADMX / DML sur un Windows 10