Retourner à : Active Directory : les bases
Maintenant que nous avons la théorie sur les stratégies de groupe, nous allons voir comment créer et modifier une stratégie.
Création et liaison d’une stratégie
Pour créer une stratégie de groupe, vous avez deux possibilités :
- Créer et lier la stratégie directement sur le conteneur où elle va s’appliquer.
- Créer la stratégie dans le conteneur Objets de stratégie de groupe et la lier dans second temps.
Une stratégie peut être liée à plusieurs OU en même temps.
Créer une stratégie de groupe
Depuis la console Gestion de stratégie de groupe, faire un clic droit sur l’OU et cliquer sur Créer un objet GPO dans ce domaine et le lier ici ou sur le conteneur Objets de stratégie de groupe, faire un clic droit et cliquer sur Nouveau.
Nommer la stratégie et cliquer sur OK
La stratégie est créée dans le dossier Objets de stratégie de groupe et si vous le faite depuis une unité d’organisation celle-ci est liée en même temps.
Lier une stratégie au groupe à une unité d’organisation
Pour lier une stratégie de groupe à une unité d’organisation, faire un clic droit dessus et cliquer sur Lier un objet de stratégie de groupe existant… puis choisir la stratégie.
Une fois validé, on retrouve le lien sur l’unité d’organisation. On peut voir que le lien est raccourci vers l’objet stratégie de groupe placé sur l’unité d’organisation.
Propriétés de l’objet stratégie de groupe
Avant de voir comment modifier les paramètres que vont être appliqués par la stratégie de groupe, nous allons regarder les différentes faire un tour des propriétés.
En sélectionnant la stratégie dans le menu de navigation à gauche, les propriétés de celle-ci s’affiche sur la droite de la console et elle est composé de 4 onglets :
- Étendue
- Détails
- Paramètres
- Délégation
Etendue
L’onglet étendu est divisé en 3 zones.
1. Liaisons
Dans cette zone, nous pouvoir voir à quel OU du domaine l’objet stratégie de groupe est lié.
2. Filtrage de sécurité
Le filtrage de sécurité va permettre de choisir à qui la stratégie de groupe s’applique, par défaut elle est appliqué aux utilisateurs authentifiés. Si l’on souhaite restreindre l’application à groupe, il faut le faire depuis le filtrage de sécurité.
Le filtrage de sécurité est lié à l’objet, les modifications apportées ici seront appliqués sur tous les liens.
Depuis une mise à jour, lorsque l’on souhaite limiter l’application de la stratégie de groupe à un objet autre qu’utilisateurs authentifiés, il est nécessaire d’ajouter l’objet utilisateurs authentifiés dans l’onglet ie délégation avec les droits de lecture.
Pour tout ce qui est mappage d’imprimantes et de lecteur réseau (de manière plus générale les préférences), il est possible de le faire dans les paramètres avec le ciblage au niveau élément, qui apporte plus d’options.
3. Filtrage WMI
Le filtrage WMI permet d’effectuer une requête sur l’ordinateur afin de restreindre l’application de la stratégie à un paramètre particulier, par exemple limité l’application au poste Windows 7.
Le filtrage WMI est lié à l’objet, les modifications apportées ici seront appliqués sur tous les liens.
Détails
Dans cet onglet, on va retrouver différente information concernant la GPO, comme son domaine, l’utilisateur qui l’a créée, les dates de création et de modification, la version qui va permettre au contrôleur de domaine de s’assurer de la réplication, son GUID.
Depuis cet onglet, il est aussi possible de désactiver tout ou partie de la GPO en modifiant l’état.
Paramètres
Dans cet onglet s’affiche les différents paramètres que la stratégie de groupe modifient.
Délégation
Cet onglet est semblable à l’onglet sécurité sur un dossier, il regroupe les droits des différents objets qui peut lire / modifier / appliquer la stratégie de groupe. Comme pour les droits NTFS, il est aussi possible de mettre un refus sur les droits, notamment refuser d’appliquer la stratégie qui permet dans quelques cas de gérer des exceptions.
Modifier les paramètres de la stratégie de groupe
Maintenant, nous allons passer à la modification des paramètres afin de pouvoir appliquer des configurations aux ordinateurs et utilisateurs.
Toujours depuis la console Gestion de stratégie de groupe, faire un double clic sur la stratégie (sur un lien ou depuis le conteneur Objets de stratégie de groupe) dans la zone de navigation ou faire un clic droit puis cliquer sur Modifier pour ouvrir l’éditeur de gestion de stratégie de groupe.
Naviguer aux paramètres que vous souhaitez modifier.
Faire un double clic sur le paramètre pour le configurer et valider en cliquant sur Appliquer et OK.
Par défaut, les paramètres ont 3 états possibles (Non configuré, Activé et Désactivé) et certains après être activé ont des options. Une fenêtre d’aide est disponible qui détail le comportement de la stratégie en fonction de son état et les options.
Dans l’éditeur de stratégie de groupe, on peut voir que l’état du paramètre ou par l’onglet Paramètres sur la stratégie de groupe.
Scripts d’ouverture de session et de démarrage
Il est possible à l’aide des stratégies de groupe de faire exécuter un script au démarrage et à l’arrêt de l’ordinateur et/ou de configurer un script à l’ouverture et à la fermeture de la session d’un utilisateur.
Le script d’ouverture de session est similaire au logon script que l’on peut configurer dans les propriétés de l’objet utilisateur.
Les scripts sont exécutés avec le droit de l’objet qui l’exécute, il ne sera pas possible d’installer un logiciel dans un script d’ouverture de session sur un ordinateur si l’utilisateur n’a pas les droits sur les postes.
Le script de démarrage comme son nom l’indique est exécuté avant l’ouverture de session.
Emplacements de configuration des scripts :
- Configuration ordinateur / Stratégies / Paramètres Windows / Scripts
- Configuration utilisateur / Stratégies / Paramètres Windows / Scripts
Faire un double clic sur le moment de l’exécution.
Cliquer sur Ajouter.
Dans la nouvelle fenêtre, cliquer sur Parcourir.
Dans la fenêtre d’exploration, copier le fichier script à l’emplacement et sélectionner le.
Cliquer sur OK pour ajouter le script.
Le script est ajouté, valider la propriété en cliquant sur OK.
Le script sera exécuté à l’ouverture de session de l’utilisateur.
Les scripts ne sont pas rejoués lors de l’actualisation automatique des stratégies de groupe.
Mapper un lecteur réseau
Le mappage de lecteur réseau se fait au niveau de la configuration utilisateur, il est possible dans une même stratégie de mapper plusieurs lecteurs.
Il est aussi possible d’utiliser la variable d’environnement %USERNAME%
pour mapper un espace personnel.
Aller à l’emplacement : Configuration utilisateur / Préférences / Paramètres Windows / Mappages de lecteurs.
Faire un clic droit dans la zone centrale pour créer un lecteur réseau (Nouveau / Lecteur mappé).
Dans l’onglet Général, indiquer à minima l’emplacement au format UNC et la lettre du lecteur. Dans l’onglet commun, cocher la case Exécuter dans le contexte de sécurité de l’utilisateur connecté.
Exécuter dans le contexte de sécurité de l’utilisateur connecté permet d’effectuer le mappage avec le compte de l’utilisateur, par défaut la stratégie est traité avec le SYSTEM de l’ordinateur local ce qui ne permet pas le mappage du lecteur correctement.
Valider en cliquant sur les boutons Appliquer et OK.
Le lecteur réseau à mapper est ajouté à la stratégie de groupe
À la prochaine ouverture de session d’un utilisateur à qui s’applique la stratégie de groupe, le lecteur réseau sera mappé.
Ciblage au niveau de l’élément
Certain paramètre permet d’activer le ciblage au niveau de l’élément afin de choisir un ou plusieurs critères pour appliquer la stratégie de groupe.
Sur le lecteur réseau, ouvrir dans les propriétés et aller sur l’onglet Commun, cocher la case Ciblage au niveau de l’élément et cliquer sur le bouton Ciblage.
Dans la nouvelle fenêtre Éditeur de cible, cliquer sur Nouvel élément pour avoir la liste des éléments disponible. Dans l’exemple, nous allons ajouter un Groupe de sécurité.
Configurer l’élément du cible, ici j’ai sélectionné un groupe dans l’annuaire Active Directory (Grp_Users_HR). Cliquer sur OK pour valider le ciblage et fermer l’éditeur de cible.
Comment ça va se passer : la stratégie de groupe sera appliqué à tous les utilisateurs qui la cible, par contre le lecteur réseau P sera mappé seulement si l’utilisateur est membre du groupe Grp_Users_HR.
Dans l’exemple, on aurait pu changer le filtrage de sécurité, nous aurions eu le même résultat. Partons du principe, que la GPO mappe les lecteurs pour toutes l’entreprise, cette solution permet de faire une stratégie de groupe globale pour le mappage des lecteurs réseaux et de filtrer avec le ciblage au niveau de l’élément.
Options internet et dossiers valider les paramètres
Dans ce point, nous allons voir comment manipuler les options internet et dossiers.
Pour illustrer le fonctionnement, nous allons voir comment configurer la page d’accueil par défaut.
Depuis l’éditeur de stratégie de groupe, aller à l’emplacement : Configuration utilisateur / Préférences / Paramètres du Panneau de configuration / Paramètres Internet.
Dans la zone centrale, faire un clic droit Nouveau / Internet Explorer 10.
Entrer l’url de la page d’accueil.
On peut voir que l’option est souligné d’un trait rouge en pointillé, ce qui signifie que l’option est désactivé, cliquer sur la touche F6
pour activer l’option, ce qui va la souligner d’une ligne verte. Valider ensuite en appuyant les boutons Appliquer et OK.
Note sur les lignes continues vertes et les pointillés rouges.
Les éléments soulignés en vert seront appliqués et les éléments soulignés de pointillés rouges ne le seront pas.
La touche
F5
permet d’activer tous les paramètres, la toucheF6
seulement le paramètre sélectionné, la toucheF7
désactive le paramètre sélectionner et la toucheF8
désactive tous les paramètres.
Compléments
Vous trouverez plusieurs exemples de GPO sur le site rdr-it.com.
Group Policy Search (gpsearch) est un outil en ligne de Microsoft qui permet de rechercher une stratégie de groupe.