Administration des

Réseaux
-Sous Windows-

Chapitre:
GPO
Pr. H. EL KABTANEPrésentation
La stratégie de groupe est un outil d'administration centralisé pour vos
systémes joints 4 un domaine. Pour résumer ses fonctionnalités, vous pouvez
eréer des stratégies dans Active Directory, attribuer ces stratégies a des
utilisateurs ou des ordinateurs particuliers et, dans ces stratégies, modifier
n'importe quel nombre de paramétres ou de configurations qui se trouvent
dans le systéme d'exploitation Windows. L'élément a l'intérieur d'Active
Directory qui contient ces paramétres est appelé un objet de stratégie de
groupe (Group Policy Object GPO), nous nous concentrerons donc sur la
création et la manipulation de ceux-ci afin de prendre des décisions de gestion
centralisées qui affecteront un grand nombre d'ordinateurs dans notre
environnement.

Les GPO peuvent étre utilisés pour les comptes d'utilisateurs, les paramétres
de l'ordinateur client ou pour mettre des configurations sur vos serveurs.

Pr. H. EL KABTANE

Présentation
Les administrateurs configurent et déploient la stratégie de groupe en créant des
objets de strategie de groupe (GPO), Les objets de stratégie de groupe sont des
conteneurs pour des groupes de paramétres (paramétres de straté ie) qui peuvent
étre
appliqués aux comptes d'utilisateurs et d'ordinateurs dans Active Directory. Les
objets
de stratégie sont créés a l'aide de l'éditeur de gestion des stratégies de groupe
(Group
Policy Management Editor GPME ant est anal en modifiant un objet de stratégie
a groupe a partir de la GPM Le méme GPO pourrait specifier un ensemble
pplications a installer sur les ordinateurs de tous les utilisateurs, ell Bening
une
polite trés stricte de quotas de disque et de restrictions sur le ‘shell Kxplorer,
et
éfinir des politiques de mot de passe et de verrouillage de compte a l'échelle du
domaine. I] est possible de créer un GPO global ou plusieurs GPO différents, un
pour
chaque type de fonction.

Un GPO est compose de deux parties :

Configuration de l'ordinateur: Les stratégies de configuration de l'ordinateur
gerent les parametres spécifiques a la machine tels que les quotas de disque,
l'audit de
sécurite et la gestion du journal des événements.

Configuration de l'utilisateur: Les sinatra de configuration de l'utilisateur

appliquent des parametres spécifiques a l'utilisateur tels que la configuration de
l'application, la gestion du menu Démarrer et la redirection de dossier.

Pr. H. EL KABTANEType GPO

Dans un environnement Active Directory, il est bien possible de créer et déployer
des
stratégies de groupe pour cibler les postes clients et les utilisateurs. En
complément, il faut
savoir qu'il existe la possibilité d'appliquer des paramétres GPO directement en
local sur un
poste, notamment s'il est hors domaine.

Voyons ce qu'est une stratégie de groupe locale et ce qui la différencie d'une

stratégie de
groupe Active Directory
- GPO locale
- GPO Active Directory
Pr. H. EL KABTANE
Type GPO : GPO Local
Depuis Windows XP, toutes les versions de Windows intégrent les paramétres de
configuration avec une organisation similaire et accessible localement au travers
d'une
console MMC (Microsoft Management Console). Ces paramétres de configuration sont
ceux
que l'on retrouve lorsque l'on crée une stratégie de groupe sur un domaine,
organisé de la
méme facon, et qui sont utilisables pour personnaliser la machine ou le serveur sur
lequel on
se trouve.

Ces paramétres lorsqu'ils sont gérés en local, restent stockés en local, et l'on
appelle cela la
"Stratégie de groupe locale" ou "Local Group Policy". Avec ce mode de
fonctionnement, il n'y a
rien de centralisé : le paramétrage s'effectue machine par machine, 4 la main.
Autrement dit,
cela peut s'avérer chronophage et trés gourmand en temps.

Pr. H. EL KABTANEType GPO : GPO AD

GPO locale est une possibilité intéressante pour tester une nouvelle configuration
afin de
préconfigurer et sécuriser au mieux vos équipements. La gestion machine par machine
étant
difficilement envisageable, comment faire pour gérer de fagon centralisée les GPO ?
C'est la
qu'interviennent les GPO Active Directory.

A l'aide d'une console unique, vous allez pouvoir gérer différentes stratégies de
groupe (GPO)
a appliquer sur les machines et les utilisateurs d’un domaine.

Gardez a l'esprit que la GPO locale peut s'avérer utile pour tester une
configuration avant de
la déployer sur un ensemble de machines de votre parc. Ensuite, lorsque la
configuration est
testée et validée, vous pourrez la déployer sur votre infrastructure grace 4 une
stratégie de
groupe Active Directory.

Enfin, la configuration sera appliquée sur vos machines, automatiquement, ce qui

vous fera
gagner un temps précieux et offre une énorme flexibilité.

Pr. H. EL KABTANE
La regle LSDOU
Derriére l'acronyme LSDOU se cache les termes suivants : Local, Site, Domain,
Organizational Unit. Se cache également l'ordre d'application des stratégies de
groupe sur
une machine.

Ce qu'il faut retenir, c'est que la GPO locale s'applique en premier lieu, ensuite
viennent
s'appliquer les GPO au niveau du site et du domaine. Enfin, les GPO liées sur les
unités
d'organisation s'appliquent.

LSDOU
J/IV\,
Local Site Domaine Unité d’Organisation
Pr. H. EL KABTANELa regle LSDOU
Prenons un exemple, nous avons le domaine « ensa.ma », qui contient plusieurs
unités
d'organisation et 3 stratégies de groupe : GPO n°1, GPO n°2 et GPO n°3. Ce qui nous
donne :
= Fs Ces trois stratégies de groupe servent 4 faire quelque
a Ses chose de trés simple, configurer le fond d'écran dans
les sessions des utilisateurs. I] y a seulement une
L, iz lam Pow? image différente utilisée 4 chaque fois.

Voici ce que ca donnera dans la pratique :

- - Cas n°1: un utilisateur dont l'objet se situe dans
Dy | cco] l'0U "Secretariat" va hériter de l'image de fond
d'écran défini dans la GPO n°2.

| oeton | l= 6Pon’s «6+ )~= Cas n°2:: un utilisateur dont l'objet se situe dans
l'OU "Direction" va hériter de l'image de fond
d'écran défini dans la GPO n°3.

Cas n°3 : un utilisateur qui est situé dans une

autre OU que "Utilisateurs", "Administrateur" va
hériter de l'image définie dans la GPO n°1.

Pr. H. EL KABTANE
Comment les stratégies de groupe sont appliquées?

Aprés avoir lu les stratégies de groupe et examiné les deux stratégies

par défaut, vous vous demandez peut-étre comment la stratégie de
domaine par défaut peut affecter tous les ordinateurs du domaine
lorsque les contréleurs de domaine ont leur propre stratégie par défaut.
Vous avez peut-étre remarqué que la stratégie de domaine par défaut
déefinit plusieurs stratégies de compte, telles que les paramétres de mot
de passe et de verrouillage de compte, mais aucune stratégie
d'attribution de droits d'utilisateur ; la stratégie des contréleurs de
domaine par défaut définit les stratégies d'attribution des droits
d'utilisateur, mais pas les stratégies de compte. En outre, de
nombreuses stratégies ne sont pas définies ou ne sont pas configurées
car les GPO, comme Active Directory, fonctionnent dans une structure
hiérarchique.

Pr. H. EL KABTANEComment les stratégies de groupe sont appliquées?

Les objets de stratégie de groupe peuvent étre appliqués a quatre

endroits : ordinateur local, site, domaine et unité d'organisation. Les
stratégies sont également appliquées dans cet ordre. Les stratégies qui
ne sont pas définies ou configurées ne sont pas appliquées du tout, et la
derniére stratégie a appliquer est celle qui a priorité. Par exemple, un
objet de stratégie de groupe lié a un domaine affecte tous les
ordinateurs et utilisateurs du domaine, mais un objet de stratégie de
groupe lié a une unité d'organisation remplace les stratégies de domaine
en cas de conflit de paramétres.

Pr. H. EL KABTANE
Gestion des unités organisationnelles
Imaginez que vous avez un domaine avec 3000 utilisateurs, 3000 postes
de travail, 500 groupes et 200 serveurs. Si tous ces objets se trouvent
dans un seul conteneur, vous aurez du mal a déléguer les autorisations
administratives et a appliquer la stratégie de groupe. Les unités
d'organisation (UO) sont utilisées pour structurer votre domaine. Vous
pouvez placer des objets liés par les régles que vous définissez, tels que
tous les utilisateurs d'une unité commerciale ou d'un emplacement
spécifique, dans des unités d'organisation spécifiques et utiliser ces
unités d'organisation pour controler la délégation des autorisations
administratives et l'application de la stratégie de groupe.

Pr. H. EL KABTANEGestion des unités organisationnelles

« Une unité d'organisation est un conteneur au sein d'un domaine qui peut étre
utilisé
pour contenir des objets d'utilisateur, d'ordinateur, de groupe et d'autres objets
d'unité d'organisation. I] existe deux raisons principales pour créer une unité
d'organisation :
> Pour contréler la délégation des priviléges administratifs, c'est-a-dire qu'un
certain
groupe d'administrateurs ne peut contrdler que les utilisateurs, les groupes et les
ordinateurs d'une certaine OU
> Pour controler l'application de la stratégie de groupe
Les OU ne peuvent pas recevoir d'autorisations, vous ne pouvez donc pas les
utiliser a
la place des groupes.

La réorganisation des unités d'organisation (et leur contenu) au sein d'un domaine
est
une question relativement simple contrairement au domaines qui sont des objets
inflexibles et reorganiser les domaines dans une forét est trés difficile.

Pr. H. EL KABTANE
Gestion des unités organisationnelles
Les OUs étaient déclarées étre des conteneurs pour d'autres objets. Pour compliquer
les choses,
dans votre Active Directory, vous trouverez également des objets appelés conteneurs
créés avec
le domaine.

Les principales différences entre un conteneur et une unité d'organisation sont que
la stratégie
de groupe ne peut pas étre appliquée 4 un conteneur et que les unités
d'organisation enfants ne
peuvent pas étre créées dans un conteneur.

Pr. H. EL KABTANECréation des GPO

Concepts de base de la stratégie de groupe
La stratégie de groupe n'a rien a voir avec les groupes. Un objet de stratégie de
groupe (GPO)
définit un certain nombre de paramétres, par exemple, l'économiseur d'écran 4
utiliser, les
options du panneau de configuration disponibles pour un utilisateur et les
fonctionnalités
disponibles dans le menu Démarrer ou dans Internet Explorer. Ces paramétres peuvent
ensuite
étre appliqués A des ensembles d'utilisateurs ou d'ordinateurs en les liant 4 des
OU ou au
domaine.

La stratégie de groupe est un outil extrémement puissant. Un GPO contient des

milliers de
paramétres pour gérer votre environnement. Vous pouvez utiliser les objets de
stratégie de
groupe pour gérer de nombreuses choses, y compris:
>» Droits de connexion 4 des machines particuliéres
>» Paramétres utilisateur, tels que les scripts de connexion, les imprimantes et
les normes
organisationnelles telles que les arriére-plan, la configuration du journal des
événements et
les droits d'accés au systéme de fichiers.

>» Contréle des composants Windows tels que Windows Update et des applications
telles que
Microsoft Office
> Disponibilité, paramétres et distribution des logiciels
Création des GPO
Pr. H. EL KABTANE

Concepts de base de la stratégie de groupe

Deux GPO sont créés par défaut lors de la premiére installation d'Active
Directory :
m= Stratégie de domaine par défaut
m Stratégie des contréleurs de domaine par défaut
La stratégie de domaine par défaut définit la stratégie de mot de passe pour le
domaine (longueur du mot de passe, la complexité, durée de validité du mot de
passe,
etc.), tandis que la strategie des controéleurs de domaine par defaut définit la
sécurité
par défaut sur les contréleurs de domaine.

Pr. H. EL KABTANECréation des GPO

Création de la stratégie de groupe

eb Gestion de stratégie de groupe - oOo x

igh Fichier Action Affichage Fenétre 7 = =
9 | alm) o/ x s| a om
La Gestion de stratégie de groupe Default Domain Controllers Policy
~ A Foret: ensa.local Bends | Deets | Pend Délégation | Bist
~ lB Domaines =
vv Gig ensa.local Latsons -
J Default Domain Policy Afficher les liaisons & cet emplacement: [Ensa local =

> [Bj Domain Controllers Les sites, domaines et unités d'organisation suivants sont
liés 4 cet objet GPO -
~ (—} Objets de stratégie de gr:
g Default Domain Cont Emplacement Appliqué Lien active Chemin d’accés|
\3{ Default Domain Polic @) Domain Controllers Non Oui ensa local/Domi
> ( Filtres WMI
> (Gy Objets GPO Starter s >
> Off Sites
iY Modélisation de stratégie de grc|| Fltrage de sécunite — a .
FS, Résultats de strategie de groupe|| Le®Baremétes de cot objet GPO ne s‘appiquent
qu’a ces groupes. ulissteurs et ordinates
Nom
‘4&2, Utiisateurs authentifiés

Filtrage WMI
Cet objet de stratégie de groupe est lié au filtre WMI suivant :

Console de gestion des stratégies de groupe (GPMC) qui se trouve dans "outils". Le
volet de
gauche affiche une arborescence des unités d'organisation du domaine avec des
objets de
stratégie de groupe lignés. Le conteneur d'objets de stratégie de groupe stocke
tous les
objets de stratégie de groupe. Le conteneur GPO Starter est utilisé pour stocker
les GPO
Starter. Si un GPO est sélectionné, les détails, y compris les liens et les
paramétres, sont
affichés dans le panneau de droite.

Pr. H. EL KABTANE
Création des GPO
- Creation de la strategie de groupe

La création d'un seul objet de stratégie de groupe avec la console GPMC peut
étre effectuée en suivant ces étapes :
1 Ouvrez GPMC.

2 Choisissez le dossier Objets de stratégie de groupe (ou une unité

d'organisation spécifique).

3 Cliquez avec le bouton droit sur le conteneur sélectionneé.

4 Choisissez Nouveau.
5 Indiquez le nom du GPO.

6 Choisissez le Starter GPO (si nécessaire).

7 Cliquez sur OK.

Pr. H. EL KABTANECréation des GPO

- Création de la stratégie de groupe
Un probleme avec la GPMC est que vous ne pouvez pas ajouter de
commentaire ou de description pendant le processus de création. Vous pouvez
utiliser PowerShell pour ajouter la description. En supposant que vous avez
créé le GPO ENSAgp1, vous pouvez ajouter un commentaire comme celui-ci :
$gpo = Get-GPO -Name ENSAgp1
$gpo.Description = "AD ENSA2 GPO"
Pour verifier:
Get-GPO -All | where DisplayName -like "ENSA*"
Pr. H. EL KABTANE
Création des GPO
- Creation de la strategie de groupe
Créer un GPO avec PowerShell:

Les applets de commande Microsoft GPO se trouvent dans le module

GroupPolicy. Vous pouvez les charger, si nécessaire, en utilisant Import-
Module :
PS> Import-Module GroupPolicy
La commande a utilisée pour créer un nouveau GPO :
PS> New-GPO -Name ENSAg1 -Comment “AD ENSA GPO"
Pr. H. EL KABTANE, g
Création des GPO
“Création d'objets de stratégie de groupe de démarrage (Starter GPO)
Imaginez le scénario suivant :
m= Vous disposez de 10 emplacements dans l'organisation.
mChacun a besoin d'un GPO pour effectuer un certain nombre d'éléments de
configuration.
uw Les objets de stratégie de groupe partageront un nombre important de paramétres.
= Quelques paramétres seront spécifiques a l'emplacement.

La solution idéale serait de créer un modeéle avec les paramétres communs et de le

cloner
pour produire les GPO requis. C'est le but des GPO Starter. Ils fonctionnent comme
un
modéle pour créer de nouveaux objets de stratégie de groupe, mais vous devez vous
rappeler que seuls les paramétres de modéle d'administration peuvent étre utilisés
dans
un objet de stratégie de groupe Starter.

Dans un environnement complexe avec de nombreux domaines, vous pouvez créer et

tester
un GPO dans un domaine, puis exporter les paramétres vers un GPO Starter qui peut
étre
importé dans les domaines restants.

Pr. H. EL KABTANE
Création des GPO
Creation d'objets de strategie de groupe de demarrage (Starter GPO)
Les GPO de déemarrage peuvent étre créés dans la GPMC :
1 Ouvrez GPMC.
2 Choisissez le conteneur Starter GPO.

3 Cliquez avec le bouton droit sur le conteneur Starter GPO.

4 Choisissez Nouveau.

5 Indiquez le nom du GPO.

6 Entrez le commentaire.

7 Cliquez sur OK
Alternatively, you can use PowerShell to create the Starter GPO:
PS> New-GPStarterGPO -Name EnsaStarterGPO -Comment " ENSA Starter GPO 2"

Pr. H. EL KABTANECréation des GPO

Une fois que vous avez créé votre GPO Starter, vous pouvez l'utiliser pour créer
des GPO
standard. Vous pouvez également l'utiliser directement pour créer un nouveau GPO,
comme
suit :
1 Ouvrez GPMC.
2 Choisissez le conteneur Starter GPO.

x
3 Cliquez avec le bouton droit sur l'objet de stratégie de groupe Starter a
utiliser comme
modele.

4 Choisissez Nouveau GPO dans Starter GPO.

5 Indiquez le nom du GPO.

6 L'objet de stratégie de groupe Starter est sélectionné mais non modifiable.

7 Cliquez sur OK.

La création d'un GPO vide est le point de départ, mais vous devez modifier les
paramétres du
GPO pour qu'il soit utile.

Pr. H. EL KABTANE
Création des GPO
- Modification des GPO

Un nouvel objet de stratégie de groupe n'a aucun paramétre configuré. De

préférence,
vous configurez le GPO pour qu'il s'applique aux utilisateurs ou aux ordinateurs
(pas
les deux) et configurer les paramétres individuels dans la stratégie.

I! Editeur de gestion des stratégies de groupe - o x

Fichier Action Affichage 7?

90s /Ga

_3! Stratégie NewGPO [WIN-11MDt

Configurati rdinat
va ee | Stlections nez un élément pour obtenir ~Nom
> ME Seattgges une description. - .
> 1D) Préférences . (© Configuration ordinateur
~ Configuration utilisateur i& Configuration utilisateur
> 2) Stratégies
> 1) Préférences
£ > | \ ftendu
Pr. H. EL KABTANECréation des GPO
* Modification des GPO
Configuration ordinateur VS configuration utilisateur
Un GPO a deux grands groupes de paramétres
m Configuration de l'ordinateur—appliquée a un ordinateur quel que soit
l'utilisateur qui s'est connecté
m Configuration utilisateur—appliquée a un _ utilisateur quel que _ soit
l'ordinateur qu'il utilise.

Pr. H. EL KABTANE
Création des GPO
» Modification des GPO
Chacune des configurations dispose de paramétres Stratégies et Préférences
disponibles.

STRATEGIES
Les stratégies sont les paramétres disponibles depuis l'introduction des GPO
avec Windows 2000. Les milliers de paramétres de stratégie sont regroupés en
g Livraison de logiciels
ms Paramétres Windows, y compris la sécurité
a Modeéles d'administration utilisés pour gérer la configuration des composants
Windows, tels qu'Internet Explorer ou les journaux d'événements, le Panneau
de configuration et la mise en réseau, ...

Pr. H. EL KABTANECréation des GPO

- Modification des GPO
PREFERENCES
Les préférences ont été introduites dans Windows Server 2008 et peuvent
remplacer de nombreux éléments de configuration qui ont été appliqués via
des scripts de connexion, tels que
= Mappages de lecteur et d'imprimante
a Gestion du schéma électrique
= Gestion des fichiers et des dossiers, y compris la création et la suppression
a Applications, y compris Microsoft Office
= Gestion du partage réseau
Pr. H. EL KABTANE
Création des GPO
- Modification des GPO
Designation d'un GPO pour les utilisateurs ou les ordinateurs
GPMC peut étre utilisé pour gérer si un GPO s'applique aux utilisateurs ou aux
ordinateurs : 2b Sesion deg ce gust a x
1 Ouvrez GPMC.

uli, Fichier Action Affichage Fenétre 7? - Ff 8

**| 2 * a| Gm
Lah Gestion de strategie de groupe
~ AY Forét: en: al
in Policy
Default Domai
Erendue Détais Paramétres Ddlégation
> [a] Domain Controllers Los sites, domaines ef untés d'orgarveation suvants sont
lide & cat abjet GPO
> (i test
~~ [} Objets de strategie de gr! Emplacement Appliqué Lien active: Chemin d'aceés:
Sf Default Domain Cont|| | if ensalocal ‘Non Ou ensa Jocal

2 Sélectionnez le GPO a modifier.

3 Cliquez avec le bouton droit sur le GPO.) _- sr" petivtecieessiat mane

as caragwaE Paramitres de configuration utilizateurs désactivés
. 2 Ldlsereinepaeie Restaurer & partir d'une sauvegarde... ee
4 Choisissez Etat du GPO. “ cae rmomaresseecis |
Nouvelle fenétre a partir d'ici
ss Copier imer Propeétén
5 Choisissez-en un : supper
w Activé : les configurations Utilisateur et |, penton aS Se
| ogee
Ordinateur sont activées (par défaut pour un GPO nouvellement créé)
gw Paramétres de configuration utilisateur désactivés
gw Paramétres de configuration de l'ordinateur désactivés
gs Tous les paramétres désactivés
BTe
Pr. H. EL KABTANECréation des GPO
- Modification des GPO
Vous pouvez également effectuer cette tache 4 partir d'une invite PowerShell :
$gpo = Get-GPO -Nom ENSAgp1
$gpo.GpoStatus = " UserSettingsDisabled "
Vous disposez de ces quatre options, qui correspondent aux options GPMC :
a AllSettingsEnabled
a UserSettingsDisabled
a ComputerSettingsDisabled
ag AllSettingsDisabled
Pr. H. EL KABTANE
Configuration de GPO
- Configuration des paramétres de GPO
Configurer les paramétres a appliquer par vos GPO est un exercice
d'équilibriste. Vous devez maintenir le nombre de GPO appliqués a un
niveau raisonnable et rendre les GPO eux-mémes_ suffisamment
granulaires pour ne pas dupliquer les paramétres sur plusieurs GPO.
Le résultat de cet équilibrage dépend des circonstances exactes au sein
de votre organisation.

Pr. H. EL KABTANEConfiguration de GPO

- Configuration des parametres de GPO
1 Ouvrez GPMC.

2 Sélectionnez le GPO 4 modifier

3 Cliquez avec le bouton droit sur l'objet de stratégie de groupe.
4 Choisissez Modifier.
5 Liéditeur de gestion des stratégies de groupe s'ouvre.

6 Sélectionnez la stratégie que vous devez modifier.

7 Si l'onglet Avancé (recommandé) est utilisé, vous verrez une description de la

stratégie et la signification
des paramétres disponibles.

8 Double-cliquez sur le paramétre que vous souhaitez modifier.

9 Une boite de dialogue s’affiche
Dans cette boite de dialogue de stratégie, modifiez Non configuré sur Activé a
l'aide du bouton radio.
Sélectionnez la stratégie d'exécution requise dans le menu déroulant. Autoriser les
scripts locaux et les
scripts signés a distance équivaut a la stratégie d'exécution PowerShell
RemoteSigned. Cliquez sur OK
pour que la modification soit enregistrée.
Pr. H. EL KABTANE

Application des GPO

- Appliquer ou supprimer un GPO
L'acte d'appliquer un GPO est techniquement connu sous le nom de
liaison. Vous pouvez lier ou appliquer des GPO a trois types
d'emplacements dans votre Active Directory :
1 Le domaine—l'objet de stratégie de groupe est appliqué a toutes les
unités d'organisation du domaine
2 Une unité d'organisation — l'objet de stratégie de groupe est appliqué
a toutes les unités d'organisation enfants
38 Un site AD—le GPO est appliqué a tous les utilisateurs ou
ordinateurs qui se trouvent sur ce site

Pr. H. EL KABTANEApplication des GPO

- Appliquer ou supprimer un GPO
L'application d'un GPO a un site n'est généralement pas recommandée car elle peut
affecter un public plus large que prévu dans un environnement multi-domaines. Les
GPO appliqués au niveau du site peuvent étre remplacés par les GPO appliqués au
domaine ou a l'unité d'organisation, ce qui peut facilement annuler l'effet dont
vous
avez besoin. Enregistrez les GPO du site pour une utilisation multi-domaine ou
lorsqu'un parameétre specifique tel qu'un serveur proxy doit étre défini pour tout
le
monde sur le site.

L'application GPO est un processus trés flexible :

mw Vous pouvez appliquer un GPO lors de sa création.

mw Vous pouvez appliquer un GPO existant a une unité d'organisation ou au domaine.

mw Vous pouvez bloquer l'héritage des GPO.

m Vous pouvez remplacer le processus de blocage.

Pr. H. EL KABTANE
Application des GPO
- Appliquer ou supprimer un GPO
Plusieurs approches de création et d'application des GPO peuvent
conduire a une situation trés chaotique dans laquelle des stratégies
conflictuelles sont appliquées ou bloquées. Cela peut rendre le
dépannage tres difficile. La meilleure pratique est de garder votre
application GPO aussi simple que possible et d'éviter au maximum la
complication du blocage et de l'annulation du blocage.

Un len GPO a un cycle de vie : il est créé, découvert pour d'autres

modifications et finalement supprimé. Comme pour toutes les activités
du cycle de vie, l'acte de créer le lien est le point de départ.

Pr. H. EL KABTANEApplication des GPO

-: Appliquer ou supprimer un GPO 7000
Créer un lien utilisant la GPMC
La console de gestion des stratégies de groupe (GPMC) permet aussi de les
appliquer.
Pour lier une stratégie existante:
1 Ouvrez GPMC.
2 Accédez a l'endroit ou le GPO est lié : le domaine, l'unité d'organisation ou le
site.
3 Cliquez avec le bouton droit.
4 Choisissez Lier un GPO existant....
5 Sélectionnez l'objet de stratégie de groupe.
6 Cliquez sur OK.

Les strategies liées sont affichées sous le nom de l‘'OU et dans le volet droit de
la
GPMC a ss
Pr. H. EL KABTANE
Application des GPO
- Appliquer ou supprimer un GPO
Création d'un lien a l'aide de POWERSHELL
x
Vous pouvez également lier un GPO existant a l'aide des applets de commande
PowerShell GPO :
Get-GPO —Name ENSA2gpo2 |
New-GPLink -Target "OU=ENSA Unite, DC=EKNSA2,DC=local"
L'objet de stratégie de groupe est récupéré par son nom a l'aide de Get-GPO, puis
redirigé vers New-GPLink avec le paramétre Target utilisé pour indiquer l'unité
d'organisation a laquelle l'objet de stratégie de groupe doit étre lié.

Pr. H. EL KABTANEApplication des GPO

- Appliquer ou supprimer un GPO
Suppression des liens
Vous pouvez supprimer un lien GPO de deux maniéres. Tout d'abord, vous pouvez
supprimer le GPO, auquel cas vous supprimerez tous ses liens dans votre domaine. La
deuxiéme méthode consiste a dissocier l'objet de stratégie de groupe d'une ou
plusieurs
unités d'organisation.

Pr. H. EL KABTANE
Application des GPO
- Appliquer ou supprimer un GPO
Suppression des liens
Suppression d'un GPO a l'aide de la GPMC

La suppression d'un objet de stratégie de groupe est simple avec le GPMC :

1 Ouvrez GPMC.

2 Sélectionnez le conteneur Objets de strategie de groupe.

3 Cliquez avec le bouton droit sur le GPO.

4 Cliquez sur Supprimer.

5 Une boite de message s'affiche et vous demande « Voulez-vous supprimer cet objet
de
stratégie de groupe et tous les liens vers celui-ci dans ce domaine ? Cela ne
supprimera
pas les liens dans d'autres domaines.

6 Cliquez sur Oui pour effectuer la suppression.

Pr. H. EL KABTANEApplication des GPO

- Appliquer ou supprimer un GPO
Dissociation d'un GPO a l'aide de la GPMC
Plutot que de supprimer le GPO, vous devrez peut-étre simplement le dissocier d'une
unité d'organisation. C'est souvent le cas lorsqu'un GPO n'est pas pertinent pour
les
utilisateurs de cette unité d'organisation, mais qu'il est toujours nécessaire pour
d'autres groupes d'utilisateurs.

Remarque: La dissociation d'un GPO ne supprime pas le GPO.

Pr. H. EL KABTANE
Application des GPO
- Appliquer ou supprimer un GPO
Dissociation d'un GPO a l'aide de la GPMC
1 Ouvrez GPMC.

2 Accédez a l'endroit ot le GPO est lié : le domaine, I'unité d'organisation ou le

site.
3 Cliquez avec le bouton droit sur le GPO.

4 Cliquez sur Supprimer.

5 Une boite de message apparait demandant « Voulez-vous supprimer ce lien ? Cela ne

supprimera pas le GPO lui-méme. Cliquez sur OK.

Dissocier un GPO a l'aide de POWERSHELL

Remove-GPLink -Name ensagp1 -Target "OU= RH, DC=ENSA2,DC=local"
Vous devez fournir l'unité d'organisation a partir de laquelle vous souhaitez
supprimer
le lien.
50
Pr. H. EL KABTANEApplication des GPO
- Ordre d'application des GPO
Active Directory applique les GPO dans un ordre prédéterminé lorsqu'un ordinateur
est
démarré ou qu'un utilisateur se connecte au domaine :
1 Toutes les politiques locales définies sur l'ordinateur (pas les GPO mais inclus
pour
étre complet)
2 GPO appliqués au niveau du site.
3 GPO appliqués au niveau du domaine.

4 GPO appliqués a l'arborescence OU contenant l'objet. Cela commence a l'objet de

stratégie de groupe le plus élevé dans l'arborescence et descend jusqu'a chaque
unité
d'organisation enfant appliquant les objets de strategie de groupe liés. Cela
continue
jusqu'a ce que l'unité d'organisation contenant les objets soit atteinte, ou tous
les objets
de stratégie de groupe liés a ce niveau sont appliqués.

Pr. H. EL KABTANE
Application des GPO
- Ordre d'application des GPO
_& Gestion de stratégie de groupe = Oo
\@ Fichier Action Affichage Fenétre ? - 2%
#9|al5/@\ am
gk Gestion de stratégie de groupe RH
~ A Forét: ensa.local (Objets de srabagie de: groupe es | Eesiage ud artepece:
Delegate
[B Domaines a
~~ Gi ensa.local Ordre des liens Objet de stratégie de groupe Appliqué
Non
Non

im) Default Domain Policy = 1 @ry

> {) Domain Controllers 2 a! NewGPO
~ GU RH a
aa! NewGPO rl
al RH a
wv [EG Objets de strategie de gn]
_3} Default Domain Cont
La} Default Domain Polic
Ef NewGPO.
oy RH
> 0 Filtres WMI
> ( Objets GPO Starter
> (B Sites
EY Modélisation de stratégie de gre
US Résultats de strategie de groupe

Pr. H. EL KABTANEApplication des GPO

- Ordre d'application des GPO
Si plusieurs GPO sont appliqués a une unité d'organisation, ils sont traités par
ordre
de priorité, comme illustré dans le slide précédant.

Les objets de stratégie de groupe sont appliqués dans l'ordre indiqué dans le volet
droit
de la figure du slide précédant. Dans ce cas, RH est appliqué en premier, suivi de
NewGPO. Tout paramétre en conflit entre les deux GPO serait résolu en faveur de
NewGPO - le dernier GPO appliqué l'emporte. Tous les paramétres non conflictuels
sont fusionnés. L'ordre d'application des GPO peut étre modifié dans le GPMC en
sélectionnant le GPO et en utilisant les fléches pour déplacer le GPO vers le haut
ou
vers le bas dans l'ordre de priorité
Pr. H. EL KABTANE
Application des GPO
- Ordre d'application des GPO
Les stratégies qui configurent finalement l'objet représentent l'impact cumulé de
tous
les GPO affectant cet objet. Par exemple, considérez la commande Exécuter
disponible
dans le menu Démarrer. Les GPO peuvent étre utilisés pour contréler si cela est
disponible pour l'utilisateur. Supposons qu'un certain nombre d'objets de stratégie
de
groupe activent ou désactivent ce paramétre :
1 Une stratégie qui désactive le paramétre et est appliquée au domaine
2 Une stratégie qui active le parametre et est appliquée a l'unité d'organisation
parente
3 Une stratégie qui désactive le paramétre et est appliquée a l'unité
d'organisation
enfant
Les utilisateurs de l'OU parent ont la commande Exécuter disponible car le dernier
GPO appliqué a active le paramétre, mais les utilisateurs de l'OU enfant ne voient
pas
la commande Exécuter car le dernier GPO qui leur a été appliqué a désactivé le
paramétre.

Pr. H. EL KABTANEApplication des GPO

- Blocage et remplacement
Imaginez une situation o¥ vous devez empécher un GPO de s'appliquer a une partie de
l'arborescence OU, mais vous devez l'appliquer a plusieurs OU avec l'arborescence.

Pr. H. EL KABTANE
Application des GPO
- Blocage et remplacement
Vous devez appliquer les GPO aux utilisateurs dans l'arborescence de l'unité
d'organisation
ENSAUsers :
a ENSAgpol doit étre appliqué a tous les utilisateurs.

gs ENSAgpo2 doit étre appliqué a tous les utilisateurs 4 l'exception des

utilisateurs Admin (dans
ENSAAdmin).

En se basant sur la figure, vous devez appliquer ENSAgpol quatre fois (une fois 4
chacune des
OU) et ENSAgpo2 trois fois (a toutes les OU sauf ENSAAdmin). Ceci est inefficace
car vous
devez répéter la méme action plusieurs fois. Une facon d'accomplir cette tache
consiste a:
gm Appliquez ENSAgpol a l'OU ENSAUsers. Chaque unité d'organisation ci-dessous
héritera
l'application de GPO.

mg Appliquez ENSAgpo2 4 l'0U ENSAUsers. Chaque unité d'organisation ci-dessous qui

héritera
de l'application de l'objet de stratégie de groupe.

gs Empécher l'application du GPO 4 l'unité d'organisation ENSAAdmin en bloquant

l'héritage.

Pr. H. EL KABTANEApplication des GPO

- Blocage et remplacement des GPO
Le blocage de l'héritage est une proposition tout ou rien. I] bloque l'héritage de
tous les
GPO lorsqu'il est appliqué. Si vous souhaitez que certains objets de stratégie de
groupe
soient herités par l'unité d'organisation dans laquelle vous avez bloque
l'héritage, vous
devez les définir comme étant appliqués (ceci est également appelé paramétre No
Override).

L'unité d'organisation ENSAAdmin est décorée d'un cercle bleu contenant un point
d'exclamation blanc. Les objets de stratégie de groupe ENSAgpol et la stratégie de
domaine par défaut sont décorés d'un cadenas (Serrure) pour indiquer qu'ils sont
appliqués (et pour dépasser le blocage de l'héritage). L'onglet Héritage de la
stratégie de
groupe dans le volet droit de la GPMC montre également que les GPO sont appliqués.

Pr. H. EL KABTANE
Application des GPO
: Blocage et remplacement des GPO
L'activation du paramétre Bloquer l'héritage s'effectue dans la console GPMC :
1 Ouvrez la GPMCE et sélectionnez l'OU qui vous intéresse.

2 Cliquez avec le bouton droit sur l'unité d'organisation.

3 Choisissez Bloquer l'héritage.

Le paramétre Appliquer est appliqué a un GPO:

1 Ouvrez le GPMC et sélectionnez le GPO qui vous intéresse.

2 Cliquez avec le bouton droit sur le GPO.

3 Choisissez Appliqué.

L'un ou l'autre des paramétres peut étre supprimé en suivant les étapes précédentes
et
en désélectionnant Appliqué ou Bloquer l'héritage selon le cas.

Pr. H. EL KABTANE