ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)
Module 9 : LE SERVICE GPO
1. Présentation
Une stratégie de groupe est un ensemble d'outils intégrés à Windows Server qui permet
au service informatique de centraliser la gestion de l'environnement utilisateur et la
configuration des machines grâce à l'application de politiques.
Chaque stratégie dispose de ses propres paramètres, définis par l'administrateur système,
et qui seront appliqués ensuite à des postes de travail, des serveurs ou des utilisateurs.
Une stratégie de groupe est également appelée GPO pour Group Policy Object, c'est
d'ailleurs cet acronyme que j'utiliserais très souvent dans ce cours.
Grâce aux stratégies de groupe, il est possible d'avoir une configuration homogène
entre les différentes machines de votre parc informatique, mais aussi au niveau de
l'environnement utilisateur. En effet, une stratégie de groupe peut servir à appliquer des
paramètres sur Windows en lui-même, mais aussi à l'utilisateur directement (à son
environnement, sa session), ou les deux.
Appréciées par les services informatiques, les stratégies de groupe offrent la
possibilité de gagner du temps lorsqu'il est utile de réaliser une modification sur un
1
� ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)
ensemble de postes. En effet, le nouveau paramétrage peut être spécifié dans une GPO
et celle-ci appliqué sur les postes clients, ce qui est beaucoup plus efficace que de devoir
passer sur tous les postes un par un. Elles sont également beaucoup plus flexibles,
car en cas de besoin, il est très simple de changer la configuration, ce qui est appliqué
via une GPO n'est pas irréversible.
2. GPO active directory et GPO locale
Dans un environnement Active Directory, il est bien entendu possible de créer et déployer
des stratégies de groupe pour cibler les postes clients et les utilisateurs. En complément,
il faut savoir qu'il existe la possibilité d'appliquer des paramètres GPO directement en local
sur un poste, notamment s'il est hors domaine.
2.1- Strategie de groupe locale
Depuis Windows XP, toutes les versions de Windows intègrent les paramètres de
configuration avec une organisation similaire et accessible localement au travers
d'une console MMC. Ces paramètres de configuration sont ceux que l'on retrouve lorsque
l'on crée une stratégie de groupe sur un domaine, organisé de la même façon, et qui sont
utilisables pour personnaliser la machine ou le serveur sur lequel on se trouve.
Ces paramètres lorsqu'ils sont gérés en local, restent stockés en local, et l'on appelle cela
la "Stratégie de groupe locale" ou "Local Group Policy", en anglais. Avec ce mode de
2
� ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)
fonctionnement, il n'y a rien de centralisé : le paramétrage s'effectue machine par machine,
à la main. Autrement dit, cela peut s'avérer chronophage et très gourmand en temps.
Si vous souhaitez configurer la stratégie de groupe locale de votre PC, c'est tout simple :
ouvrez la console [Link], soit via une commande Exécuter ou en recherchant
directement dans la barre de recherche de Windows 10.
Vous aurez alors accès à la stratégie de l'ordinateur local, que vous pouvez modifier
à souhait. Cela peut s'avérer utile sur une machine hors domaine, c'est-à-dire en groupe
de travail ("WORKGROUP" par défaut).
3
� ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)
C'est peut-être la première fois que vous voyez cette interface. Lorsque nous allons créer
des stratégies de groupe Active Directory, vous verrez que la console est très très proche
de celle-ci.
2.2- Stratégie de groupe Active Directory
La stratégie de groupe locale est une possibilité intéressante pour tester une nouvelle
configuration afin de préconfigurer et sécuriser au mieux vos équipements. La gestion
machine par machine étant difficilement envisageable, comment faire pour gérer de
façon centralisée les paramètres de stratégie de groupe ? C'est là qu'interviennent
les stratégies de groupe Active Directory.
4
� ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)
À l'aide d'une console unique, vous allez pouvoir gérer différentes stratégies de groupe
(GPO) à appliquer sur vos machines et vos utilisateurs. Voici, votre solution pour la gestion
centralisée .
Gardez à l'esprit que la stratégie de groupe peut s'avérer utile pour tester une
configuration avant de la déployer sur un ensemble de machines de votre parc. Ensuite,
lorsque la configuration est testée et validée, vous pourrez la déployer sur votre
infrastructure grâce à une stratégie de groupe Active Directory.
Enfin, la configuration sera appliquée sur vos machines, automatiquement, ce qui vous
fera gagner un temps précieux et offre une énorme flexibilité.
3. Ordre d’application de DPO sur une machine
Comme nous l'avons vu précédemment, nous avons d'un côté la stratégie locale d'une
machine, de l'autre les stratégies du domaine Active Directory. Au niveau du domaine, la
GPO peut s'appliquer à différents niveaux : au niveau du site, du domaine ou d'une unité
d'organisation (OU - Organizational Unit).
Lorsque les GPO s'appliquent sur une machine, l'ordre d'application et la priorité ne sont
pas gérés aléatoirement. Cela répond à une logique et à une hiérarchie précise qu'il faut
connaître. Parlons de la notion de Group Policy Processing...
5
� ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)
3.1- GPO au niveau du site,du domaine et du OU
Lorsqu'une machine démarre, son premier réflexe sera d'appliquer les paramètres de la
stratégie de groupe locale afin de configurer la machine locale en fonction des
paramètres configurés. Cependant, comme je le disais précédemment, il est rare
d'utiliser la GPO locale pour configurer une machine, car cela oblige de gérer au cas par
cas chaque ordinateur.
Ensuite, au niveau de l'Active Directory, nous pouvons retrouver des GPO qui s'appliquent
à différents endroits :
- Stratégie de groupe au niveau du site
La console "Sites et services Active Directory" regroupe vos différents sites, généralement
géographiques, afin d'y associer vos sous-réseaux et vos contrôleurs de domaine. Sur
chaque site que vous créez, il est possible d'associer une stratégie de groupe afin
d'appliquer des paramètres en fonction du site où se situe actuellement la machine ou
l'utilisateur.
- Stratégie de groupe au niveau du domaine
Si vous envisagez d'appliquer une stratégie de groupe à l'ensemble de vos postes de
travail ou de vos utilisateurs, il est tout à fait approprié de lier une stratégie de groupe
6
� ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)
directement au niveau du domaine. Quand je dis cela, j'entends lier la GPO à la racine du
domaine afin qu'elle s'applique sur l'ensemble des objets puisqu'elle sera au niveau le plus
haut.
- Stratégie de groupe au niveau d'une unité d'organisation
Votre annuaire Active Directory contiendra probablement de nombreuses unités
d'organisation, afin d'organiser vos utilisateurs et machines dans ces containers très utiles.
Vous allez probablement créer plusieurs OU et former une hiérarchie, par exemple, une
OU "Utilisateurs" avec une sous-OU "Direction". Dans le même esprit que l'on pourrait
créer un dossier et des sous-dossiers sur un serveur de fichiers.
Il faut savoir que vous pouvez lier une stratégie de groupe sur une OU ou même plusieurs
OU. Grâce à cette arborescence, vous allez pouvoir appliquer une GPO sur "Utilisateurs"
pour cibler tous vos utilisateurs ou uniquement sur "Direction" pour appliquer des
paramètres spécifiques. Ces paramètres s'appliqueront uniquement sur les objets
contenus dans l'OU "Direction".
4. La règle LSOU
Derrière l'acronyme LSDOU se cache les termes suivants : Local, Site, Domain,
Organizational Unit. Se cache également l'ordre d'application des stratégies de groupe sur
une machine.
7
� ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)
Ce qu'il faut retenir, c'est que la GPO locale s'applique en premier lieu, ensuite viennent
s'appliquer les GPO au niveau du site et du domaine. Enfin, les GPO liées sur les unités
d'organisation s'appliquent.
Prenons un exemple, nous avons le domaine "[Link]", qui contient plusieurs
unités d'organisation et 3 stratégies de groupe : GPO n°1, GPO n°2 et GPO n°3. Ce qui
nous donne :
8
� ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)
Ces trois stratégies de groupe servent à faire quelque chose de très simple, configurer le
fond d'écran dans les sessions des utilisateurs. Il y a seulement une image différente
utilisée à chaque fois.
Compte tenu du positionnement des GPO, voici ce que ça donnera dans la pratique :
• Cas n°1 : un utilisateur dont l'objet se situe dans l'OU "Secretariat" va hériter de
l'image de fond d'écran défini dans la GPO n°2.
• Cas n°2 : un utilisateur dont l'objet se situe dans l'OU "Direction" va hériter de l'image
de fond d'écran défini dans la GPO n°3.
9
� ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)
• Cas n°3 : un utilisateur qui est situé dans une autre OU que "Utilisateurs" (et donc
"Secretariat" et "Direction") va hériter de l'image définie dans la GPO n°1.
En résumé, les stratégies de groupe Active Directory ont plus de poids que la
stratégie de groupe locale. Ensuite, au niveau Active Directory, c'est la GPO la plus
proche qui l'emporte, donc s'il y a une GPO appliquée sur l'OU qui contient l'objet, elle
sera gagnante (sauf exception, nous en reparlerons).
Il faut retenir qu'une GPO reste une GPO : que ce soit une GPO liée à un site, à la
racine du domaine ou à une unité d'organisation, le processus de création de la GPO
reste le même. Une GPO peut-être liée à une OU aujourd'hui et demain vous pouvez
décider de la lier à un site. Nous parlerons des liens un peu plus tard dans ce cours.
5.
10
