La stratégie de groupe centralise les paramètres de configuration et de gestion des systèmes d’exploitation, ainsi que les paramètres d’ordinateur et d’utilisateur dans un environnement informatique Microsoft. La stratégie de groupe repose sur un double concept : Une stratégie de groupe locale pour les postes de travail individuels, et une stratégie de groupe pour Active Directory.
Sans Active Directory
Une seule stratégie de groupe est disponible : la stratégie de groupe locale, qui n’affecte que le poste de travail sur lequel elle se trouve. La stratégie de groupe locale vous impose de gérer les postes de travail de manière décentralisée, en accédant à chaque machine individuellement. La stratégie de groupe locale est donc à privilégier lorsque Active Directory n’est pas disponible, par exemple lorsque certaines machines ne sont pas connectées à un domaine Windows.
Le plus rapide, pour éditer la stratégie de groupe locale sur une machine, est de cliquer sur le bouton « Démarrer » et d’exécuter la commande GPEDIT.MSC pour lancer l’Éditeur de stratégie de l’ordinateur local. La stratégie de groupe locale prend en charge plusieurs GPO locaux, ce qui vous permet de déterminer quels utilisateurs bénéficient de quelles options au niveau local ; vous pouvez par exemple attribuer aux utilisateurs ordinaires un ensemble de paramètres et aux administrateurs un autre ensemble, ou vous pouvez donner à un utilisateur spécifique une combinaison particulière de paramètres.
La stratégie de groupe locale est stockée dans le répertoire %windir%\system32\grouppolicy (généralement, C:\windows\system32\grouppolicy). Chaque stratégie que vous créez est assortie de son propre dossier, nommé suivant l’ID de sécurité (SID) de l’objet utilisateur correspondant.
Stratégie de groupe dans Active Directory
L’autre stratégie est l’administration centralisée Stratégie de groupe, qui ne fonctionne que si Active Directory est activé. On peut considérer qu’un réseau Active Directory est constitué de quatre niveaux distincts liés à la stratégie du groupe :
L’ordinateur local
Le site
Le domaine
L’unité d’organisation (OU)
Dans Active Directory, chaque serveur et chaque poste de travail doivent être membres d’un (et d’un seul) domaine et être situés dans un (et un seul) site. Sous Windows NT, des domaines supplémentaires étaient souvent créés pour répartir les responsabilités administratives (comme une architecture de forêt ESAE) ou pour limiter les échanges superflus entre les contrôleurs de domaine. Avec Active Directory, la responsabilité administrative peut être déléguée par le biais des OU, et le problème des échanges superflus sur la bande passante des domaines a été maîtrisé grâce à l’ajout des sites Active Directory, qui sont des concentrations de sous-réseaux IP à connectivité rapide. Il n’est plus nécessaire de corréler les domaines avec la bande passante du réseau, les sites sont là pour ça !
Gérer la stratégie de groupe
Les administrateurs peuvent gérer la stratégie de groupe à l’aide de la console de gestion des stratégies de groupe (GPMC). La GPMC n’était pas intégrée à Microsoft Windows 2000, Windows Server 2003 ni Windows XP, il fallait la télécharger séparément. Mais elle a été intégrée à tous les systèmes d’exploitation Windows Server depuis Windows Server 2008, de sorte qu’aucune démarche supplémentaire n’est nécessaire pour y accéder aujourd’hui.
La GPMC a été créée pour offrir aux administrateurs un guichet unique pour toutes les fonctions de gestion de la stratégie de groupe et une vue d’ensemble centrée sur la stratégie de groupe. La GPMC excelle à aligner l’interface utilisateur de la stratégie de groupe avec ce qui se passe dans les coulisses. Elle se compose d’un composant logiciel enfichable MMC et d’un ensemble d’interfaces programmables permettant de gérer la stratégie de groupe. L’interface de rédaction de scripts de la GPMC permet d’effectuer à peu près n’importe quelle opération relative aux GPO. L’ancienne GPMC, qui fonctionne sur les serveurs XP et 2003, permet de rédiger des scripts à l’aide de VBScript. La nouvelle peut utiliser VBScript ou PowerShell.
Objects de stratégie de groupe (GPO)
Un objet de stratégie de groupe (GPO) est un ensemble de paramètres de stratégie de groupe qui définissent à quoi va ressembler un système et comment il va se comporter pour un groupe défini d’utilisateurs. Chaque GPO contient deux parties, ou nœuds : une configuration utilisateur et une configuration ordinateur.
Le premier niveau sous les nœuds Utilisateur et Ordinateur contient les paramètres logiciels, les paramètres Windows et les modèles d’administration. En explorant les modèles administratifs du nœud Ordinateur, on découvre les composants Windows, le système, le réseau et les imprimantes. De la même façon, en explorant les modèles administratifs du nœud Utilisateur, nous retrouvons certains dossiers similaires et d’autres, tels que les dossiers partagés, le bureau, le menu Démarrer et la barre des tâches.
Le nœud Ordinateur contient des paramètres de stratégie qui ne concernent que les ordinateurs. Autrement dit, si un GPO contenant des paramètres Ordinateur « trouve » un ordinateur, ces paramètres entrent en vigueur. Ces paramètres Ordinateur peuvent être des scripts de démarrage, des scripts d’arrêt, et des paramètres qui contrôlent la configuration du pare-feu local. Chaque paramètre se rapporte à l’ordinateur lui-même, indépendamment de qui est connecté à ce moment-là.
Le nœud Utilisateur contient des paramètres de stratégie qui ne concernent que les utilisateurs. À nouveau, si un GPO contenant des paramètres Utilisateur « trouve » un utilisateur, ces paramètres entrent en vigueur. Les paramètres Utilisateur ne sont pertinents que pour l’utilisateur individuel actuellement connecté. Ils concernent par exemple les scripts de connexion, de déconnexion et la disponibilité du Panneau de configuration. Ces paramètres suivent l’utilisateur sur chaque machine qu’il utilise.
Créer et associer les GPO
La création d’une stratégie de groupe au niveau local affecte tous ceux qui utilisent cette machine. Cependant, en utilisant Active Directory, vous disposez d’un nombre presque illimité d’objets de stratégie de groupe, avec la possibilité de choisir quels utilisateurs et quels ordinateurs seront assortis de quels paramètres. En réalité, vous ne pouvez appliquer que 999 GPO à un utilisateur ou un ordinateur avant que le système n’en refuse d’autres.
Lors de la création d’un GPO, deux choses se produisent : De nouvelles entrées sont créées dans Active Directory, et de nouveaux fichiers sont automatiquement créés dans les contrôleurs de domaine. Ces éléments constituent collectivement un GPO.
Lorsqu’un GPO est créé, il devient simplement disponible, prêt à être utilisé dans le domaine où il a été créé. Pour appliquer les paramètres d’un GPO, il faut associer ce GPO à un ou plusieurs sites, domaines ou OU :
Quand vous dites au système : « Je veux qu’un nouveau GPO affecte cette OU », Le système crée automatiquement le GPO à l’emplacement désiré, puis associe ce GPO au niveau auquel vous voulez qu’il applique ses paramètres, OU dans notre exemple. Cette association est appelée « liaison ». Dans Active Directory, plusieurs niveaux peuvent être liés à un GPO spécifique. Tout niveau d’Active Directory peut donc faire appel à plusieurs GPO en attente dans le domaine, prêts à être utilisés. Gardez à l’esprit qu’un GPO n’a aucun effet s’il n’est pas spécifiquement lié à un site, un domaine ou une OU.
Dans la mesure où les paramètres sont hérités des niveaux supérieurs vers les niveaux inférieurs, on peut se demander ce qui se passe si deux paramètres de stratégie entrent en conflit. Il se peut qu’une stratégie de niveau domaine spécifie un paramètre mais qu’une autre stratégie de niveau OU spécifie le contraire. Le résultat est simple : Les paramètres de stratégie les plus en aval sont prioritaires. Dans notre exemple, le paramètre de niveau OU l’emporte sur le paramètre de niveau domaine. Cela peut sembler contre-intuitif, mais n’oubliez pas que la règle d’or de la stratégie de groupe est « le dernier qui écrit gagne ». Lisez les bonnes pratiques de stratégie de groupe pour en savoir plus sur la façon d’organiser votre stratégie de groupe pour un maximum de clarté et d’efficacité.
Si vous souhaitez lier un GPO à plusieurs domaines, vous devez effectuer l’une des opérations suivantes :
Préférences de la stratégie de groupe
Les préférences de stratégie de groupe sont relativement anciennes, mais beaucoup d’administrateurs ne les utilisent toujours pas dans leur infrastructure ; certains ne savent même pas qu’elles existent. Elles constituent une extension ou un nœud qui étend la portée et les capacités de la stratégie de groupe. Il ne s’agit pas de stratégies, mais de paramètres avancés définis par les administrateurs. Les préférences de stratégie de groupe doivent cependant être parfaitement comprises et utilisées avec prudence afin de ne pas se tirer accidentellement une balle dans le pied.
Elles se trouvent dans la version actualisée de la GPMC. Vous devez au choix utiliser Windows Server 2008 ou une version plus récente ou installer les outils RSAT sur un système Windows antérieur, puis naviguer vers Configuration de l’ordinateur -> Préférences. Le nouveau nœud Préférences comporte 21 nouvelles catégories. Ce nœud est divisé en paramètres Windows et en paramètres du Panneau de configuration, comme détaillé ci-dessous.
Paramètres Windows
Les paramètres Windows affectent directement Windows. Les extensions suivantes sont disponibles :
Paramètres du panneau de configuration
Voici les extensions du nœud Panneau de configuration :