La stratégie de groupe centralise les paramètres de configuration et de gestion des systèmes d’exploitation, ainsi que les paramètres d’ordinateur et d’utilisateur dans un environnement informatique Microsoft. La stratégie de groupe repose sur un double concept : Une stratégie de groupe locale pour les postes de travail individuels, et une stratégie de groupe pour Active Directory.

 

 

Sans Active Directory

Une seule stratégie de groupe est disponible : la stratégie de groupe locale, qui n’affecte que le poste de travail sur lequel elle se trouve. La stratégie de groupe locale vous impose de gérer les postes de travail de manière décentralisée, en accédant à chaque machine individuellement. La stratégie de groupe locale est donc à privilégier lorsque Active Directory n’est pas disponible, par exemple lorsque certaines machines ne sont pas connectées à un domaine Windows.

 

Le plus rapide, pour éditer la stratégie de groupe locale sur une machine, est de cliquer sur le bouton « Démarrer » et d’exécuter la commande GPEDIT.MSC pour lancer l’Éditeur de stratégie de l’ordinateur local. La stratégie de groupe locale prend en charge plusieurs GPO locaux, ce qui vous permet de déterminer quels utilisateurs bénéficient de quelles options au niveau local ; vous pouvez par exemple attribuer aux utilisateurs ordinaires un ensemble de paramètres et aux administrateurs un autre ensemble, ou vous pouvez donner à un utilisateur spécifique une combinaison particulière de paramètres.

La stratégie de groupe locale est stockée dans le répertoire %windir%\system32\grouppolicy (généralement, C:\windows\system32\grouppolicy). Chaque stratégie que vous créez est assortie de son propre dossier, nommé suivant l’ID de sécurité (SID) de l’objet utilisateur correspondant.

 

Stratégie de groupe dans Active Directory

L’autre stratégie est l’administration centralisée Stratégie de groupe, qui ne fonctionne que si Active Directory est activé. On peut considérer qu’un réseau Active Directory est constitué de quatre niveaux distincts liés à la stratégie du groupe :

L’ordinateur local

Le site

Le domaine

L’unité d’organisation (OU)

Dans Active Directory, chaque serveur et chaque poste de travail doivent être membres d’un (et d’un seul) domaine et être situés dans un (et un seul) site. Sous Windows NT, des domaines supplémentaires étaient souvent créés pour répartir les responsabilités administratives (comme une architecture de forêt ESAE) ou pour limiter les échanges superflus entre les contrôleurs de domaine. Avec Active Directory, la responsabilité administrative peut être déléguée par le biais des OU, et le problème des échanges superflus sur la bande passante des domaines a été maîtrisé grâce à l’ajout des sites Active Directory, qui sont des concentrations de sous-réseaux IP à connectivité rapide. Il n’est plus nécessaire de corréler les domaines avec la bande passante du réseau, les sites sont là pour ça !

 

Gérer la stratégie de groupe

Les administrateurs peuvent gérer la stratégie de groupe à l’aide de la console de gestion des stratégies de groupe (GPMC). La GPMC n’était pas intégrée à Microsoft Windows 2000, Windows Server 2003 ni Windows XP, il fallait la télécharger séparément. Mais elle a été intégrée à tous les systèmes d’exploitation Windows Server depuis Windows Server 2008, de sorte qu’aucune démarche supplémentaire n’est nécessaire pour y accéder aujourd’hui.

La GPMC a été créée pour offrir aux administrateurs un guichet unique pour toutes les fonctions de gestion de la stratégie de groupe et une vue d’ensemble centrée sur la stratégie de groupe. La GPMC excelle à aligner l’interface utilisateur de la stratégie de groupe avec ce qui se passe dans les coulisses. Elle se compose d’un composant logiciel enfichable MMC et d’un ensemble d’interfaces programmables permettant de gérer la stratégie de groupe. L’interface de rédaction de scripts de la GPMC permet d’effectuer à peu près n’importe quelle opération relative aux GPO. L’ancienne GPMC, qui fonctionne sur les serveurs XP et 2003, permet de rédiger des scripts à l’aide de VBScript. La nouvelle peut utiliser VBScript ou PowerShell.

 

Objects de stratégie de groupe (GPO)

Un objet de stratégie de groupe (GPO) est un ensemble de paramètres de stratégie de groupe qui définissent à quoi va ressembler un système et comment il va se comporter pour un groupe défini d’utilisateurs. Chaque GPO contient deux parties, ou nœuds : une configuration utilisateur et une configuration ordinateur.

Le premier niveau sous les nœuds Utilisateur et Ordinateur contient les paramètres logiciels, les paramètres Windows et les modèles d’administration. En explorant les modèles administratifs du nœud Ordinateur, on découvre les composants Windows, le système, le réseau et les imprimantes. De la même façon, en explorant les modèles administratifs du nœud Utilisateur, nous retrouvons certains dossiers similaires et d’autres, tels que les dossiers partagés, le bureau, le menu Démarrer et la barre des tâches.

Le nœud Ordinateur contient des paramètres de stratégie qui ne concernent que les ordinateurs. Autrement dit, si un GPO contenant des paramètres Ordinateur « trouve » un ordinateur, ces paramètres entrent en vigueur. Ces paramètres Ordinateur peuvent être des scripts de démarrage, des scripts d’arrêt, et des paramètres qui contrôlent la configuration du pare-feu local. Chaque paramètre se rapporte à l’ordinateur lui-même, indépendamment de qui est connecté à ce moment-là.

Le nœud Utilisateur contient des paramètres de stratégie qui ne concernent que les utilisateurs. À nouveau, si un GPO contenant des paramètres Utilisateur « trouve » un utilisateur, ces paramètres entrent en vigueur. Les paramètres Utilisateur ne sont pertinents que pour l’utilisateur individuel actuellement connecté. Ils concernent par exemple les scripts de connexion, de déconnexion et la disponibilité du Panneau de configuration. Ces paramètres suivent l’utilisateur sur chaque machine qu’il utilise.

Créer et associer les GPO

La création d’une stratégie de groupe au niveau local affecte tous ceux qui utilisent cette machine. Cependant, en utilisant Active Directory, vous disposez d’un nombre presque illimité d’objets de stratégie de groupe, avec la possibilité de choisir quels utilisateurs et quels ordinateurs seront assortis de quels paramètres. En réalité, vous ne pouvez appliquer que 999 GPO à un utilisateur ou un ordinateur avant que le système n’en refuse d’autres.

Lors de la création d’un GPO, deux choses se produisent : De nouvelles entrées sont créées dans Active Directory, et de nouveaux fichiers sont automatiquement créés dans les contrôleurs de domaine. Ces éléments constituent collectivement un GPO.

Lorsqu’un GPO est créé, il devient simplement disponible, prêt à être utilisé dans le domaine où il a été créé. Pour appliquer les paramètres d’un GPO, il faut associer ce GPO à un ou plusieurs sites, domaines ou OU :

  • Si un GPO est lié au niveau site, ses paramètres affectent tous les comptes d’utilisateur et d’ordinateur de ce site spécifique, quel que soit le domaine ou l’OU auquel appartiennent les comptes. Cette démarche se base sur le sous-réseau IP dont l’ordinateur de l’utilisateur fait partie et qui est configuré à l’aide des sites et services Active Directory.
  • Si un GPO est lié au niveau domaine, il affecte tous les utilisateurs et tous les ordinateurs du domaine, dans toutes les OU qui se situent à un niveau inférieur.
  • Si un GPO est lié au niveau OU, il affecte tous les utilisateurs et ordinateurs de cette OU et toutes les OU en dessous (qui sont appelées OU enfants ou sous-OU).

Quand vous dites au système : « Je veux qu’un nouveau GPO affecte cette OU », Le système crée automatiquement le GPO à l’emplacement désiré, puis associe ce GPO au niveau auquel vous voulez qu’il applique ses paramètres, OU dans notre exemple. Cette association est appelée « liaison ». Dans Active Directory, plusieurs niveaux peuvent être liés à un GPO spécifique. Tout niveau d’Active Directory peut donc faire appel à plusieurs GPO en attente dans le domaine, prêts à être utilisés. Gardez à l’esprit qu’un GPO n’a aucun effet s’il n’est pas spécifiquement lié à un site, un domaine ou une OU.

Dans la mesure où les paramètres sont hérités des niveaux supérieurs vers les niveaux inférieurs, on peut se demander ce qui se passe si deux paramètres de stratégie entrent en conflit. Il se peut qu’une stratégie de niveau domaine spécifie un paramètre mais qu’une autre stratégie de niveau OU spécifie le contraire. Le résultat est simple : Les paramètres de stratégie les plus en aval sont prioritaires. Dans notre exemple, le paramètre de niveau OU l’emporte sur le paramètre de niveau domaine. Cela peut sembler contre-intuitif, mais n’oubliez pas que la règle d’or de la stratégie de groupe est « le dernier qui écrit gagne ». Lisez les bonnes pratiques de stratégie de groupe pour en savoir plus sur la façon d’organiser votre stratégie de groupe pour un maximum de clarté et d’efficacité.

Si vous souhaitez lier un GPO à plusieurs domaines, vous devez effectuer l’une des opérations suivantes :

  • Créer exactement le même GPO dans chaque domaine à l’aide de la GPMC.
  • Créer le GPO dans un domaine et le copier dans les autres domaines en utilisant soit la GPMC, soit un outil tiers.
  • Utiliser la liaison de stratégie inter-domaines. Il est toutefois généralement admis qu’il s’agit d’une mauvaise pratique.

 

Préférences de la stratégie de groupe

Les préférences de stratégie de groupe sont relativement anciennes, mais beaucoup d’administrateurs ne les utilisent toujours pas dans leur infrastructure ; certains ne savent même pas qu’elles existent. Elles constituent une extension ou un nœud qui étend la portée et les capacités de la stratégie de groupe. Il ne s’agit pas de stratégies, mais de paramètres avancés définis par les administrateurs. Les préférences de stratégie de groupe doivent cependant être parfaitement comprises et utilisées avec prudence afin de ne pas se tirer accidentellement une balle dans le pied.

Elles se trouvent dans la version actualisée de la GPMC. Vous devez au choix utiliser Windows Server 2008 ou une version plus récente ou installer les outils RSAT sur un système Windows antérieur, puis naviguer vers Configuration de l’ordinateur -> Préférences. Le nouveau nœud Préférences comporte 21 nouvelles catégories. Ce nœud est divisé en paramètres Windows et en paramètres du Panneau de configuration, comme détaillé ci-dessous.

Paramètres Windows

Les paramètres Windows affectent directement Windows. Les extensions suivantes sont disponibles :

  • Environnement – Pour définir des variables d’environnement spécifiques basées sur certaines conditions et de les appeler ultérieurement. Vous pouvez notamment :
    • Définir les variables d’environnement des utilisateurs et du système. Vous pouvez, par exemple, définir la variable HRFILES à la valeur C:\Documents\HRFILES, et utiliser cette variable dans les préférences de stratégie de groupe pour lire ou copier des fichiers RH sans avoir à saisir un chemin d’accès complet à chaque fois.
    • Mettre à jour la variable système PATH.
  • Fichiers – Pour copier des fichiers du point A au point B. Le point A peut être un chemin d’accès UNC ou la machine locale. Le scénario le plus courant consiste à copier un fichier depuis un partage d’un serveur vers le dossier « Mes documents » d’un utilisateur, le bureau ou le lecteur C:\.
  • Dossiers – Pour créer de nouveaux dossiers et supprimer des dossiers existants ou effacer leur contenu. Par exemple, vous pouvez supprimer chaque jour le contenu du dossier %HRFILES%.
  • Registre – Pour envoyer certains paramètres du registre à vos machines clientes. Cette extension est très efficace et peut s’avérer un peu difficile à utiliser. Vous pouvez envoyer des paramètres de registre normalement conçus pour les utilisateurs aux conteneurs HKLM et HKCU. Et vous pouvez envoyer au conteneur HKLM des paramètres de registre normalement conçus pour les ordinateurs.
  • Partages réseau – Pour créer de nouveaux partages sur des postes de travail ou des serveurs, ou pour supprimer des partages existants.
  • Raccourcis – Pour créer des raccourcis vers des programmes et des URL sur les bureaux, dans le dossier Démarrage, dans les dossiers Programmes et à bien d’autres endroits.

Paramètres du panneau de configuration

 

Voici les extensions du nœud Panneau de configuration :

  • Sources de données – Pour définir des connexions avec les sources de données ODBC via la stratégie de groupe.
  • Appareils – Pour désactiver un seul appareil ou une seule classe d’appareils.
  • Options de dossier – Pour associer une extension de fichier à une classe particulière.
  • Utilisateurs et groupes locaux – Pour ajouter ou supprimer des utilisateurs dans des groupes, modifier les mots de passe des utilisateurs, verrouiller des comptes et définir l’expiration des mots de passe.
  • Options réseau – Pour configurer les types de connexion suivants :
    • Connexions VPN (réseau privé virtuel)
    • Connexions d’accès réseau à distance (DUN)
  • Options d’alimentation – Pour gérer les paramètres d’alimentation. Vous pouvez définir des paramètres tels que le temps d’arrêt du disque dur ou le délai avant que l’écran passe en mode veille.
  • Imprimantes – Pour gérer les imprimantes partagées.
  • Tâches planifiées – Pour définir des tâches planifiées.
  • Services – Pour gérer presque tous les aspects des services d’un ordinateur client. Ceci est particulièrement utile si la cible est un serveur, qu’un de vos services fonctionne sur plusieurs machines mais que vous n’avez pas eu le temps de modifier le compte du service.
  • Paramètres Internet – Pour spécifier les paramètres d’Internet Explorer.
  • Options régionales – Pour modifier les paramètres locaux en fonction de l’utilisateur.
  • Menu Démarrer – Un moyen très facile de modifier le menu Démarrer.