• 8 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

Ce cours est en vidéo.

Vous pouvez obtenir un certificat de réussite à l'issue de ce cours.

J'ai tout compris !

Mis à jour le 25/01/2019

Planifiez les stratégies de groupes

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Je vous en parlais dans la partie précédente. Les groupes permettent d’appliquer des paramètres de sécurité. Au sein d’Active Directory, on parle de stratégies de groupes ou Group Policy Object.

Grâce aux GPO, vous allez pouvoir mettre en œuvre une politique de sécurité sur des objets utilisateurs ou ordinateurs. Vous l’aurez compris, le mieux est d’appliquer ces stratégies sur des groupes 😉!

Concevez des stratégies de groupes

Malheureusement, je ne pourrais pas vous lister l’intégralité des possibilités offertes par les GPO car elles sont impressionnantes :'(. Sachez néanmoins que les GPO couvrent l’ensemble des besoins de configuration possible en entreprise : de la personnalisation du poste de travail (fond d’écran, apparence) à la sécurisation fine des accès (permission de modifier la configuration IP, de lancer une application ou d’en restreindre l’accès).

Il est même possible d’installer des logiciels et applications grâce à une GPO !

Pour vous y retrouver, Microsoft a mis en œuvre des modèles d’administration. Ces modèles permettent, entre autres, d’avoir des informations sur les possibilités offertes par les GPO.

Vous pouvez les retrouver sur votre PC en lançant la commande gpedit.msc :

Paramètres de GPO disponibles via un modèle d'administration
Paramètres de GPO disponibles via un modèle d'administration

Je vous invite à y jeter un coup d’œil rapide. Je vous proposerai d’y revenir en détail dans les chapitres suivants :) !

Les GPO s’activent automatiquement à différents moments et en fonction de critères particuliers.

Domptez l’application des stratégies de groupes

Ces objets s’appliquent au moment de l’authentification d’un poste ou d’un utilisateur sur le réseau puis à intervalles réguliers. Par défaut, cet intervalle varie entre 60 et 120 minutes. Il est possible de configurer cet intervalle de temps grâce… à une stratégie de groupe 😄!

En plus de ces paramètres, une GPO peut être liée à un domaine, un site ou une unité organisationnelle d’un AD.

Par défaut, une GPO s’appliquera à tous les objets authentifiés d’une UO. Il est donc primordial d’en filtrer l’application en fonction de l’appartenance à un groupe. Cela permet de mettre en œuvre de multiples GPO au sein d’un domaine et même au sein d’une UO.

L’exemple le plus parlant est un ensemble de GPO permettant de gérer la personnalisation de l’apparence d’un ordinateur d’une entreprise :

  • application d’un fond d’écran unique

  • durée de mise en veille

  • temps de verrouillage de la session utilisateur

Ces stratégies peuvent être différentes pour les utilisateurs du service Comptabilité ou ceux du Support. Ainsi, l’utilisation des groupes devient primordiale.

Décidez des paramètres des stratégies de groupes

Vous l’avez surement compris, il est possible de faire beaucoup de choses avec des GPO. Je vous conseille de préparer vos objectifs de sécurisation avant de vous lancer dans la mise en œuvre des GPO pour ne pas vous retrouver noyé sous les multiples possibilités offertes par ces objets.

Posez-vous les questions suivantes :

  • Est-ce que la stratégie de sécurisation porte sur des utilisateurs ou des ordinateurs ?

  • Est-ce que les paramètres que je souhaite appliquer sont

    • standards (mots de passe, paramètres que vous auriez configurés à la main)

    • ou spécifiques (nécessitant l’installation d’un logiciel tiers) ?

  • Est-ce qu’il est intéressant d’appliquer ces paramètres de nombreuses fois ?

  • Est-ce un paramètre modifiable par l’utilisateur ?

Ainsi vous serez capable de modéliser votre politique de sécurité et de concevoir des GPO précises qui vous faciliteront la vie !

Pour terminer et illustrer cela, je vous propose de reprendre l’exemple d’une imprimante. Il pourrait être intéressant que l’imprimante du RDC s’installe automatiquement sur les postes du RDC, non ? Et bien je vous proposerai, par exemple, de regrouper les ordinateurs du RDC. Vous pourrez identifier ce groupe de la façon suivante GDL_O_Ordi_RDC et d’appliquer une GPO sur l’unité organisationnelle RDC.

Pour éviter tout conflit avec les ordinateurs n’ayant pas besoin de l’imprimante, vous pourrez mettre en œuvre un filtre sur ce groupe uniquement.

Cette GPO s’occupera d’installer l’imprimante sur les ordinateurs !

En résumé

  • Les GPO permettent d’appliquer des paramètres de sécurité

  • Les groupes et les GPO fonctionnent nativement de pair

  • Il est possible de centraliser une politique de sécurité

Exemple de certificat de réussite
Exemple de certificat de réussite