Je vous en parlais dans la partie précédente. Les groupes permettent d’appliquer des paramètres de sécurité. Au sein d’Active Directory, on parle de stratégies de groupes ou Group Policy Object.
Grâce aux GPO, vous allez pouvoir mettre en œuvre une politique de sécurité sur des objets utilisateurs ou ordinateurs. Vous l’aurez compris, le mieux est d’appliquer ces stratégies sur des groupes 😉!
Concevez des stratégies de groupes
Malheureusement, je ne pourrai pas vous lister l’intégralité des possibilités offertes par les GPO car elles sont impressionnantes . Sachez néanmoins que les GPO couvrent l’ensemble des besoins de configuration possibles en entreprise : de la personnalisation du poste de travail (fond d’écran, apparence) à la sécurisation fine des accès (permission de modifier la configuration IP, de lancer une application ou d’en restreindre l’accès).
Il est même possible d’installer des logiciels et applications grâce à une GPO !
Pour vous y retrouver, Microsoft a mis en œuvre des modèles d’administration. Ces modèles permettent, entre autres, d’avoir des informations sur les possibilités offertes par les GPO.
Vous pouvez les retrouver sur votre PC en lançant la commande gpedit.msc :
Je vous invite à y jeter un coup d’œil rapide. Je vous proposerai d’y revenir en détail dans les chapitres suivants !
Les GPO s’activent automatiquement à différents moments et en fonction de critères particuliers.
Domptez l’application des stratégies de groupes
Ces objets s’appliquent au moment de l’authentification d’un poste ou d’un utilisateur sur le réseau, puis à intervalles réguliers. Par défaut, cet intervalle varie entre 60 et 120 minutes. Il est possible de configurer cet intervalle de temps grâce… à une stratégie de groupe 😄!
En plus de ces paramètres, une GPO peut être liée à un domaine, un site ou une unité organisationnelle d’un AD.
Par défaut, une GPO s’appliquera à tous les objets authentifiés d’une UO. Il est donc primordial d’en filtrer l’application en fonction de l’appartenance à un groupe. Cela permet de mettre en œuvre de multiples GPO au sein d’un domaine, et même au sein d’une UO.
L’exemple le plus parlant est un ensemble de GPO permettant de gérer la personnalisation de l’apparence d’un ordinateur d’une entreprise :
application d’un fond d’écran unique ;
durée de mise en veille ;
temps de verrouillage de la session utilisateur.
Ces stratégies peuvent être différentes pour les utilisateurs du service Comptabilité et ceux du Support. Ainsi, l’utilisation des groupes devient primordiale.
Décidez des paramètres des stratégies de groupes
Vous l’avez sûrement compris, il est possible de faire beaucoup de choses avec des GPO. Je vous conseille de préparer vos objectifs de sécurisation avant de vous lancer dans la mise en œuvre des GPO, pour ne pas vous retrouver noyé sous les multiples possibilités offertes par ces objets.
Posez-vous les questions suivantes :
Est-ce que la stratégie de sécurisation porte sur des utilisateurs ou des ordinateurs ?
Est-ce que les paramètres que je souhaite appliquer sont :
standard (mots de passe, paramètres que vous auriez configurés à la main) ;
ou spécifiques (nécessitant l’installation d’un logiciel tiers) ?
Est-ce qu’il est intéressant d’appliquer ces paramètres de nombreuses fois ?
Est-ce un paramètre modifiable par l’utilisateur ?
Ainsi vous serez capable de modéliser votre politique de sécurité, et de concevoir des GPO précises qui vous faciliteront la vie !
Pour terminer et illustrer cela, je vous propose de reprendre l’exemple d’une imprimante. Il pourrait être intéressant que l’imprimante du RDC s’installe automatiquement sur les postes du RDC, non ? Eh bien je vous proposerai, par exemple, de regrouper les ordinateurs du RDC. Vous pourrez identifier ce groupe de la façon suivante : GDL_O_Ordi_RDC, et appliquer une GPO sur l’unité organisationnelle RDC.
Pour éviter tout conflit avec les ordinateurs n’ayant pas besoin de l’imprimante, vous pourrez mettre en œuvre un filtre sur ce groupe uniquement.
Cette GPO s’occupera d’installer l’imprimante sur les ordinateurs !
En résumé
Les GPO permettent d’appliquer des paramètres de sécurité.
Les groupes et les GPO fonctionnent nativement de pair.
Il est possible de centraliser une politique de sécurité.
Dans cette partie, vous avez défini clairement le contenu et l’organisation de votre annuaire, ainsi que l’architecture réseau de vos serveurs. Bravo, vous venez de réaliser l’étape la plus difficile et importante de ce cours. Dans la prochaine partie vous allez enfin passer à la pratique, avec l’installation et la configuration de votre annuaire sur des serveurs.