• 8 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 29/05/2019

Approfondissez votre connaissance des stratégies de groupes

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Vous avez navigué dans les paramètres des stratégies de groupe par défaut lors du précédent chapitre. Je vous propose maintenant de créer votre première stratégie. Pour cela, prenez l’exemple tout simple de l’uniformisation du fond d’écran d’un parc informatique !

Allez-vous utiliser les paramètres utilisateurs ou ordinateurs, qu’en est-il exactement et quel est l’intérêt de les avoir dissociés ? C’est ce que je vous propose de découvrir dans ce nouveau chapitre !

Prenez en main les paramètres d’une GPO

Dans une GPO, vous avez observé qu’il est possible d’avoir deux types de configurations. Un premier type de paramètres qui s’appliquera en fonction de l’utilisateur connecté sur la machine, peu importe la machine et un second qui s’appliquera sur la machine, peu importe l’utilisateur connecté.

Pour chaque type de paramètres, ordinateur et utilisateur, vous allez retrouver les informations suivantes :

  • Stratégies

    • Paramètres logiciels

    • Paramètres Windows

  • Modèles d’administration

  • Préférences

Décomposition d’un objet GPO
Décomposition d’un objet GPO

Les paramètres logiciels permettent de gérer des déploiements de logiciels de façon centralisée.

Les paramètres Windows regroupent les différents scripts qu’il va être possible d’écrire pour exécuter des actions à différents moments clés (démarrage du poste, connexion d’un utilisateur, …). À noter que certains paramètres ne seront disponibles que pour l’ordinateur, notamment les paramètres de pare-feu et d’autres spécifiquement pour un utilisateur, comme les paramètres d’Internet Explorer.

C’est également ici que vous pourrez configurer une stratégie de mot de passe pour, par exemple, un groupe d’utilisateur particulier ou déployer des imprimantes. Je vous invite à naviguer dans les différents paramètres de cette section pour vous les approprier.

Les Modèles d’administration sont des fichiers au format ADMX qui permettent de gérer la base de registre de Windows. Cela va permettre de modifier un grand nombre de paramètres en lien avec les différentes zones du registre Windows. À noter que vous disposez ici d’une description du paramètre et de l’impact qu’il pourra avoir sur le comportement des clients.

Enfin, les Préférences. Apparus avec Windows 2008, cela permet de simplifier de nombreuses tâches en apportant une interface graphique très proche de celle que l’on pourrait retrouver sur un poste client !

Maintenant que vous avez une vue générale des paramètres existant pour une GPO, je vous propose de passer à l’action :) !

Créez votre première stratégie de groupe

Pour votre première GPO, je ne vais pas vous demander de créer une stratégie trop complexe. L’idée ici est que vous compreniez le fonctionnement et surtout, l'intérêt d’en utiliser, pour que vous puissiez concevoir des GPO plus complexes par la suite.

Prenez une configuration simple et réaliste : le directeur de Gift S.A. souhaite que ses employés n’oublient jamais la société pour laquelle ils travaillent. Il vous demande donc de forcer l’affichage d’un fond d‘écran pour tous les utilisateurs de l’entreprise.

Vous allez donc créer un nouvel objet GPO en cliquant sur le nom de votre domaine dans l’outil et le lier à ce dernier.

Menu de création d’un objet GPO
Menu de création d’un objet GPO

Nommez ce nouvel objet, idéalement, rappelez-vous, avec des informations identifiables.

Par exemple : GPO_U_fondEcran. Cela permet de savoir qu’il s’agit d’un objet GPO avec des paramètres utilisateur concernant le fond d’écran.

Vous devriez avoir cet affichage :

Affichage de votre GPO
Affichage de votre GPO

En effet, le lien sur le domaine fait apparaître l’objet GPO sous le nom du domaine et cet objet se retrouve listé avec les autres objets GPO existants.

Faites un clic gauche sur le nom de votre GPO et sélectionnez Modifier. Vous arrivez dans la fenêtre de personnalisation de la GPO :

Fenêtre de paramétrage de l’objet GPO
Fenêtre de paramétrage de l’objet GPO

Rendez-vous dans la partie configuration utilisateur, dans la partie Stratégies, Modèle d’administration puis dans Bureau et Bureau à nouveau :

Emplacement du paramètre que vous allez modifier
Emplacement du paramètre que vous allez modifier

Vous avez sur la partie de droite, la liste des paramètres modifiables. Vous allez modifier le paramètre Papier peint du Bureau. Cliquez sur ce paramètre et vous obtenez la page de configuration.

Page de configuration du paramètre Papier peint du Bureau
Page de configuration du paramètre Papier peint du Bureau

Je vous propose d’activer ce paramètre en cochant Activé et de remplir les champs disponibles. Assurez-vous d’avoir un papier peint disponible. Si vous n’en avez pas, faites comme moi et utilisez vos talents sous Paint pour en créer un ;) !

Une fois votre fond d’écran confectionné, stockez-le sur un emplacement réseau accessible. Si vous n’en avez pas créé pour le moment, sachez qu’il existe des partages par défaut sur un contrôleur de domaine : NETLOGON et SYSVOL.

Vous vous rappelez de SYSVOL, lors de la création du domaine ? Ce partage va être répliqué entre tous les contrôleurs de domaine et stocke notamment les objets GPO.

NETLOGON quant à lui est un raccourci vers le répertoire script présent dans le dossier SYSVOL\gift.sa\scripts.

Pour ce premier exemple, je vous propose d’utiliser le partage NETLOGON.

Partages par défaut d’un contrôleur de domaine
Partages par défaut d’un contrôleur de domaine

Finissez la configuration de votre papier peint avec le style que vous voulez lui donner. Pour moi, ce sera Centrer.

Configuration terminée pour l’objet GPO fond d’écran
Configuration terminée pour l’objet GPO fond d’écran

Vous venez de créer une stratégie de groupe (GPO) pour tous les utilisateurs authentifiés du domaine racine gift.sa, de votre forêt Active Directory !

Maintenant, comment vérifier qu’elle s’applique correctement ? :euh:

Vérifier l’application de votre stratégie de groupe

Pour le moment, vous venez de créer votre GPO et votre poste client n’a pas redémarré. Si votre poste était éteint, vous n’avez qu’à vous connecter avec un utilisateur du domaine que vous aurez préalablement créé et vous devriez rapidement identifier les changements !

Pour vous assurer qu’une stratégie s’applique correctement, voici deux commandes qui pourront vous être utile :

  • gpresult

  • gpupdate

La première, gpresult, permet d’afficher les informations sur l’application des stratégies à partir d’un poste et pour l’utilisateur courant.

Par exemple, je suis connecté avec l’utilisateur Maelys sur le PCFIXE01. Voici le résultat de la commande avec le commutateur/Rqui permet d’afficher les informations RSoP (Results of Set of Policy pour résultats de jeu de stratégies) :

Jeu de stratégies - gpresult /R
Jeu de stratégies - gpresult /R

Une stratégie s’est appliqué : GPO_U_fondEcran. Et en effet, mon fond d’écran est changé par celui que j’ai confectionné :

Magnifique fond d’écran
Magnifique fond d’écran :honte:

La seconde commande permet l’application des paramètres des GPO : gpupdate. Il est possible de forcer l’application grâce au commutateur   /force. Ce commutateur peut être pratique pour certains paramètres nécessitant par exemple de déconnecter l’utilisateur courant.

Voilà, vous avez créé une première stratégie de groupe, je vous propose de plonger plus en détail des options possibles pour un utilisateur et pour un ordinateur dans les prochains chapitres.

En résumé

  • Les GPO distinguent les paramètres utilisateurs et ceux des ordinateurs

  • Il est possible de filtrer des GPO par groupes

  • GPRESULT permet d’afficher le résultat de l'application des GPO

  • GPUPDATE permet de lancer une mise à jour des GPO et d’en appliquer les paramètres

Exemple de certificat de réussite
Exemple de certificat de réussite