• 8 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 13/01/2023

Approfondissez votre connaissance des stratégies de groupes

Vous avez navigué dans les paramètres des stratégies de groupes par défaut lors du précédent chapitre. Je vous propose maintenant de créer votre première stratégie. Pour cela, prenons un exemple tout simple : créer une GPO pour uniformiser le fond d’écran de tous les postes d’un parc informatique !

Allez-vous utiliser les paramètres utilisateurs ou ordinateurs, qu’en est-il exactement et quel est l’intérêt de les avoir dissociés ? C’est ce que je vous propose de découvrir dans ce nouveau chapitre !

Prenez en main les paramètres d’une GPO

Dans une GPO, vous avez observé qu’il est possible d’avoir deux types de configurations. Un premier type de paramètres qui s’appliquera en fonction de l’utilisateur connecté sur la machine, quelle que soit la machine, et un second qui s’appliquera sur la machine, quel que soit l’utilisateur connecté.

Passons en revue tout cela dans cette vidéo :

Pour chaque type de paramètres, ordinateur et utilisateur, vous allez retrouver les informations suivantes :

  • Stratégies

    • Paramètres du logiciel

    • Paramètres Windows

    • Modèles d’administration

  • Préférences

Configuration ordinateur en haut avec une icon PC, et Configuration utilisateur plus en bas avec une icon personne. Les deux se décomposent en: Stratégies>Paramètres du logiciel>Paramètres Windows>Modèles d'administration; et Préférences.

Les paramètres logiciels permettent de gérer des déploiements de logiciels de façon centralisée.

Les paramètres Windows regroupent les différents scripts qu’il va être possible d’écrire pour exécuter des actions à différents moments clés (démarrage du poste, connexion d’un utilisateur…). À noter que certains paramètres ne seront disponibles que pour l’ordinateur, notamment les paramètres de pare-feu et d’autres spécifiquement pour un utilisateur, comme les paramètres d’Internet Explorer.

C’est également ici que vous pourrez configurer une stratégie de mot de passe pour, par exemple, un groupe d’utilisateurs particulier, ou déployer des imprimantes. Je vous invite à naviguer dans les différents paramètres de cette section pour vous les approprier.

Les modèles d’administration sont des fichiers au format ADMX qui permettent de gérer la base de registre de Windows. Cela va permettre de modifier un grand nombre de paramètres en lien avec les différentes zones du registre Windows. À noter que vous disposez ici d’une description du paramètre et de l’impact qu’il pourra avoir sur le comportement des clients.

Enfin, les préférences. Apparues avec Windows 2008, elles permettent de simplifier de nombreuses tâches en apportant une interface graphique très proche de celle que l’on pourrait retrouver sur un poste client !

Maintenant que vous avez une vue générale des paramètres existant pour une GPO, je vous propose de passer à l’action !

Créez votre première stratégie de groupe

Pour votre première GPO, je ne vais pas vous demander de créer une stratégie trop complexe. L’idée ici est que vous compreniez le fonctionnement et surtout, l'intérêt d’en utiliser, pour que vous puissiez concevoir des GPO plus complexes par la suite.

Prenez une configuration simple et réaliste : le directeur de Gift S.A. souhaite que ses employés n’oublient jamais la société pour laquelle ils travaillent. Il vous demande donc de forcer l’affichage d’un fond d‘écran pour tous les utilisateurs de l’entreprise.

Comme vous venez de le voir dans la vidéo, vous allez donc créer un nouvel objet GPO en cliquant sur le nom de votre domaine dans l’outil, et le lier à ce dernier.

Du menu Domaine, le nom gift.sa est sélectionné et un menu s'affiche avec l'option Créer un objet GPO dans ce domaine, et le lier ici...

Nommez ce nouvel objet, de préférence, rappelez-vous, avec des informations identifiables.

Par exemple : GPO_U_fondEcran. Cela permet de savoir qu’il s’agit d’un objet GPO avec des paramètres utilisateur concernant le fond d’écran.

Vous devriez avoir cet affichage :

GPO_U_fondEcran est selectionné à partir du sous-menu Forêt: gift.sa>Domaine>Objects de stratégie de groupe.
Affichage de votre GPO

En effet, le lien sur le domaine fait apparaître l’objet GPO sous le nom du domaine, et cet objet se retrouve listé avec les autres objets GPO existants.

Faites un clic gauche sur le nom de votre GPO et sélectionnez Modifier. Vous arrivez dans la fenêtre de personnalisation de la GPO :

Dans la liste à gauche, le menu Stratégie GPO_U_fondEcran [SRVAD1.GIFT.SA] est sélectionné et s'ouvre à droite.
Fenêtre de paramètrage de l’objet GPO

Rendez-vous dans la partie Configuration utilisateur, Stratégies, Modèle d’administration puis dans Bureau, et Bureau à nouveau :

En bas à gauche, Bureau est sélectionné à partir de: Configuration>Stratégies>Modèles d'administration>Bureau. A droite la liste de GPO reliées à Bureau.
Emplacement du paramètre que vous allez modifier

Vous avez sur la partie de droite la liste des paramètres modifiables. Vous allez modifier le paramètre Papier peint du Bureau. Cliquez sur ce paramètre, et vous obtenez la page de configuration.

Page de configuration du paramètre Papier peint du Bureau, avec la case Activé cochée.
Page de configuration du paramètre Papier peint du Bureau

Je vous propose d’activer ce paramètre en cochant Activé, et de remplir les champs disponibles. Assurez-vous d’avoir un papier peint disponible. Si vous n’en avez pas, faites comme moi et utilisez vos talents sous Paint pour en créer un 😉 !

Une fois votre fond d’écran confectionné, stockez-le sur un emplacement réseau accessible. Si vous n’en avez pas créé pour le moment, sachez qu’il existe des partages par défaut sur un contrôleur de domaine : NETLOGON et SYSVOL.

Vous vous rappelez de SYSVOL, lors de la création du domaine ? Ce partage va être répliqué entre tous les contrôleurs de domaine, et stocke notamment les objets GPO.

NETLOGON quant à lui est un raccourci vers le répertoire script présent dans le dossier SYSVOL\gift.sa\scripts.

Pour ce premier exemple, je vous propose d’utiliser le partage NETLOGON.

Page de partages par défaut d’un contrôleur de domaine. L'onglet accueil est ouvert, dans la liste à gauche Réseau est sélectionné. A droite les réseaux NETLOGON et SYSVOL sont affichés.
Partages par défaut d’un contrôleur de domaine

Finissez la configuration de votre papier peint avec le style que vous voulez lui donner. Pour moi, ce sera Remplir.

Page de configuration du paramètre Papier peint du Bureau, avec la case Activé cochée et le champ Nom du papier peint rempli avec: \\srvad1\NETLOGON\fondecran.jpg
Configuration terminée pour l’objet GPO fond d’écran

Vous venez de créer une stratégie de groupe (GPO) pour tous les utilisateurs authentifiés du domaine racine gift.sa, de votre forêt Active Directory !

Pour appliquer cette GPO uniquement aux utilisateurs de l’Immeuble de région parisienne, il suffit maintenant de déplacer cette GPO dans l’UO “Immeuble RP”.

GPO_U_fondEcran est selectionné à partir du sous-menu Forêt: gift.sa>Domaine>gift.sa>Immeuble RP.
Affichage de votre GPO dans Immeuble RP

Maintenant, comment vérifier qu’elle s’applique correctement ? 🤔

Vérifier l’application de votre stratégie de groupe

Pour le moment, vous venez de créer votre GPO, et votre poste client n’a pas redémarré. Si votre poste était éteint, vous n’avez qu’à vous connecter avec un utilisateur du domaine que vous aurez préalablement créé, et vous devriez rapidement identifier les changements !

Pour vous assurer qu’une stratégie s’applique correctement, voici deux commandes qui pourront vous être utiles :

  • gpresult

  • gpupdate

La première,gpresult, permet d’afficher les informations sur l’application des stratégies à partir d’un poste et pour l’utilisateur courant.

Par exemple, je suis connecté avec l’utilisateur Maelys sur le PCFIXE01. Voici le résultat de la commande avec le commutateur  /R  qui permet d’afficher les informations RSoP (Results of Set of Policy, pour résultats de jeu de stratégies) :

Résultat de la commande gpresult avec le commutateur /R.
Jeu de stratégies - gpresult /R

Une stratégie s’est appliquée : GPO_U_fondEcran. Et en effet, mon fond d’écran est remplacé par celui que j’ai confectionné :

Fond d'écran blanc
Magnifique fond d’écran 😅

La seconde commande permet l’application des paramètres des GPO : gpupdate. Il est possible de forcer l’application grâce au commutateur   /force. Ce commutateur peut être pratique pour certains paramètres nécessitant par exemple de déconnecter l’utilisateur courant.

Voilà, vous avez créé une première stratégie de groupe ; je vous propose de plonger plus en détail dans les options possibles pour un utilisateur et pour un ordinateur, dans les prochains chapitres.

En résumé

  • Les GPO distinguent les paramètres utilisateurs et ceux des ordinateurs.

  • Il est possible de filtrer des GPO par groupes.

  • GPRESULT  permet d’afficher le résultat de l'application des GPO.

  • GPUPDATE  permet de lancer une mise à jour des GPO et d’en appliquer les paramètres.

Vous venez de voir un des aspects majeurs d’Active Directory : les stratégies de groupes. Mais savez-vous que vous pouvez aller encore plus loin en ajoutant des options de restriction non disponibles par défaut ? C’est justement de ça qu’il s’agit dans la suite du cours.

Exemple de certificat de réussite
Exemple de certificat de réussite