Cours stratégies de groupes GPO dans Windows 2000
Stratégies de groupes
I -
I-A-
Les stratégies de groupe sont des ensembles de paramètres de configuration des utilisateurs et des ordinateurs qui peuvent être appliqués à :
- Un site
- Un domaine
- Une Unité d'Organisation (UO)
Il existe différentes options de stratégies qui concernent :
- le Registre
- les paramètres de sécurité
- la gestion des applications
- les scripts
- la mise sous et hors tension de l'ordinateur
- l'ouverture et la fermeture des sessions
- la redirection des dossiers
Windows 2000 Server comporte des centaines de paramètres de stratégies de groupe configurables. Appliquer des stratégies de groupes permet de gagner du temps de gestion et par là même, réduire les coûts d'administration (TCO = Total Cost of Ownership).
I-B-
Pour appliquer une stratégie de groupe sur un site, un domaine ou une UO, il faut créer un ou plusieurs "Objets de stratégie de groupe" (GPO= Group Policy Objects). C'est un ensemble de paramètres qui peut être appliqué pour une stratégie de groupe. Ce GPO peut être réutilisé afin d'être appliqué sur d'autres Objets d'Active Directory.
I- B- i-
Chaque station Windows 2000 possède un seul GPO qui est appelé GPO local.
I- B- ii-
Les GPO non locaux sont des GPO qui sont stockés sur un serveur Windows 2000 dans Active Directory. Les GPO non locaux s'appliquent aux sites, aux domaines et aux UO contenus dans l'Annuaire d'Active Directory.
I- B- iii-
Si une station contenant un GPO local est connecté en réseau à un serveur Windows 2000 contenant des GPO qui s'appliquent à la station, les GPO non locaux (ceux contenus dans le serveur) sont prioritaires au GPO contenu dans la station.
II -
Pour créer et gérer des stratégies de groupes, il faut suivre les étapes ci-contre :
Figure1 : Démarche de la création et de la gestion de Stratégie de groupe.
II-A-
Pour appliquer une stratégies de groupe sur un site , il faut utiliser l’outil dans .
Pour appliquer une stratégie sur un domaine ou une UO, il faut utiliser l'outil dans .
Dans un de ces outils, sélectionner le site, le domaine ou l'UO sur lequel il faut appliquer la stratégie. Puis ouvrir les "Propriétés" de l'objet et l'onglet "Stratégie de groupe".
Il est alors possible de créer un ou plusieurs GPO qui s'appliqueront à l'objet d'Active Directory sélectionné. Dans l'exemple ci-dessous, 2 GPO sont créés pour être appliqués sur l'UO "Marketing". La console est ouverte, l'UO "Marketing" sélectionnée et l'onglet "Stratégie de groupe" de "Propriétés" est sélectionné.
Le bouton "Nouveau" est utilisé pour créer un nouveau GPO. Le bouton "Ajouter" permet d'utiliser des GPO déjà créé.
Figure2 : Création de GPO.
II-B-
Si l'on veut gérer les GPO existants, il faut créer une console appropriée. Taper "mmc", dans la commande "Exécuter" de Windows 2000. Une console vide s'ouvre. Il faut alors ajouter le composant logiciel enfichable "Stratégie de groupe" à partir du menu "Console"..
Figure3 : Création de la console en ajoutant le composant "Stratégie de Groupe".
Il faut ensuite définir les éléments du composant "Stratégie de groupe". Cliquer sur le bouton "Ajouter" pour faire apparaître la fenêtre "Sélection des Objets de stratégie de groupe".
Cliquer sur le bouton "Parcourir" et dans la fenêtre "Rechercher un objet ….", sélectionner l'onglet "Tous".
Sélectionner le premier GPO à installer dans la console, puis faire"OK".
Recommencer si il y a plusieurs GPO à gérer dans la même console.
Figure4 : Sélection des GPO gérés par la même console.
Appuyer sur "Teminer". Enregistrer le nom de la console dans "Enregistrer sous …". La console apparaît avec les GPO sélectionnés.
Figure5 : Console de gestion de GPO.
II-C-
Figure6 : Autorisations standards de certains groupes.
Mais vous pouvez dans l'onglet "Sécurité" des "Propriétés" d'un GPO, donner des autorisations à un utilisateur ou à un groupe particulier.
Figure7 : Délégation de contrôle administratif sur un GPO.
II-D-
Pour chaque GPO, il existe deux classes de configuration :
- la configuration concernant l’ordinateur
- la configuration concernant l’utilisateur
Figure8: Configuration d'un GPO.
II- D- i-
Les paramètres concernant l’ordinateur pour un GPO donné se divise en 3 sous-groupes :
- Les paramètres logiciel
- Les paramètres Windows
- Les modèles d'administration
II-D-i-a-
Figure10 : Configuration Ordinateur ; Paramètres logiciel.
Le dossier "Paramètres logiciel" ne contient par défaut que les paramètres "Installation du logiciel".Ces paramètres permettent de définir pour un ordinateur donné le mode d'installation et de gestion des applications.
Il est possible de gérer les applications en mode Attribué pour que les ordinateurs disposent de celles-ci.
Il est possible de gérer les applications en mode Publié pour que les ordinateurs puissent disposer de celles-ci.
II-D-i-b-
Les paramètres Windows se divisent en deux groupes :
- Les scripts
- Les paramètres de Sécurité
Les scripts
Il existe deux scripts possibles :
:
Les scripts peuvent être des fichiers commandes MS-DOS de type .bat ou .cmd ou VBScript, JScript ou Perl.
Les paramètres de sécurité
Les paramètres de sécurité comprennent les paramètres :
- de stratégies de comptes
- de stratégies locales
- de journal d'événements
Chaque paramètre fait appel à une fenêtre pour entrer la valeur correspondante.
Figure11 : Configuration ordinateur : Paramètres Windows.
Les paramètres de stratégies de compte comportent :
- Les paramètres concernant les mots de passe
Figure12 : Configuration de l'ordinateur ; Paramètres concernant les mot de passe
- Les paramètres concernant le verrouillage de compte
Figure13 : Configuration de l'ordinateur : Paramètres de verrouillage de compte;
- Les paramètres Kerberos
Le protocole de sécurité Kerberos V5 est la technologie d'authentification par défaut. Cette méthode peut être utilisée pour n'importe quel client exécutant le protocole Kerberos (qu'il s'agisse de clients équipés de Windows 2000 ou non) membre d'un domaine approuvé.
Figure14 : Configuration de l'ordinateur : Paramètres Kerberos.
Les paramètres de stratégies locales comportent :
- Les paramètres concernant la Stratégie d'audit
Figure15 : Configuration de l'ordinateur : Stratégie d'Audit.
- Les paramètres concernant l'attribution des droits utilisateur
Figure16 : Configuration de l'ordinateur : Paramètres attribution des doits utilisateurs.
- Les paramètres concernant les options de sécurité
Ces paramètres permettent de configurer manuellement les niveaux de sécurité
Figure17 : Configuration de l'ordinateur ; options de sécurité (exemples).
Les paramètres du journal des événements
Ces paramètres permettent de modifier les conditions de stockage des événements enregistrés dans les différents journaux.
Figure18 : Configuration de l'ordinateur; Paramètres des journaux d'événements.
Autres paramètres de sécurité
Pour les dossiers Groupes restreints, Services Système, Registre, Systèmes de fichiers, Stratégies de clé publique voir l'Aide de Windows 2000 Server et le Kit de ressources Techniques.
II-D-i-c-
Le dossier "Modèles d'administration" contient plus de 45O paramètres de stratégie de groupe basés sur le Registre.
- Composants Windows permet d'administrer les composants de Windows 2000 tels NetMeeting, Internet Explorer, le planificateur de tâches et Windows Installer.
- Système comme le montre la figure ci-contre se divise en 5 dossiers contenant chacun un certain nombre de paramètres. Par exemple, le dossier "Quotas de disque" contient les paramètres suivants :
- Réseau contient des paramètres relatifs aux fichiers en réseau.
- Imprimantes contient des paramètres relatifs à l'utilisation et la gestion des imprimantes
Figure19 : Configuration de l'ordinateur ; Modèles d'administration.
II- D- ii-
Les paramètres de configuration de l'utilisateur servent à définir des stratégies de groupe appliquées aux utilisateurs quelque soit l'ordinateur sur lequel ils travaillent.
On retrouve les trois grandes classes de paramètres déjà vues au niveau de l'ordinateur.
- Les paramètres logiciel
- Les paramètres Windows
- Les modèles d'administration
Figure20 : Configuration Utilisateur.
II-D-ii-a-
On retrouve la même rubrique que pour la configuration au niveau de l'ordinateur. Les paramètres concernent maintenant l'utilisateur quelque soit l'ordinateur sur lequel il travaille.
Figure21 : Configuration Utilisateur ; Paramètres logiciel.
II-D-ii-b-
Les paramètres Windows appliqués à l'utilisateur sont légèrement différents de ceux appliqués à l'ordinateur.
Figure22 : Configuration utilisateur ; Paramètres Windows.
Maintenance de Internet Explorer
Cet élément permet d'administrer et de personnaliser Microsoft Internet Explorer sur les ordinateurs Windows 2000 pour les utilisateurs pour lesquels est appliquée la stratégie de groupe.
Figure23 : Configuration utilisateur ; Maintenance de Internet Explorer.
Scripts
Cette rubrique permet de définir des scripts pour l'ouverture et la fermeture de session de l'utilisateur concerné par la stratégie de groupe. Elle est différente de la rubrique script que l'on trouvait au niveau de la configuration de l'ordinateur où il s'agissait du démarrage et de l'arrêt de l'ordinateur.
Figure24 : Configuration de l'utilisateur ; ouverture et fermeture de session.
Paramètres de Sécurité
Figure25 : Configuration de l'utilisateur ; Paramètres de sécurité.
Services d'installation à distance
Vous pouvez déterminer les choix que l'Assistant Installation de clients propose à un utilisateur ou à un groupe.
Figure26 : Configuration de l'utilisateur ; Options de service d'installation à distance.
Redirection de dossiers
Cet élément permet de modifier les emplacements par défaut de certains dossiers spéciaux comme "Mes Documents", "Application Data", "Bureau" et "Menu Démarrer". Il est ainsi possible de concentrer ces dossiers sur un emplacement du serveur et centraliser leur gestion.
Vous pouvez dans les "Propriétes" de ces dossiers, indiquer vers quel emplacement vous souhaitez rediriger ces dossiers.
Figure27 : Configuration utilisateur ; Redirection des dossiers spéciaux.
II-D-ii-c-
Ces éléments permettent de modifier de très nombreux paramètres spécifiques à l'utilisateur sur lequel est appliquée la stratégie de groupe. Les paramètres sont regroupés par rubrique et sous rubriques.
Par exemple la rubrique Internet Explorer se décompose comme suit :
Dans chaque rubrique, on dispose d'un certain nombre de paramètres auxquels on peut affecter des valeurs. Par exemple, la rubrique "Panneau de configuration de Internet" comporte les paramètres suivants :
Figure28 : Configuration utilisateur ; Modèles d'administration.
Vous pouvez jouer sur tous ces paramètres pour imposer un configuration spécifique aux utilisateurs auxquels vous appliquez cette stratégie.
II-E-
Si vous n'avez pas utilisé dans votre stratégie de groupe de paramètres concernant l'ordinateur, mais seulement l'utilisateur, vous pouvez désactiver l'ensemble des paramètres concernant l'ordinateur.
L'inverse est également réalisable. Ceci entraîne un gain de temps dans l'application de la stratégie de groupe.
Par exemple, si vous n'avez pas utilisé de paramètres concernant l'ordinateur, pour désactiver ces paramètres, cliquez sur le GPO, puis sélectionnez "Propriétés". Dans l'onglet "Général", cochez la case correspondante à votre demande.
Figure29 : Désactivation de paramètres inutilisés.
II-F-
II- F- i-
Local : Le GPO local est traité en premier.
Site : Si il existe un ou plusieurs GPO appliqués à un site, ils sont exécutés ensuite. Les GPO de site sont appliqués dans l'ordre indiqué par l'administrateur.
Domaine : Si il existe un ou plusieurs GPO appliqués au domaine dans lequel se trouve l'ordinateur ou l'utilisateur, ils sont appliqués à la suite dans l'ordre prévu.
UO : Les GPO appliqués à l'UO la plus élevée du niveau hiérarchique, sont appliqués ensuite dans l'ordre prévu. Si il existe des UO de niveaux inférieurs, ils sont exécutes ensuite.
L'ordre d'exécution est important, car s'il existe des valeurs contradictoires pour un même paramètre dans des GPO de plusieurs niveaux, c'est le dernier GPO appliqué qui impose sa valeur.
Figure30 : Ordre d'application des Stratégies.
II- F- ii-
- -Ordinateur membre d'un groupe de travail : Un ordinateur non lié à un domaine n'exécute que le GPO local.
- Option "Ne pas passer outre" :
Si cette option est appliquée à un GPO de niveau supérieur, ce sont les paramètres de ce niveau qui seront appliqués, en contradiction à la règle précisée ci-dessus, et ceci même si l'option "Ne pas passer outre" est appliquée sur des GPO de niveaux inférieurs.
Si dans l'exemple précédent au niveau des "Propriétés" du Domaine", on coche la case "Aucun remplacement" dans le menu "Options", ce sont les paramètres de cette stratégie qui seront appliqués et non ceux des GPO de l'UO "Marketing".
Figure31 : Exceptions : Ne pas passer outre.
- Option "Bloquer l'héritage"
Les paramètres des niveaux supérieurs sont appliqués sur les niveau inférieurs (Héritage).
Par exemple, les paramètres d'un GPO appliqués sur un domaine, le sont sur toutes les UO de ce domaine. On dit que les paramètres des GPO des niveaux supérieurs sont hérités.
L'option "Bloquer l'héritage" empêche tous les paramètres de niveau supérieur d'agir sur le domaine ou l'UO dont la case "Bloquer l'héritage" a été cochée dans "Propriétés". Toutefois les GPO marqués "Ne pas Passer outre" sont quand même hérités.
Dans l'exemple utilisé jusqu'ici, les paramètres de la Stratégie appliqués sur le Domaine ne sont pas appliqués à l'UO Marketing. (ni éventuellement à des UO de niveau inférieurs).
Figure32 : Exceptions ; Blocage d'héritage.
- Paramètre Boucle de rappel
Ce paramètre peut être utilisé en deux modes :
Dans le mode "Remplacer" les paramètres de stratégie de groupe de l'utilisateur sont remplacés par ceux de l'ordinateur
Dans le mode "Fusionner" les paramètres de l'ordinateur et ceux de l'utilisateur sont fusionnés. La liste des paramètres sur l'ordinateur étant exécutée en dernier, ce sont ceux-ci qui sont prioritaires en cas de conflit.
Pour activer le paramètre "Boucle de rappel", il faut utiliser la console de gestion des Stratégies de Groupe, sélectionner le GPO adéquate, puis dans le dossier "configuration de l'ordinateur", ouvrir le dossier "Modèles d'administration", puis le dossier "Système" et "Stratégie de groupe". Dans le volet de droite, sélectionner dans la liste des paramètres "Mode de traitement de la boucle de rappel". Utiliser le boutons "Activer", puis le mode "Remplacer" ou "Fusionner"dans la case à défilement.
Figure33 : Exceptions ; Boucle de rappel.
II-G-
Si vous souhaitez exclure de l'application d'une stratégie de groupe, un groupe d'utilisateur ou un utilisateur, vous mettez en place un filtrage. Les paramètres du GPO ne s'appliquent plus à ce groupe ou cet utilisateur.
Figure34 : Exceptions ; Filtrage.
II-H-
Si vous avez créer des GPO pour des Objets d'Active Directory (Site, Domaine, UO), vous pouvez les réutiliser, s'ils conviennent, sur d'autres objets. Il suffit dans l'outil "Sites et Services Active Directory" ou "Utilisateurs et Ordinateurs d'Active Directory" de sélectionner l'Objet sur lequel vous voulez appliquer un ou plusieurs GPO, ouvrir les "Propriétés" et dans l'onglet "Stratégie de groupe", utiliser le bouton "Ajouter". Vous sélectionnez alors dans la liste de l'onglet "Tous" le ou les GPO que vous voulez appliquer.