#78 Introduction sur les stratégies de groupe sous W2K3.

Ce tutoriel amorce une série de sujets sur les stratégies de groupes et leurs diverses fonctionnalités. Ces stratégies sont extrêmement puissantes et une fois maitrisées elles facilitent le rôle de l’administrateur réseaux.

Le terme Stratégie désigne la configuration logicielle du système par rapport aux utilisateurs. A la suite d’une installation de Windows, aucune stratégie n’est configurée, et tout est permis (en fonction des droits des groupes d’utilisateurs prédéfinis : Administrateurs, Utilisateurs, Utilisateurs avec pouvoir…).

Les stratégies de groupe ou GPO (Group Policies Object) permettent de configurer des restrictions d’utilisation de Windows où des paramètres à appliquer soit sur un ordinateur donné soit sur un compte utilisateur donné. Il est ainsi possible d’agir sur :

  • La définition d’un environnement adapté : Il est possible par exemple de rediriger certains répertoires leurs contenus
  • Le déploiement de logiciels : Une automatisation complète de l’installation des programmes sur les postes clients est possible en fonction du profil de l’utilisateur
  • L’application des paramètres de sécurité : Le contexte de sécurité de l’environnement utilisateur peut être modifier

Voici un exemple de stratégie de groupe :

Menu Démarrer et Barre des tâches

  • Suppression du menu Documents dans le menu Démarrer
  • Suppression des Connexions réseau et accès distant du menu Démarrer
  • Suppression du menu Exécuter dans le menu Démarrer
  • Désactivation de la fermeture de session dans le menu Démarrer
  • Désactivation de la commande Arrêter

Panneau de configuration

  • Désactivation du Panneau de configuration
  • Masque de certaines applications du Panneau de configuration

Système

  • Activation des quotas de disque
  • Désactivation des outils de modifications du Registre
  • Désactivation de l’invite de commandes

Internet Explorer

  • Désactivation de la modification des paramètres de la page de démarrage

Une stratégie de groupe et composée d’un objet Active Directory et d’un dossier dont le nom est le  SID de la GPO et que l’on trouve dans le répertoire SYSVOL disponible sur chaque contrôleur de domaine. Les GPO ne peuvent êtres appliquées qu’à des conteneurs : site, domaine ou encore unité d’organisation mais elles peuvent être assignées plusieurs fois à des conteneurs différents. Le contenu d’une GPO sera donc appliqué sur les comptes utilisateurs et ordinateurs contenus dans le conteneur et plusieurs GPO peuvent être liée à un même conteneur.

Scripting
Les GPO permettent en outre de spécifier des scripts de démarrage (que l’ordinateur exécutera au lancement de Windows avant qu’un utilisateur ne se soit loguer), ainsi que des scripts d’ouverture de session (exécutés quand un utilisateur se logue). Grâce aux scripts d’ouverture de session il est possible notamment de créer des lecteurs réseau (c’est à dire une lettre de lecteur que l’on associe en réalité à un partage réseau) selon les groupes et les utilisateurs.
Les scripts de démarrage s’exécutent en mode synchrone ( les uns après les autres sans que le login ne soit possible avant la fin de leur exécution) et de façon invisible. D’un autre côté, les scripts d’ouverture de session s’exécutent en mode asynchrone (tous en même temps au moment du login) mais restent eux aussi invisibles.
Les scripts peuvent être placés sur n’importe quel DC (contrôleur de domaine) du domaine ( grâce au processus de réplication), dans le sous répertoire du domaine destiné aux scripts et qui se situe dans le partage SYSVOL.

Voici un exemple de script :

Set objNetwork = Wscript.CreateObject(«WScript.Network») objNetwork.MapNetworkDrive«G:», «\\NomOrdinateur\NomOrdinateur Data» msgbox «Votre script a fonctionné ! »

Création d’une GPO à l’aide de la console gpedit.msc (Stratégie Locale)

La console gpedit.msc permet de créer des stratégies de groupe sur un ordinateur en local, son nom de fichier est : %systemroot%\system32\gpedit.msc. Celle-ci récupère ses informations à différents niveaux : dans les fichiers dont l’extension est .adm, dans la base de registre et dans deux fichiers nommés registry.pol.

Voici un diagramme qui détaille le fonctionnement de gpedit.msc :

GPO_1Partie_1

Installation de la console de gestion des stratégies de groupe (=gpmc.msc)

La console de gestion des stratégies de groupe (GPMC, Group Policy Management Console) Microsoft permet l’uniformisation de la gestion des stratégies de groupe au sein d’une organisation active directory. Avant que celle-ci ne fasse son apparition, il était nécessaire d’utiliser plusieurs outils Microsoft pour gérer les stratégies de groupe. La console GPMC réunit désormais dans une seule console toutes les fonctionnalités nécessaires.

Grâce à la console GPMC, la gestion des stratégies de groupe est facilitée : comprendre, déployer, gérer et résoudre des problèmes liés aux implémentations de stratégie de groupe sont désormais des tâches qui ne posent pas de soucis. La GPMC permet par ailleurs d’automatiser des opérations de stratégie de groupe à l’aide de scripts.

La console GPMC contrôle les stratégies de groupe Windows 2000 et Windows Server 2003. Les fonctionnalités majeures proposées par la console GPMC sont :

  • une interface graphique utilisateur qui facilite l’utilisation des GPO
  • l’importation et l’exportation ainsi que le copier/coller des objets de stratégie de groupe
  • le filtrage par le langage WMI (Windows Management Instrumentation)
  • la sauvegarde et la restauration des objets de stratégie de groupe
  • la présence d’un module de vérification des stratégies résultantes (RSoP, resultant set of policy)
  • l’utilisation de scripts pour les tâches associées aux stratégies de groupe
  • la génération de rapports
  • la gestion simplifiée de la sécurité liée aux stratégies de groupe

Pour télécharger la console de gestion des stratégies de groupe Microsoft cliquez sur le lien GPMC.

GPO_1Partie_2

GPO_1Partie_3

GPO_1Partie_4

Celle-ci pourra s’exécuter sur Windows XP Pro SP1 ou encore sur Windows 2003 serveur, une fois installée elle sera disponible à travers l’invite de commande en tapant «gpmc.msc ».

Configuration Ordinateurs et Utilisateurs

La console de gestion des stratégies de groupe se divise en deux arborescences, la première étant Configuration Ordinateur. La configuration ordinateur définit le comportement du système d’exploitation ou d’une partie du bureau et la configuration de la sécurité. Elle intervient dans des opérations comme l’installation des logiciels dès le démarrage de la machine…
Configuration Utilisateur est la seconde arborescence des stratégies de groupe. La configuration utilisateur définit la configuration des applications, les options d’applications affectées et publiées et enfin les paramètres de bureau, elle intervient dans des opérations comme le déploiement de scripts de démarrage…

Dans certains cas, il est nécessaire de modifier le fonctionnement des GPO, par exemple dans le cas où la machine est en accès libre. Le paramètre de GPO « Bouclage » permet à l’ordinateur de prendre lui-même en compte la partie Utilisateur de la GPO qu’il utilise, ces paramètres éliminent les paramètres de GPO normalement appliqués par le login de l’utilisateur. Ainsi un environnement utilisateur très limité par exemple pourra être défini quel que soir l’utilisateur connecté.

Stockage des paramètres d’une GPO

Lorsqu’une GPO est définit, les paramétrages de cette dernière sont stockés dans la base de registre dans les branches suivantes :

HKEY_CURRENT_USER\Software\Policies\Microsoft
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

That’s All.

Difficulté : Débutant
Modification :
Crédits :


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *