• Créer des objets GPO starter
• Exécuter des scripts depuis des GPOs

Lorsque vous installez des serveurs sous Windows Server et des PCs clients sous Windows dans une entreprise, il est très courant d'utiliser les stratégies de groupe (ou GPO) pour gérer la configuration et la sécurité de tous vos serveurs et PCs clients.
Pour cela, la 1ère chose à faire est bien évidemment de déployer une infrastructure Active Directory (grâce aux services AD DS) et de lier ensuite vos serveurs et vos PCs clients à votre domaine Active Directory.

1. Avantages des stratégies de groupe
2. Liaisons possibles
3. Application et mise à jour des stratégies de groupe (GPO)
4. Liaison des objets de stratégies de groupe (GPO)
5. Créer un nouvel objet de stratégie de groupe (objet GPO)
6. Application de stratégies de groupe et propriétés de l'objet GPO
7. Lier un objet GPO
8. Mettre à jour les stratégies de groupe du PC client
9. Afficher les stratégies appliquées sur le PC client (RSOP)

1. Avantages des stratégies de groupe

Les stratégies de groupe (GPO) permettent de :

• gérer la configuration et la sécurité de vos différents serveurs sous Windows Server
• gérer la configuration et la sécurité de vos PCs clients sous Windows à l'aide de stratégies ciblant l'ordinateur et d'autres ciblant l'utilisateur
• gérer la configuration et la sécurité des bureaux virtuels dans une infrastructure VDI
• gérer la configuration des différents composants Windows, tels que : les services RDS, Windows Defender, Windows Store, Windows Update, ...
• déployer des applications grâce à des paquets au format msi (qui est le format utilisé par Windows Installer)
• d'utiliser les profils itinérants et gérer la redirection de dossiers pour permettre à un utilisateur d'utiliser ses documents en se connectant sur n'importe quel PC client d'une salle informatique, par exemple
• et bien plus

2. Liaisons possibles

Bien que vous puissiez configurer les stratégies de groupe depuis votre infrastructure Active Directory (ce qui est fortement recommandé en entreprise), vous pouvez aussi configurer certaines stratégies localement sur un PC client via le programme "Stratégie de sécurité locale" (secpol.msc) ou "Editeur de stratégie de groupe locale" (gpedit.msc).
De plus, les objets de stratégie de groupe (GPO) que vous créerez sur votre infrastructure Active Directory pourront être liés à un site Active Directory, un domaine, ...

Il est donc important de savoir dans quel ordre les stratégies sont appliquées :

1. stratégies définies localement sur le PC client
2. stratégies définies dans un objet GPO lié à un site Active Directory
3. stratégies définies dans un objet GPO lié à un domaine Active Directory
4. stratégies définies dans des objets GPO liés à des unités d'organisation Active Directory. Si vous avez plusieurs unités d'organisation imbriquées l'une dans l'autre, les stratégies de l'unité d'organisation enfant sont prioritaires par rapport à celles du parent.

Le 1er élément de la liste ci-dessus est donc le moins prioritaire et le dernier élément de la liste est le plus prioritaire.

Important : il est primordial de savoir que cet ordre est celui par défaut et qu'il peut être altéré si vous utilisez, par exemple, l'option "Appliqué" sur un de vos liens d'objets GPO.

3. Application et mise à jour des stratégies de groupe (GPO)

Les stratégies de groupe sont appliquées, puis mises à jour de façon régulière.

• Pour les stratégies de groupe concernant l'ordinateur, celles-ci sont appliquées au démarrage de l'ordinateur et mises à jour régulièrement (l'intervalle entre 2 mises à jour étant de 90 minutes + un delta temps aléatoire entre 0 et 30 min).
• Pour les stratégies de groupe concernant l'utilisateur, celles-ci sont appliquées à l'ouverture de la session de l'utilisateur et mises à jour régulièrement (l'intervalle étant identique que celui pour la partie ordinateur).

Dans les 2 cas, vous pouvez forcer la mise à jour des stratégies de groupe ordinateur et utilisateur grâce aux commandes : gpupdate et Invoke-gpupdate.

Batch

gpupdate

PowerShell

Invoke-gpupdate

Important : lorsque vous êtes sur un contrôleur de domaine, le délai entre 2 mises à jour des stratégies de groupe est différent : les stratégies de groupe sont mises à jour toutes les 5 minutes (et il n'y a aucun delta supplémentaire utilisé).

4. Liaison des objets de stratégies de groupe (GPO)

Pour gérer les stratégies de groupe (GPO) existantes ou en créer d'autres, ouvrez la console "Gestion de stratégie de groupe" sur un contrôleur de domaine.
En sachant que vous pouvez aussi installer cette console sur un PC client si vous le souhaitez grâce aux consoles RSAT.

Comme vous pouvez le voir dans cette console "Gestion de stratégie de groupe", par défaut, il existe 2 objets de stratégies de groupe :

• Default Domain Controllers Policy : les stratégies configurées dans cet objet de stratégies de groupe s'appliquent seulement aux contrôleurs de domaine Active Directory du domaine concerné. Dans notre cas : les contrôleurs de domaines situés dans le domaine "informatiweb.lan".
• Default Domain Policy : ces stratégies s'appliquent à tous les ordinateurs et serveurs situés dans votre domaine Active Directory.

Vous pouvez également voir qu'on ne voit qu'un seul dossier auquel on pourrait lier d'autres objets de stratégies. Il s'agit du dossier : Domain Controllers.

En fait, pour qu'un "dossier" apparaisse dans votre Active Directory et dans la console de gestion des stratégies de groupe, il faut que ce soit une unité d'organisation (OU) et non un conteneur (CN).
Pour ce tutoriel, nous avons ouvert la console "Utilisateurs et ordinateurs Active Directory" et nous avons créé une nouvelle unité d'organisation "RH_Computers".

Comme vous pouvez le voir, les dossiers "Domain Controllers" et "RH_Computers" qui sont des unités d'organisation ont une icône légèrement différente des autres dossiers qui sont des conteneurs (CN).

5. Créer un nouvel objet de stratégie de groupe (objet GPO)

Pour créer un nouvel objet de stratégie de groupe, sélectionnez le dossier "Objets de stratégie de groupe" et faites un clic droit "Nouveau" dans la liste de droite.

Indiquez un nom pour cet objet de stratégie de groupe.

Une fois l'objet de stratégie de groupe créé, faites un clic droit "Modifier" sur celui-ci.

Comme vous pouvez le voir, Active Directory vous permet de gérer la configuration de l'ordinateur, mais aussi la configuration utilisateur grâce à des stratégies et des préférences.
Grâce aux nombreux paramètres et stratégies disponibles dans ces sous-dossiers, vous pourrez configurer de nombreux paramètres sur les serveurs et les PCs clients.

De plus, vous pourrez aussi télécharger des modèles d'administration au format ADMX sur Internet et les utiliser ici pour configurer, par exemple, les paramètres de Microsoft Office via les stratégies de groupe.