Les stratégies de groupe sont une technologie de gestion des configurations intégrée à Windows Server Active Directory (AD). Cet article présente les outils de gestion des stratégies de groupe de Microsoft et certains des meilleurs outils tiers.
Console de gestion des stratégies de groupe
La console de gestion des stratégies de groupe est le logiciel Microsoft de gestion des stratégies de groupe intégré à Windows Server. Bien qu’il existe d’autres outils de gestion Microsoft et tiers, il est impossible de se passer de la console de gestion des stratégies de groupe. Elle est également incluse dans les outils d’administration de serveur distant pour les systèmes d’exploitation clients Windows, de sorte qu’elle peut être utilisée sans se connecter à un contrôleur de domaine, et elle comprend un module PowerShell permettant d’automatiser de nombreux aspects de la gestion des stratégies de groupe.
La console de gestion des stratégies de groupe vous permet de créer et de modifier des objets de stratégie de groupe (GPO) et de les lier à des sites, des domaines et des unités d’organisation (OU) AD. L’éditeur d’objets de stratégie de groupe est un outil distinct qui s’ouvre depuis la console de gestion des stratégies de groupe ; il vous permet de modifier et d’importer les paramètres des GPO et de sauvegarder et restaurer les GPO. Des fonctionnalités avancées de la console de gestion des stratégies de groupe permettent d’appliquer des filtres Windows Management Instrumentation (WMI) aux GPO, de bloquer les héritages et de renforcer les liens entre GPO.
Les administrateurs systèmes peuvent utiliser la console de gestion des stratégies de groupe pour voir quels paramètres ont été configurés dans les GPO sans ouvrir l’éditeur d’objets de stratégie de groupe. Dans les situations plus complexes où plusieurs GPO sont appliqués aux objets AD, le jeu de stratégies résultant montre quels GPO et quels paramètres seront appliqués en pratique aux utilisateurs, aux ordinateurs ou aux deux. Le jeu de stratégies résultant peut être exécuté en mode Journalisation ou Planification : la fonction Modélisation des stratégies de groupe de la console est le jeu de stratégies résultant en mode Planification. La fonction Résultats des stratégies de groupe est le jeu de stratégies résultant en mode Journalisation, et elle génère des rapports que vous pouvez enregistrer au format HTML.
Outils SDM Software
SDM Software propose plusieurs outils de gestion des stratégies de groupe, dont les suivants :
- GPO Migrator est idéal pour les organisations qui doivent nettoyer ou consolider des GPO. Il vous permet de choisir les paramètres que vous souhaitez transférer vers d’autres objets de stratégie de groupe et même de transférer des paramètres dans le but de les utiliser avec la configuration de l’état souhaité de PowerShell.
- GPO Policy Reporting Pak est un utilitaire avancé de reporting et d’analyse qui vous permet de rechercher rapidement des paramètres, d’analyser les différences entre GPO, ainsi que les paramètres en doublon ou en conflit. Il peut également exporter des GPO entre différents domaines Active Directory et générer des rapports au format Excel ou PDF. Reporting Pak comporte un module PowerShell qui permet de tout automatiser depuis la ligne de commande.
- Group Policy Auditing and Attestation (GPAA) surveille les modifications en temps réel et peut revenir en arrière sur les modifications non souhaitées. Des alertes indiquent les valeurs « avant » et « après » afin que vous puissiez comprendre les modifications apportées, notamment les détails qui, quoi, quand et où. GPAA sauvegarde automatiquement les GPO modifiés afin de pouvoir revenir facilement à l’état antérieur. La gestion basée sur les rôles permet aux organisations de déléguer la sélection des utilisateurs qui gèrent les stratégies de groupe. Vous pouvez affecter des propriétaires à des GPO et leur demander d’attester de leur GPO dans le cadre d’un workflow.
- Group Policy Compliance Manager vérifie que les paramètres que vous avez configurés dans les GPO sont bien appliqués aux objets qui relèvent du périmètre de gestion. Ce produit prend en charge la collecte avec ou sans agent et peut centraliser les rapports dans une base de données SQL pour un accès multiutilisateur. Il intègre également une puissante fonction de recherche des GPO et des paramètres individuels, ainsi qu’un module PowerShell dédié à l’automatisation.
Netwrix Auditor pour Active Directory
Netwrix Auditor for Active Directory est une solution d’audit complète pour Windows Server Active Directory. Elle assure une veille de sécurité qui vous permet de mieux comprendre ce qui se passe dans AD et la stratégie de groupe. Netwrix Auditor offre des fonctionnalités d’audit des modifications et des configurations pour AD et la stratégie de groupe, et notamment les détails qui, quoi, quand et où, ainsi que les valeurs « avant » et « après » pour toutes les modifications. Le tableau de bord Enterprise Overview (Vue d’ensemble de l’entreprise) fournit une représentation visuelle des événements sur une période configurable et vous permet d’explorer des détails spécifiques et de générer des rapports.
Des rapports complets d’état des GPO dans le temps vous permettent de documenter et de consulter les paramètres courants et passés des objets de stratégie de groupe. Grâce à une série de rapports intégrés, vous pouvez accéder aux détails des GPO. Vous pouvez par exemple exécuter un rapport pour trouver tous les paramètres des GPO courants qui affectent la politique des mots de passe du domaine et comparer les résultats à une date antérieure, pour voir si des modifications ont été effectuées. Un autre rapport indique s’il y a des paramètres en doublon dans les GPO. La recherche des paramètres redondants peut contribuer à améliorer l’efficacité des connexions et à simplifier les opérations. Tous les rapports sont assortis de filtres qui permettent d’affiner les résultats de manière à trouver exactement les informations dont vous avez besoin.
Netwrix Auditor vous aide à prouver que votre organisation est conforme aux réglementations de sécurité telles que le RGPD, PCI DSS et HIPAA. Il s’intègre également à d’autres systèmes de sécurité et peut envoyer des alertes relatives aux modifications apportées à AD et aux GPO. Le principal avantage de Netwrix Auditor sur les autres outils de gestion des stratégies est qu’il ne se contente pas de gérer la stratégie de groupe, il propose aussi un audit complet d’Active Directory. La stratégie de groupe s’appuie sur Active Directory pour sa sécurité, il est donc important d’assurer la sécurité et la conformité d’AD, sinon les contrôles de la stratégie de groupe pourraient être contournés par un acteur malveillant.
Kit de ressources de conformité et sécurité
Le kit de ressources de conformité et sécurité de Microsoft (SCT) contient des modèles de sécurité de référence pour toutes les versions de Windows et de Windows Server prises en charge. Ces modèles peuvent être utilisés pour créer des objets de stratégie de groupe ou pour configurer une stratégie locale. SCT est régulièrement mis à jour et comprend une documentation complète des paramètres recommandés pour la stratégie de groupe, ainsi que des feuilles de calcul indiquant les différences entre les paramètres de la version courante et ceux des versions précédentes, afin de pouvoir comprendre rapidement ce qui a changé.
SCT comprend des rapports permettant de naviguer dans les paramètres de manière plus conviviale. Les GPO sont fournis en tant qu’objets de sauvegarde à importer via la console de gestion des stratégies de groupe. Vous pouvez choisir les GPO à appliquer en fonction du rôle des appareils. Par exemple, MSFT Windows Server 2019 – Domain Controller s’applique aux contrôleurs de domaines et MSFT Windows Server 2019 – Member Server s’applique aux serveurs joints à un domaine.
SCT inclut deux outils utiles. Policy Analyzer compare des ensembles ou des versions des GPO ; il peut comparer les GPO à la stratégie locale courante et aux paramètres du registre et exporter les résultats vers une feuille de calcul. Local Group Policy Object (LGPO) est un outil en ligne de commande qui permet d’automatiser la gestion de la stratégie locale sur les systèmes non reliés à un domaine Active Directory.
Gestion avancée des stratégies de groupe
La gestion avancée des stratégies de groupe (AGPM) fait partie du Microsoft Desktop Optimization Pack (MDOP) disponible pour les clients disposant d’une assurance logicielle. Elle complète la console de gestion des stratégies de groupe avec le contrôle des modifications et de meilleures capacités de gestion des GPO. AGPM 4.0 SP3 fonctionne sous Windows 10 est est basée sur une architecture client/serveur. Le service AGPM gère une archive qui stocke de manière centralisée les GPO contrôlés et leur historique. Les utilisateurs se connectent au service AGPM à l’aide du composant logiciel enfichable MMC.
Les utilisateurs d’AGPM peuvent enregistrer et retirer des GPO contrôlés, de la même manière qu’il est possible d’enregistrer et de retirer des documents dans un système de gestion des documents. Les administrateurs peuvent vérifier qui dispose des autorisations d’enregistrement et de retrait des GPO dans les archives, ce qui fait d’AGPM une solution robuste de contrôle des modifications pour la stratégie de groupe d’Active Directory. Pour empêcher les utilisateurs de contourner AGPM, les organisations doivent suivre les bonnes pratiques de sécurité de manière à garantir que le personnel informatique ne peut pas se servir de ses privilèges pour modifier les objets de stratégie de groupe dans le domaine sans passer par AGPM.
