La stratégie de groupe est une technologie de gestion d’Active Directory pour Windows qui centralise les paramètres de configuration. Ce n’est pas la seule solution disponible pour cet usage, le Service de configuration de l’état souhaité PowerShell (DSC) et la Gestion des appareils mobiles (MDM) peuvent également faire l’affaire. La stratégie de groupe est la technologie recommandée pour les appareils clients liés à un domaine, car elle offre un contrôle plus granulaire que les autres solutions.
Console de gestion des stratégies de groupe
Les paramètres de la stratégie de groupe sont configurés dans les objets de stratégie de groupe (GPO). Vous pouvez associer des GPO à des domaines, des sites et des unités d’organisation (OU). Pour un contrôle plus poussé, les GPO peuvent être appliqués en fonction des résultats des filtres de l’Infrastructure de gestion Windows (WMI), bien que ceux-ci doivent être utilisés avec parcimonie car ils peuvent augmenter considérablement le temps de traitement des stratégies.
La console de gestion des stratégies de groupe (GPMC) est un outil intégré d’administration Windows qui permet aux administrateurs de gérer les stratégies de groupe dans une forêt Active Directory et d’obtenir des données pour résoudre des problèmes liés aux stratégies de groupe. La console de gestion des stratégies de groupe se trouve dans le menu Outils du Gestionnaire de serveur Microsoft Windows. Il n’est pas recommandé d’utiliser les contrôleurs de domaine pour les tâches de gestion quotidiennes, vous devez donc installer les outils d’administration de serveur distant (RSAT) correspondant à votre version de Windows.
Installer la console de gestion des stratégies de groupe
Si vous utilisez Windows 10 version 1809 ou ultérieure, vous pouvez installer la GPMC à l’aide de l’application Paramètres :
- Ouvrez l’application Paramètres (Win+I).
- Dans les Paramètres Windows, cliquez sur Applications.
- Cliquez sur « Gérer les fonctionnalités facultatives ».
- Cliquez sur + Ajouter une fonctionnalité.
- Cliquez sur « RSAT : Outils de gestion des stratégies de groupe », puis cliquez sur Installer.
Figure 1. Installation de la console de gestion des stratégies de groupe à l’aide de l’interface de l’application Paramètres
Si vous utilisez une ancienne version de Windows, téléchargez la version adéquate de RSAT sur le site de Microsoft.
Pour plus de commodité, vous pouvez également installer le gestionnaire de serveur. Mais si vous choisissez de ne pas le faire, vous pouvez ajouter la GPMC à une console de gestion Microsoft (MMC) et sauvegarder la console.
Utiliser la console de gestion des stratégies de groupe
Chaque domaine AD comporte deux GPO par défaut :
- La stratégie de domaine par défaut, liée au domaine
- La stratégie des contrôleurs de domaine par défaut, liée à l’OU du contrôleur de domaine
Vous pouvez afficher tous les GPO d’un domaine en cliquant sur le conteneur « Objets de stratégie de groupe » dans le volet gauche de la GPMC.
Figure 2. Interface de la console de gestion des stratégies de groupe
Créer un nouvel objet de stratégie de groupe
Ne modifiez ni la stratégie des contrôleurs de domaine par défaut ni la stratégie de domaine par défaut. Le meilleur moyen d’ajouter vos propres paramètres est de créer un nouveau GPO. Il existe deux manières de créer un nouveau GPO :
- Cliquez avec le bouton droit sur le domaine, le site ou l’OU auquel vous voulez lier le nouveau GPO et sélectionnez « Créer un GPO dans ce domaine, et le lier ici… ». Lorsque vous enregistrez le nouveau GPO, celui-ci est lié et activé immédiatement.
- Cliquez avec le bouton droit sur le conteneur « Objets de stratégie de groupe » et sélectionnez Nouveau dans le menu. Vous devez lier manuellement le nouveau GPO en cliquant avec le bouton droit sur un domaine, un site ou une OU et en sélectionnant « Lier un GPO existant ». Vous pouvez faire cela à tout moment.
Quelle que soit la façon dont vous créez le nouveau GPO, dans la boîte de dialogue « Nouveau GPO », vous devez donner un nom au GPO et vous pouvez choisir de le baser sur un GPO existant. La prochaine section vous renseignera sur les autres options.
Modifier un objet de stratégie de groupe
Pour modifier un GPO, cliquez avec le bouton droit sur celui-ci dans la GPMC et sélectionnez Modifier dans le menu. L’éditeur de gestion des stratégies de groupe Active Directory s’ouvrira dans une fenêtre distincte.
Figure 3. Interface de l’éditeur de gestion des stratégies de groupe
Les GPO sont divisés en paramètres d’ordinateur et d’utilisateur. Les paramètres d’ordinateur sont appliqués au démarrage de Windows, et les paramètres d’utilisateur sont appliqués lorsqu’un utilisateur se connecte. Le traitement en arrière-plan de la stratégie de groupe applique périodiquement les paramètres si une modification est détectée dans un GPO.
Stratégies et préférences
Les paramètres d’utilisateur et d’ordinateur sont divisés en stratégies et préférences :
- Les stratégies ne s’inscrivent pas dans le registre – lorsqu’un paramètre d’un GPO est modifié ou que le GPO n’est plus applicable, le paramètre de la stratégie est supprimé et la valeur originale est utilisée à la place. Les paramètres de stratégie prévalent toujours sur les paramètres de configuration des applications, ils sont grisés afin que les utilisateurs ne puissent pas les modifier.
- Les préférences s’inscrivent par défaut dans le registre, mais ce comportement est configurable pour chaque paramètre de préférence. Les préférences écrasent les paramètres de configuration des applications, mais les utilisateurs peuvent toujours modifier les éléments de configuration. De nombreux éléments configurables des préférences de stratégie de groupe pouvaient auparavant être configurés à l’aide d’un script de connexion, comme le mappage des lecteurs et la configuration de l’imprimante.
Vous pouvez développer les stratégies ou les préférences afin de configurer leurs paramètres. Ces paramètres seront ensuite appliqués aux objets d’ordinateur et d’utilisateur qui entrent dans le périmètre du GPO. Si, par exemple, vous liez votre nouveau GPO à l’OU du contrôleur de domaine, les paramètres seront appliqués aux objets d’ordinateur et d’utilisateur situés dans cette OU et dans toute OU enfant. Vous pouvez utiliser le paramètre « Bloquer l’héritage » sur un site, un domaine ou une OU pour empêcher les GPO liés à des objets parents d’être appliqués à des objets enfants. Vous pouvez également activer l’indicateur « Appliqué » des GPO individuels, ce qui annule le paramètre « Bloquer l’héritage » et tous les éléments de configuration des GPO qui ont une priorité plus élevée.
Priorité à des GPO
Plusieurs GPO peuvent être liés à des domaines, des sites et des OU. Lorsque vous cliquez sur l’un de ces objets dans la GPMC, une liste des GPO liés s’affiche à droite dans l’onglet « Objets de stratégie de groupe liés ». Si plusieurs GPO sont liés, les GPO dont le lien porte un numéro d’ordre supérieur ont la priorité sur les paramètres configurés dans les GPO dont le numéro est inférieur.
Vous pouvez changer le numéro d’ordre du lien en cliquant sur un GPO et en vous servant des flèches à gauche pour le déplacer vers le haut ou vers le bas. L’onglet Héritage de stratégie de groupe affichera tous les GPO appliqués, y compris ceux qui sont hérités des objets parents.
Figure 4. Informations sur tous les GPO appliqués dans la GPMC
Gestion avancée des stratégies de groupe
La gestion avancée des stratégies de groupe (AGPM) fait partie du Microsoft Desktop Optimization Pack (MDOP) disponible pour les clients disposant d’une assurance logicielle. À la différence de la GPMC, l’AGPM est une application client/serveur dans laquelle le composant serveur stocke les GPO hors ligne, avec notamment un historique pour chaque GPO. Les GPO gérés par l’AGPM sont appelés « GPO contrôlés », car ils sont gérés par le service AGPM, et les administrateurs peuvent les contrôler en entrée et en sortie, un peu comme vous pouvez contrôler des fichiers ou des codes en entrée et en sortie de GitHub ou d’un système de gestion de documents.
L’AGPM offre un meilleur contrôle sur les GPO que la GPMC. En plus du contrôle de version, il vous permet d’attribuer des rôles tels que réviseur, éditeur et approbateur aux administrateurs de la stratégie de groupe, ce qui vous permet de mettre en place un contrôle strict des modifications tout au long du cycle de vie du GPO. Les fonctionnalités d’audit de l’AGPM permettent également de mieux comprendre les modifications apportées à la stratégie du groupe.