EPFL > VPSI > IT > EXAPP - Site d'information: WinAD (Windows Active Directory)
 

  Affiche tous les articles

 Mode d'emploi du moteur de recherche  Rechercher : 
Moteur de recherche
Home page
Accréditation
Activation MS
AD c'est quoi ?
AD PowerShell
Authentifications
Autorisations DHCP
bugs
Conseils AD
DCs Sécurité
Délégations OUs
Domaine SC
Gaspar
GPO
· Group Policy Quick Link Tree
· Vista GPO
· Déléguer la gestion des services
· Présentation des stratégies de groupe
· Mise à jour éditeur GPO
· Outil pour check GPO = GPMC
· A Propos des deux GPOs par Défaut d'un domaine
Grp-Staff
KMS
Migrations
Outils
Procès verbaux
Profiles Itinérants
PWAD
Règles de nommage
Restaurations DC Fac
ServerAD2003
ServerAD2008
Seven
Students
synchro
toto1
Trucs et Astuces
Win 8.1
WinAD
Windows 10
Windows 8
Windows Server
Wins
Work Shop
  Afficher une version imprimable de ce document dans une nouvelle fenêtre
 
Présentation des stratégies de groupe
 

Les stratégies de groupe ou les stratégies systèmes permettent de configurer administrativement des restrictions ou des paramètres à appliquer sur tel ou tel ordinateur, sur tel ou tel compte utilisateur.

Sous Windows NT4, les stratégies systèmes étaient implémentées par le biais de l’outil POLEDIT, qui permettait de créer un fichier config.pol. Ce fonctionnement reste d’actualité pour les NT4 membres d’un domaine Active Directory (et ce fichier sera placé dans le répertoire partagé NETLOGON).

Les stratégies de groupe (GPO), quant à elles, n’ont un effet que sur les ordinateurs fonctionnant sous Windows 2000 ou ultérieur. Leur fonctionnement est tout à fait différent. Elles sont à la fois détaillées et souples et permettent de configurer les différents paramètres de façon très précise.

Les GPO ne peuvent être appliqués qu’à des conteneurs : un site, un domaine ou une OU. Leur contenu aura effet sur les comptes d’ordinateurs et d’utilisateurs contenus dans le conteneur concerné, et ses enfants par héritage.


L’ordre d’application, du moins prioritaire au plus prioritaire, est globalement du plus éloigné au plus proche, à l’exception de la stratégie locale présente sur chaque ordinateur, qui est la moins prioritaire :

Local –> Site –> Domaine du plus lointain au plus proche–> OU de la plus lointaine à la plus proche

Chacun des multiples paramètre d’une GPO peut être configuré ou pas. Si un paramètre n’est pas configuré, il ne provoque pas de conflit.
Si des paramètres configurés entrent en conflit, l’échelle de priorité précédente détermine le paramètre à appliquer.
Si vous appliquez directement plusieurs GPO sur une OU, la GPO la plus élevée (la première) est la plus prioritaire ; la dernière, la moins prioritaire.

Héritage des stratégies de groupe

Les GPO appliquées à des sites ne sont pas concernées puisque les sites ne sont pas organisés hiérarchiquement.

Par défaut :
- Les GPO appliquées à un domaine sont héritées de domaine père en domaines fils.
- Les GPO appliquées à une OU sont héritées d’OU mère en OU filles.

Exceptions :
Elles sont deux, configurables pour chaque conteneur (Domaine ou OU) :
- Bloquer l’héritage : Si cette case est cochée, aucune GPO supérieure ne sera héritée par ce conteneur.
- Ne pas passer outre : Si une GPO dispose de ce paramètre, elle sera malgré tout obligatoirement héritable par les conteneurs inférieurs, même si ceux-ci sont configurés pour bloquer l’héritage.

in English:

No override "Enforced" in GPMC

l'OU qui a un no override ne reçoit pas d'héritage des parents.

block inheritance

Si on bloque l'héritage sur l'OU1, les enfants n'héritent pas des GPOs de l'OU1 ni de celles des parents de l'OU1.
Si on a un no override sous un block inhéritance, le block inhéritance continue en-dessous du no override.
 
Cas particulier : Certains paramètres font exception à l’ordre d’application et aux possibilités d’héritage. Les paramètres de mots de passe (longueur, complexité) et de verrouillage de compte sont définis une seule fois pour tout le domaine dans la première GPO du domaine. Pour ces paramètres, aucun blocage n’est possible dans le domaine. Si ces paramètres sont définis à un autre emplacement, ils n’ont aucun effet.

Application des stratégies de groupe

Si les GPO peuvent être appliquées uniquement à des conteneurs, elles ont avant tout pour objectif d’être prises en compte par des comptes d’utilisateurs et/ou des comptes d’ordinateur.
C’est pourquoi les GPO peuvent faire l’objet d’un filtrage : chaque GPO est associée à une ACL (Liste d’accès) qui permet de déterminer quels seront les comptes qui seront ou pas concernés, dans le ou les conteneurs.

Note : Il est pratique d’utiliser un groupe pour effectuer un tel filtrage plutôt que d’attribuer des permissions pour chaque objet. Cependant, vous devrez utiliser de préférence des groupes globaux.

Application des GPO selons les objets :

-Pour les comptes utilisateurs : Les comptes sur lesquels la GPO prend effet doivent avoir les permissions Lire et Appliquer la Stratégie, ou faire partie du groupe approprié. Par défaut le groupe « Utilisateurs authentifiés » dispose de ces permissions dans l’ACL d’une GPO, donc par défaut une GPO est valable pour tous les utilisateurs.

- Pour les comptes de machine : La GPO est valable pour tous les comptes de machine par défaut (y compris les contrôleurs de domaine) dans les conteneurs concernés. Les machines qui ne doivent pas être concernées par la GPO (ou leur groupe) doivent faire l’objet d’une permission « Refuser l’application ».


Précision : il semble contradictoire d’indiquer que les GPO ne s’appliquent qu’à des conteneurs alors que la permission « Appliquer la GPO » existe pour les utilisateurs, ordinateurs et groupes. En fait, la GPO s’applique sur un conteneur, et les objets ordinateurs/utilisateurs appliquent la GPO.

GPO par défaut

Chaque domaine dispose d’une GPO vide par défaut, ainsi que d’une GPO sur le conteneur Contrôleurs de Domaine (qui interdit notamment aux simples utilisateurs de se loguer sur les Contrôleurs de Domaine).

Contenu des GPO

Une GPO est divisée en deux parties : Ordinateur et Utilisateur.
Les paramètres de chacune des parties permettent de configurer de nombreux éléments de l’environnement utilisateur, de la sécurité, du fonctionnement de l’ordinateur…

Scripts

Les GPO permettent en outre de spécifier des scripts de démarrage (exécutés par l’ordinateur au lancement de Windows, avant tout login), ainsi que des scripts d’ouverture de session (exécutés au login de l’utilisateur). Les scripts d’ouverture de session permettent notamment de créer des lecteurs réseau (lettre de lecteur associée en réalité à un partage réseau) en fonction des utilisateurs et des groupes.

Par défaut les scripts de démarrage s’exécutent en mode synchrone (les uns après les autres, et aucun login n’est possible avant la fin de leur exécution) et de façon invisible.
En revanche, toujours par défaut, les scripts d’ouverture de session s’exécutent en mode asynchrone (tous en même temps au login) mais restent invisibles.

Vous devez placer les scripts sur n’importe quel DC du domaine (grâce à la réplication), dans le sous répertoire du domaine destiné aux scripts, situé dans le partage SYSVOL.

Les deux parties des GPO

Il n’est pas rare que seuls certains paramètres d’une GPO soient configurés.
Si les objets présents dans le conteneur (OU) et ses enfants sont des ordinateurs, la partie Utilisateur de la GPO n’est pas utilisée. Si les objets sont des utilisateurs, c’est la partie Ordinateur qui est inutilisée. Si les deux types d’objet existent, chaque partie de la GPO configure uniquement le type d’objet qui lui correspond.

Ainsi, sur un ordinateur avec un utilisateur logué, se trouvent simultanément appliquées :
- par l’ordinateur, les parties Ordinateur des GPO reçues par le compte ordinateur, en fonction de l’emplacement de ce compte dans Active Directory.
- par l’utilisateur, les parties Utilisateurs des GPO reçues par le compte utilisateur, en fonction de l’emplacement de ce compte dans Active Directory.

Il est clair ici que les paramètres Utilisateur d’une GPO ne sont utilisables que s’ils sont appliqués par un objet utilisateur. Les paramètres Utilisateur ne peuvent pas provenir d’une GPO appliquée uniquement par des comptes d’ordinateurs.

Cependant, vous pouvez vouloir modifier ce fonctionnement, dans le cas où la machine est dans un environnement peu sûr (Kiosque, accès libre, laboratoire…). Le paramètre de GPO « Bouclage » permet à l’ordinateur de prendre lui-même en compte la partie Utilisateur de la GPO qu’il utilise ; ces paramètres supplantent voire éliminent totalement les paramètres de GPO normalement appliquée par le login de l’utilisateur. Ainsi vous pourrez facilement définir pour un ordinateur un environnement utilisateur qui sera par exemple très limité, quel que soit l’utilisateur logué.

Techniquement, il est intéressant de rappeler qu’en réalité ce sont les ordinateurs eux-mêmes qui lisent les GPO reçues depuis les DC, et mettent en oeuvre leurs paramètres en fonction de toutes ces règles, pour eux-mêmes et pour les utilisateurs qui se loguent. Cela explique du reste que NT4 ou les autres anciens systèmes ne puissent en bénéficier.

Délai d’application

Par défaut les ordinateurs vérifient qu’ils utilisent la dernière version des GPO toutes les 90 minutes environ (+/- 0 à 30 minutes aléatoires). Ce paramètre est configurable dans la GPO elle-même.On peut dire encore que tout les 16 heures les GPOs sont réappliquées.(paramètres modifiables ainsi que d'autres; Regedit)

Vous pouvez forcer le rafraîchissement sur chaque machine en utilisant les commandes suivantes (l’une pour les paramètres d’ordinateur, l’autre pour les paramètres utilisateurs) :

Secedit /refresh machine_policy (W2000)
Secedit /refresh user_policy (W2000)

Gpupdate (W2003)

Déploiement d’applications

Les GPO permettent de mettre en place des stratégies d’une façon centralisée, mais également de déployer des applications grâce au service Windows Installer de Windows 2000. Ce déploiement peut s’effectuer sans aucune intervention de l’utilisateur lors de l’installation.

Plusieurs types de fichiers sont gérés par Windows Installer :

.MSI

Installation : les packages .MSI contiennent une application à déployer ou installable directement

.MSP

Patch : ce fichier permet de mettre à jour une installation d’un package .MSI

.MST

Tranform : ce fichier permet de modifier les options d’installations et la configuration des .MSI à déployer

.ZAP

Ce fichier texte contient des informations permettant le déploiement par Windows Installer d’applications qui ne se présentent pas sous la forme d’un .MSI.
► Ce type d’application ne peut pas être assigné mais uniquement publié.
► L’intervention de l’utilisateur est généralement requise à l’installation.

Le déploiement d’application comprend plusieurs possibilités ; il peut s’effectuer pour des ordinateurs ou des utilisateurs, et comprend deux modes différents : Publication et Assignation. Pour effectuer le déploiement, vous devez placer le package dans un répertoire partagé (dont vous devez vérifier les permissions) puis créer ou modifier une GPO pour le déploiement.

Ce tableau regroupe les différents éléments propres à chaque type de déploiement :

 

Assignation

Publication

Ordinateur

L’application est installée au démarrage de l’ordinateur avant qu’un utilisateur puisse se connecter.
Tous les utilisateurs y auront accès.

Impossible

Utilisateur

L’application n’est pas installée immédiatement. Seul l’utilisateur y aura accès.

 

L’icône dans le menu démarrer et les associations de fichiers sont créées au login.

L’installation est lancée si l’utilisateur :
- clique sur l’icône de l’application présente dans le menu démarrer.
- double-clique sur un fichier dont l’extension est associée à l’application.

L’application n’est pas installée immédiatement. Seul l’utilisateur y aura accès.

 

L’application figure dans la console « Ajout/Suppression d’applications » de l’ordinateur sur lequel l’utilisateur se connecte.


L’application peut être installée par l’utilisateur s’il lance l’installation par cette console.

Vous noterez que les applications publiées ou assignées à des utilisateurs ne sont pas réellement installées avant que l’utilisateur lance directement (Publication) ou indirectement (Assignation) l’installation.

Les applications assignées se réparent automatiquement si elles sont endommagées.
Au niveau de la GPO, il est possible de mettre à jour le .MSI, les installations déjà effectuées seront alors automatiquement mises à jour.

Vous pouvez supprimer le package de la GPO selon deux modes : suppression forcée des installations déjà réalisées, ou suppression optionnelle qui laisse en place celles-ci. Dans tous les cas, le package ne sera plus disponible pour de nouvelles installations.

Note : Vous pouvez déployer les Service Pack Microsoft pour Windows de cette façon, mais uniquement par l’assignation sur ordinateur

Article N° 111, du 17.11.2005, par Alain Gremaud
URL de cet article : http://winad.epfl.ch/?article=111

© 2017 VPSI - EXAPP - TC