GPO -GPP
- 8 vues
Cet article montre comment un administrateur peut sécuriser tous les ordinateurs d'un domaine ( Windows 2003 - 2008) en utilisant uniquement les outils fournis en standard, à savoir :
| la console mmc ; | |
| le gestionnaire GPMC des objets de stratégies de groupe (GPO : Group policy Object et GPP : Group policy preference) et son éditeur; | |
|
les modèles d'outils d'administration (fichier d'extension admx et adml) : |
|
| le jeu de stratégie résultant ( pour tester ou simuler GPO et GPP) |
Lancer votre console pour accéder à la gestion des stratégies de groupe (GPO) de votre console MMC (si le composant enfichable "gestion des stratégies de groupe" n'est pas installé, vous pouvez suivre la procédure décrite dans cet article).
Sélectionnez l'objet correspondant à votre domaine.
1 : Créer ou éditer une GPO ( stratégie de groupe)
Faites un clic droit et choisissez "créer et lier un objet stratégie de groupe ici"
Nommez l'objet créé (pour l'exemple, je le nomme : ma_GPO_exemple)
Cliquez sur l'objet "ma_GPO_exemple" qui est apparu dans la liste. Ajouter les objets sur lesquels cette GPO s'appliquera.
Faites un clic droit sur l'objet "ma_GPO_exemple" et cliquer sur "modifier" dans le menu contextuel
Maintenant l'éditeur de stratégie de groupe est ouvert.
La figure ci-contre montre GPMC, l'éditeur de GPO pour la stratégie : ma_GPO_exemple.
Définissez maintenant vos configurations pour les ordinateurs ou pour les utilisateurs. Personnellement, je préfère pour avoir plus de clarté ne pas mélanger mes configurations dans une même GPO. Je crée des GPO spécialisées pour les ordinateurs et des GPO spécialisées pour les utilisateurs.
voir dans cet article, la configuration qui paramètre Internet Explorer lorsque "ma GPO_exemple" s'applique
voir dans cet article, la configuration qui paramètre les mise à jour automatique "ma GPO_exemple" s'applique
Ajoutez si nécessaire des outils d'adminstration suplémentaires que vous téléchargerez par exemple sur le site de Microsoft pour adapter la suite Office que vous utilisez.
Cliquer pour agrandir l'image
2 : Appliquer une GPO
gpudate : Permet d'actualiser les paramètres de stratégie de groupe
gpudate /boot Permet de redémarrer l'ordinateur une fois l'actualisation terminée. Ce paramètre est obligatoire pour les éléments de stratégies de groupe qui sont appliquées au démarrage de l'ordinateur, telles que les stratégies d'installation de logiciel traitées au niveau de l'ordinateur. Cette option est sans effet si, parmi les extensions appelées, aucune n'exige le redémarrage de l'ordinateur.
La console RSop.msc (autonome) ou le composant GPMC de votre propre console permet de visualiser sur un ordinateur donné et pour un utilisateur donné l'ensemble des stratégies GPO qui sont appliquées.Attention cette console ne permet pas de visualiser les GPP
Les objets GPO en tête de la liste, ont la priorité la plus élevée, et sont traités en dernier.
Ne pas passer outre empêche que les stratégies de l'objet GPO sélectionné soient écrasées par un autre objet GPO
Remarque : si le composant n'est pas installé, dans la console mmc, développez le composant "Utilisateurs et ordinateurs Active directory" comme le montre la figure ci-dessous.
Faire un clic droit sur l'item représentant votre nom de domaine, cliquez sur propriétés.
Cliquez sur l'onglet "stratégie de groupe" dans le menu qui apparait. Si vous n'avez pas installé le composant enfichable "Gestion des stratégies de groupe", l'onglet affiche l'état ci-dessous sinon vous cliquez sur le bouton "ouvrir".
|
Un clic sur les boutons "Nouveau" ou "Modifier", ouvre l'éditeur de stratégie de groupe. |
