Cet article montre comment un administrateur  peut sécuriser  tous les ordinateurs d'un domaine ( Windows 2003 - 2008) en utilisant uniquement les outils fournis en standard, à savoir :

   la console mmc ;
  le gestionnaire GPMC des objets de stratégies de groupe (GPO : Group policy Object et GPP : Group policy preference) et son éditeur;
 

les modèles d'outils d'administration (fichier d'extension admx et adml) :

  le jeu de stratégie résultant ( pour tester ou simuler  GPO et GPP)

Lancer votre console pour accéder à la gestion des stratégies de groupe (GPO) de votre console  MMC (si le composant enfichable "gestion des stratégies de groupe" n'est pas installé, vous pouvez suivre la procédure décrite dans cet article).

Sélectionnez l'objet correspondant à votre domaine.

1 : Créer ou éditer une GPO ( stratégie de groupe)

Faites un clic droit et choisissez "créer et lier un objet stratégie de groupe ici"
Nommez l'objet créé (pour l'exemple, je le nomme : ma_GPO_exemple)

 

Cliquez sur  l'objet "ma_GPO_exemple" qui est apparu dans la liste. Ajouter les objets sur lesquels cette GPO s'appliquera.
Faites un clic droit sur  l'objet "ma_GPO_exemple"  et cliquer sur "modifier" dans le menu contextuel

Maintenant l'éditeur de stratégie de groupe est ouvert.

La figure ci-contre montre  GPMC, l'éditeur de GPO pour la stratégie : ma_GPO_exemple.

Définissez maintenant vos configurations pour les ordinateurs ou pour les utilisateurs. Personnellement, je préfère pour avoir plus de clarté ne pas mélanger mes configurations dans une même GPO. Je crée des GPO spécialisées pour les ordinateurs et des GPO spécialisées pour les utilisateurs.

voir dans cet article, la configuration qui paramètre Internet Explorer lorsque "ma GPO_exemple" s'applique
voir dans cet article, la configuration qui paramètre les mise à jour automatique "ma GPO_exemple" s'applique

Ajoutez si nécessaire des outils d'adminstration suplémentaires que vous téléchargerez par exemple sur le site de Microsoft pour adapter la suite Office que vous utilisez.

 

 

 

2 : Appliquer une GPO

gpudate  : Permet d'actualiser les paramètres de stratégie de groupe
gpudate /boot  Permet de redémarrer l'ordinateur une fois l'actualisation terminée. Ce paramètre est obligatoire pour les éléments de stratégies de groupe qui sont appliquées au démarrage de l'ordinateur, telles que les stratégies d'installation de logiciel traitées au niveau de l'ordinateur. Cette option est sans effet si, parmi les extensions appelées, aucune n'exige le redémarrage de l'ordinateur.

La console RSop.msc (autonome) ou le composant GPMC de votre propre console permet de visualiser sur un ordinateur donné et pour un utilisateur donné l'ensemble des stratégies  GPO qui sont appliquées.Attention cette console ne permet pas de visualiser les GPP

Les objets GPO en tête de la liste, ont la priorité la plus élevée, et sont traités en dernier.
          Ne pas passer outre  empêche que les stratégies de l'objet GPO sélectionné soient écrasées par un autre objet GPO

 

 

Cliquer pour agrandir l'image

 

 

 
 

Remarque : si le composant n'est pas installé, dans la console mmc, développez le composant "Utilisateurs et ordinateurs Active directory" comme le montre la figure ci-dessous.

Faire un clic droit sur l'item représentant votre nom de domaine, cliquez sur propriétés.

Cliquez sur l'onglet "stratégie de groupe" dans le menu qui apparait. Si vous n'avez pas installé le composant enfichable "Gestion des stratégies de groupe", l'onglet affiche l'état ci-dessous sinon vous cliquez sur le bouton "ouvrir".

 

   
Nouveau Pour créer une nouvelle stratégie
Options  
Ajouter Ajouter un lien vers un objet stratégie existant dans une autre unité d'organisation
Supprimer Pour supprimer la stratégie sélectionnée ( en fait supprime le lien et non l'objet stratégie)
   
Modifier Pour modifier la stratégie sélectoinnée
Propriétés Pour établir la liste des objets sur lesquels portera la stratégie
Monter Pour déplacer la sélection vers le sommet de la liste
Descendre Pour déplacer la sélection vers le fond de la liste

Un clic sur les boutons "Nouveau" ou "Modifier", ouvre l'éditeur de stratégie de groupe.