GPO
Cet article montre comment un administrateur peut sécuriser tous les ordinateurs d'un domaine Microsoft Windows en utilisant uniquement les outils fournis en standard, à savoir :
la console MMC (Microsoft Management Console) ;
le gestionnaire GPMC des objets de stratégies de groupe (GPO : Group policy Object) ;
les modèles d'outils d'administration (fichier d'extension admx et adml) ;
Ouvrez la console MMC pour accéder à la gestion des stratégies de groupe (GPO) ; si le composant enfichable "gestion des stratégies de groupe" n'est pas installé, vous pouvez suivre la procédure décrite dans cet article ou exécuter directement le programme "gpedit.msc".
1 : Créer ou éditer une GPO
Sélectionnez dans votre domaine, l'unité d'organisation sur laquelle la GPO s'appliquera (dans mon exemple, je choisis la totalité du domaine : ie. Lurcat.lan)
Faites un clic droit sur cet objet (donc "lurcat.lan") et choisissez "créer un objet GPO dans le domaine et le lier ici".
Nommez l'objet créé (pour l'exemple, je le nomme : ma_GPO_exemple)
Cliquez sur l'objet "ma_GPO_exemple" qui est apparu dans la liste.
Faites un clic droit sur l'objet "ma_GPO_exemple" et cliquer sur "modifier" dans le menu contextuel apparu.
Maintenant l'éditeur de stratégie de groupe est ouvert.
Définissez maintenant vos configurations pour les ordinateurs ou pour les utilisateurs. Personnellement, je préfère ne pas mélanger mes différentes configurations dans une même GPO. Je crée des donc des GPO spécialisées pour les ordinateurs et des GPO spécialisées pour les utilisateurs.
Ajoutez si nécessaire des outils d’administration supplémentaires que vous téléchargerez par exemple sur le site de Microsoft pour adapter la suite Office que vous utilisez.
Les objets GPO en tête de la liste, ont la priorité la plus élevée, et sont traités en dernier.
"Ne pas passer outre" empêche que les stratégies de l'objet GPO sélectionné soient écrasées par un autre objet GPO.
2 : Appliquer une GPO
Dans un terminal MSDOS ou Powershell exécuter la commande "gpupdate" pour appliquer les GPO.
gpudate /force permet de forcer l'actualisation les paramètres de stratégie de groupe
gpudate /boot permet de redémarrer l'ordinateur une fois l'actualisation terminée. Ce paramètre est obligatoire pour les éléments de stratégies de groupe qui sont appliquées au démarrage de l'ordinateur, telles que les stratégies d'installation de logiciel traitées au niveau de l'ordinateur. Cette option est sans effet si, parmi les extensions appelées, aucune n'exige le redémarrage de l'ordinateur.
La console RSop.msc (autonome) ou le composant GPMC de votre propre console permet de visualiser pour un ordinateur donné et pour un utilisateur donné l'ensemble des stratégies GPO qui sont appliquées. Attention cette console ne permet pas de visualiser les GPP.
