Aller au contenu principal


GPO

Cet article montre comment un administrateur  peut sécuriser  tous les ordinateurs d'un domaine Microsoft Windows en utilisant uniquement les outils fournis en standard, à savoir :

   la console MMC ;
  le gestionnaire GPMC des objets de stratégies de groupe (GPO : Group policy Object ;
 

les modèles d'outils d'administration (fichier d'extension admx et adml) :

  le jeu de stratégie résultant (pour tester ou simuler  GPO)

Ouvrez la console MMC pour accéder à la gestion des stratégies de groupe (GPO) ; si le composant enfichable "gestion des stratégies de groupe" n'est pas installé, vous pouvez suivre la procédure décrite dans cet article ou exécuter directement le programme "gpedit.msc").
 

1 : Créer ou éditer une GPO

Sélectionnez dans votre domaine, l'unité d'organisation sur laquelle la GPO s'appliquera ( dans mon exemple, je choisis la totalité du domaine : Lurcat.lan)

Faites un clic droit sur cet objet (ici "lurcat.lan")  et choisissez "créer un objet GPO dans le domaine et le lier  ici"
Nommez l'objet créé (pour l'exemple, je le nomme : ma_GPO_exemple)

Cliquez sur  l'objet "ma_GPO_exemple" qui est apparu dans la liste.
Faites un clic droit sur  l'objet "ma_GPO_exemple"  et cliquer sur "modifier" dans le menu contextuel

Maintenant l'éditeur de stratégie de groupe est ouvert.

Cliquez pour agrandir l'image
Cliqier pour agrandir l'image

Définissez maintenant vos configurations pour les ordinateurs ou pour les utilisateurs. Personnellement, je préfère pour avoir plus de clarté ne pas mélanger mes configurations dans une même GPO. Je crée des GPO spécialisées pour les ordinateurs et des GPO spécialisées pour les utilisateurs.

Ajoutez si nécessaire des outils d'adminstration suplémentaires que vous téléchargerez par exemple sur le site de Microsoft pour adapter la suite Office que vous utilisez.

 

  1. Les objets GPO en tête de la liste, ont la priorité la plus élevée, et sont traités en dernier.
  2. Ne pas passer outre  empêche que les stratégies de l'objet GPO sélectionné soient écrasées par un autre objet GPO

2 : Appliquer une GPO

Dans un terminal MSDOS ou Powershell exécuter la commande "gpupdate" pour appliquer les GPO

gpudate /force permet de forcer l'actualisation les paramètres de stratégie de groupe
gpudate /boot  permet de redémarrer l'ordinateur une fois l'actualisation terminée. Ce paramètre est obligatoire pour les éléments de stratégies de groupe qui sont appliquées au démarrage de l'ordinateur, telles que les stratégies d'installation de logiciel traitées au niveau de l'ordinateur. Cette option est sans effet si, parmi les extensions appelées, aucune n'exige le redémarrage de l'ordinateur.

La console RSop.msc (autonome) ou le composant GPMC de votre propre console permet de visualiser pour un ordinateur donné et pour un utilisateur donné l'ensemble des stratégies  GPO qui sont appliquées.Attention cette console ne permet pas de visualiser les GPP

Cliquez pour agrandir l'image