GPO
Cet article montre comment un administrateur peut sécuriser tous les ordinateurs d'un domaine Microsoft Windows en utilisant uniquement les outils fournis en standard, à savoir :
- la console MMC ;
- le gestionnaire GPMC des objets de stratégies de groupe (GPO : Group policy Object) ;
- les modèles d'outils d'administration (fichier d'extension admx et adml) ;
- le jeu de stratégie résultant (pour tester ou simuler GPO)
Ouvrez la console MMC pour accéder à la gestion des stratégies de groupe (GPO) ; si le composant enfichable "gestion des stratégies de groupe" n'est pas installé, vous pouvez suivre la procédure décrite dans cet article ou exécuter directement le programme "gpedit.msc".
1 : Créer ou éditer une GPO
Sélectionnez dans votre domaine, l'unité d'organisation sur laquelle la GPO s'appliquera ( dans mon exemple, je choisis la totalité du domaine : Lurcat.lan)
Faites un clic droit sur cet objet (ici "lurcat.lan") et choisissez "créer un objet GPO dans le domaine et le lier ici"
Nommez l'objet créé (pour l'exemple, je le nomme : ma_GPO_exemple)
Cliquez sur l'objet "ma_GPO_exemple" qui est apparu dans la liste.
Faites un clic droit sur l'objet "ma_GPO_exemple" et cliquer sur "modifier" dans le menu contextuel
Maintenant l'éditeur de stratégie de groupe est ouvert.
Définissez maintenant vos configurations pour les ordinateurs ou pour les utilisateurs. Personnellement, je préfère pour avoir plus de clarté ne pas mélanger mes configurations dans une même GPO. Je crée des GPO spécialisées pour les ordinateurs et des GPO spécialisées pour les utilisateurs.
- lire dans cet article, la configuration qui paramètre Internet Explorer lorsque "ma GPO_exemple" s'applique
- lire dans cet article, la configuration qui paramètre les mise à jour automatique "ma GPO_exemple" s'applique
Ajoutez si nécessaire des outils d'adminstration suplémentaires que vous téléchargerez par exemple sur le site de Microsoft pour adapter la suite Office que vous utilisez.
- Les objets GPO en tête de la liste, ont la priorité la plus élevée, et sont traités en dernier.
- Ne pas passer outre empêche que les stratégies de l'objet GPO sélectionné soient écrasées par un autre objet GPO
2 : Appliquer une GPO
Dans un terminal MSDOS ou Powershell exécuter la commande "gpupdate" pour appliquer les GPO
gpudate /force permet de forcer l'actualisation les paramètres de stratégie de groupe
gpudate /boot permet de redémarrer l'ordinateur une fois l'actualisation terminée. Ce paramètre est obligatoire pour les éléments de stratégies de groupe qui sont appliquées au démarrage de l'ordinateur, telles que les stratégies d'installation de logiciel traitées au niveau de l'ordinateur. Cette option est sans effet si, parmi les extensions appelées, aucune n'exige le redémarrage de l'ordinateur.
La console RSop.msc (autonome) ou le composant GPMC de votre propre console permet de visualiser pour un ordinateur donné et pour un utilisateur donné l'ensemble des stratégies GPO qui sont appliquées.Attention cette console ne permet pas de visualiser les GPP
