Aller au contenu principal


GPO : Stratégie de Groupe

Cet article montre comment un administrateur peut sécuriser tous les ordinateurs d'un domaine Microsoft Windows en utilisant uniquement les outils fournis en standard, à savoir :

Billet créé le :
23 nov 2020

Ouvrez la console MMC pour accéder à la gestion des stratégies de groupe (GPO) ; si le composant enfichable "gestion des stratégies de groupe" n'est pas installé, vous pouvez suivre la procédure décrite dans cet article ou exécuter directement le programme "gpedit.msc". 
 

1 : Créer ou éditer une GPO

Sélectionnez dans votre domaine, l'unité d'organisation sur laquelle la GPO s'appliquera (dans mon exemple, je choisis la totalité du domaine : ie. Lurcat.lan)

Faites un clic droit sur cet objet (donc "lurcat.lan")  et choisissez "créer un objet GPO dans le domaine et le lier  ici".
Nommez l'objet créé (pour l'exemple, je le nomme : ma_GPO_exemple)

Cliquez sur  l'objet "ma_GPO_exemple" qui est apparu dans la liste.
Faites un clic droit sur  l'objet "ma_GPO_exemple"  et cliquer sur "modifier" dans le menu contextuel apparu.

Maintenant l'éditeur de stratégie de groupe est ouvert.

Cliquez pour agrandir l'image

Cliqier pour agrandir l'image

Définissez maintenant vos configurations pour les ordinateurs ou pour les utilisateurs. Personnellement, je préfère ne pas mélanger mes différentes configurations dans une même GPO. Je crée des donc des GPO spécialisées pour les ordinateurs et des GPO spécialisées pour les utilisateurs.

Ajoutez si nécessaire des outils d’administration supplémentaires que vous téléchargerez par exemple sur le site de Microsoft pour adapter la suite Office que vous utilisez.

 

  1. Les objets GPO en tête de la liste, ont la priorité la plus élevée, et sont traités en dernier.

  2. "Ne pas passer outre"  empêche que les stratégies de l'objet GPO sélectionné soient écrasées par un autre objet GPO.

2 : Appliquer une GPO

Dans un terminal MSDOS ou Powershell exécuter la commande "gpupdate" pour appliquer les GPO.

  • gpudate /force permet de forcer l'actualisation les paramètres de stratégie de groupe
    gpudate /boot  permet de redémarrer l'ordinateur une fois l'actualisation terminée. Ce paramètre est obligatoire pour les éléments de stratégies de groupe qui sont appliquées au démarrage de l'ordinateur, telles que les stratégies d'installation de logiciel traitées au niveau de l'ordinateur. Cette option est sans effet si, parmi les extensions appelées, aucune n'exige le redémarrage de l'ordinateur.

La console RSop.msc (autonome) ou le composant GPMC de votre propre console permet de visualiser pour un ordinateur donné et pour un utilisateur donné l'ensemble des stratégies  GPO qui sont appliquées. Attention cette console ne permet pas de visualiser les GPP.

Cliquez pour agrandir l'image