Gestion des objets de stratégie de groupe : Créer des GPO, Lier des GPO et Modifier des GPO

Si vous êtes un professionnel de l’informatique travaillant avec Active Directory, vous pouvez utiliser Group Policy pour configurer les environnements Windows des ordinateurs de vos utilisateurs et de vos serveurs d’entreprise en utilisant des objets de stratégie de groupe (GPO). Cependant, la lutte pour atteindre un environnement intuitif et sécurisé est bien réelle. Dans cet article, je vais expliquer comment créer une GPO, et comment les lier, les supprimer et les désactiver. Une fois terminé, vous devriez mieux comprendre les subtilités du merveilleusement complexe monde des stratégies de groupe.

Travailler avec les GPO

Il existe deux façons de travailler avec les GPO : vous pouvez soit utiliser l’Éditeur de stratégie de groupe local pour ajuster les politiques sur un ordinateur local, soit utiliser la Console de gestion des stratégies de groupe (GPMC) pour travailler sur votre environnement d’entreprise. Parce que les politiques locales sont traitées en premier (avant les politiques de domaine) et pour maintenir et concevoir un environnement robuste, nous nous concentrerons sur le scénario d’entreprise dans cet article.

Installation de l’outil RSAT Group Policy

La Console de gestion des stratégies de groupe fait partie de l’outil traditionnel Outil d’administration de serveur distant (RSAT). C’est un outil basé sur MMC (Microsoft Management Console) installé avec l’application Paramètres Windows moderne dans Windows. Je vais vous montrer comment l’installer ensuite.

Sur un contrôleur de domaine (DC), les paramètres des stratégies de groupe sont stockés dans le dossier partagé ‘SYSVOL’ et répliqués vers tous les autres DC du domaine (et de la forêt, si vous êtes configuré de cette manière). Cela décrit la redondance intégrée de l’infrastructure des stratégies de groupe.

Pour vous montrer comment installer l’outil Console de gestion des stratégies de groupe, je vais utiliser mon laboratoire Hyper-V exécutant un domaine Active Directory Windows Server 2022. Je me suis connecté à mon poste de travail Windows 10 version 22H2, alors commençons :

• Tout d’abord, cliquez sur le bouton Démarrer et tapez  » optionnel « .

• Cliquez sur  » Gérer les fonctionnalités facultatives  » et cliquez sur le bouton  » + Ajouter une fonctionnalité  » en haut.
• Faites défiler vers le bas et cochez  » RSAT : Outils de gestion des stratégies de groupe  » et cliquez sur Installer.

• Une fois que c’est terminé, cliquez sur Démarrer et ouvrez  » Outils d’administration de Windows « .
• Double-cliquez sur  » Gestion des stratégies de groupe « .

Maintenant, nous voyons la console de gestion des stratégies de groupe. Ici, nous découvrons la structure globale de la manière dont les stratégies de groupe sont organisées et comment vous pouvez cibler des entités logiques spécifiques dans votre organisation.

À ce stade, les professionnels de l’informatique, avec la consultation de leurs équipes de sécurité et de conformité, peuvent faire ce qui suit :

• Modifier les objets de stratégie de groupe (GPO) existants
• Créer de nouveaux GPO
• Modifier le filtrage de GPO spécifiques au niveau d’un groupe
• Utilisez Filtrage WMI pour cibler des ordinateurs spécifiques
• Utilisez la modélisation des stratégies de groupe et les résultats pour « tester » ou effectuer des scénarios « What-If »

Ensuite, nous allons commencer par créer une nouvelle GPO.

Créer une GPO

Créons un nouveau paramètre qui démontrera comment modifier les ordinateurs de vos utilisateurs d’une autre manière.

• Tout d’abord, je vais cliquer avec le bouton droit sur « Ordinateurs Windows de domaine » et cliquer sur « Créer une GPO dans ce domaine, et la lier ici… »

• I will name it ‘Start Menu Cleanup‘ and click OK.

• Ensuite, je vais cliquer avec le bouton droit sur la nouvelle GPO et cliquer sur Modifier.

• Parcourons Configuration de l’ordinateur -> Stratégies -> Modèles d’administration -> Menu Démarrer et Barre des tâches.

• Ici, je vais double-cliquer sur Supprimer et empêcher l’accès aux commandes Arrêter, Redémarrer, Mettre en veille et Hiberner.

• Après avoir lu l’Aide, je vais basculer sur Activé et cliquer sur OK.

Maintenant, veuillez noter que ce paramétrage est désormais actif dans l’environnement. Chaque objet informatique dans cette unité d’organisation verra ces paramètres lors du prochain rafraîchissement. Par défaut, les ordinateurs et serveurs de domaine traiteront la stratégie de groupe toutes les 90 minutes avec un décalage aléatoire de 30 minutes. Cependant, lors des tests (et du dépannage), la commande gpresult est votre alliée.

Vous pouvez également forcer la mise à jour de la stratégie de groupe sur l’ordinateur en exécutant la commande gpupdate dans votre terminal/shell préféré. Cela traitera tous les changements de la stratégie de groupe pour l’ordinateur et l’utilisateur connecté. L’option « /force » force les changements sans demander d’approbation.

gpupdate /force

Ok, les changements ont maintenant été traités. Permettez-moi de cliquer avec le bouton droit sur le bouton Démarrer et d’aller dans le menu Arrêter ou se déconnecter, et… ça a marché ! Les éléments que nous avons configurés pour être supprimés sont maintenant masqués.

Cette modification assez simple empêche vos utilisateurs de redémarrer ou d’éteindre leurs ordinateurs. Évidemment, il y a beaucoup de variables et de scénarios d’utilisation pour des paramètres comme celui-ci. C’est idéal dans certaines situations et douloureux dans d’autres. C’est l’équilibre que vous traverserez en tant que professionnel de l’informatique pour décider ce qui fonctionne le mieux pour votre organisation.

Link GPO

Laissez-moi vous montrer comment lier un GPO existant à un emplacement spécifique dans l’Active Directory. Dans une vie antérieure, j’ai créé un GPO appelé « Sécurisation des contrôleurs de domaine ». Les paramètres de ce GPO contiennent des normes de conformité en matière de sécurité pour les contrôleurs de domaine selon les directives de notre entreprise. Je peux facilement lier ces nouveaux paramètres aux DC de mon domaine – reinders.local.

• Tout d’abord, je clique droit sur l’OU Contrôleurs de domaine et je sélectionne Lier un GPO existant.

• Ensuite, je vais choisir Sécurisation des contrôleurs de domaine dans la liste et cliquer sur OK.

Maintenant, vous pouvez voir que le GPO est lié aux contrôleurs de domaine. La prochaine fois que nos DC vérifieront les mises à jour des stratégies de groupe, ils traiteront les paramètres de ce GPO. C’est là toute la beauté du contrôle central que vous avez. Créez et configurez un ensemble de paramètres une fois, puis déployez-le (liez-le) facilement à un conteneur dans votre environnement. Vous avez terminé !

Modifier un GPO existant

Jetons un coup d’œil à mon domaine – reinders.local – et voyons ce que nous avons.

Comme il s’agit d’un laboratoire, c’est plutôt basique, presque primitif. Dans les grandes entreprises, il n’est pas rare de découvrir des centaines voire des milliers de GPO dans un seul domaine. La complexité de l’héritage de certaines GPO, l’utilisation de WMI pour cibler des systèmes d’exploitation spécifiques, la gestion des GPO locales, des UO enfants et des stratégies locales dans le mélange – tout cela peut être assez intimidant.

Accessoirement, le simple nombre de GPO dans votre domaine commencera à dicter certaines pénalités de performances globales lorsque les ordinateurs démarrent et lorsque les utilisateurs se connectent. C’est probablement le plus grand débat aujourd’hui : créez-vous une multitude de GPO et n’incluez qu’un paramètre dans chacune d’elles pour faciliter la gestion ? Ou créez-vous une poignée de GPO avec vos modifications de stratégie pour réduire le temps de traitement ? Cela pourrait être un article à part entière !

Portée des GPO

I previously installed Windows Server Update Services (WSUS) – there’s my GPO for the setup – ‘WSUS_Config_01’. If I click on it, you’ll see the scope defined.

L’emplacement est à la racine du domaine (reinders.local). Cela signifie, par défaut, que CHAQUE ordinateur et serveur de l’objet dans le domaine verra et implémentera cette GPO. Encore une fois, il existe des moyens de filtrer des utilisateurs spécifiques, des ordinateurs, des UO et des groupes de sécurité. Plus d’informations à ce sujet plus tard.

Ici, la section Filtrage de sécurité montre le groupe Utilisateurs authentifiés. Cela revient presque à dire « Tout le monde » : tout compte ayant été authentifié dans le domaine verra cette GPO.

Filtrage WMI

Le paramètre de Filtrage WMI ci-dessous est l’endroit où vous pouvez cibler des SKUs spécifiques. Par exemple, vous pourriez cibler une installation WSUS spécifique pour ne toucher que les ordinateurs Windows 10 version 21H2 et 22H2.

Modifier GPO

Laissez-moi vous montrer comment modifier un GPO.

• Tout d’abord, faites un clic droit sur le GPO que vous souhaitez modifier et cliquez sur ‘Modifier…‘

• A new window will open showing you the logical layout – Computer Configuration and User Configuration trees.
• Pour localiser les paramètres WSUS, développez Configuration de l’ordinateur -> Stratégies -> Modèles d’administration -> Composants Windows -> Mise à jour Windows.
• Ici, vous pouvez voir qu’il y a deux paramètres ‘Activé’ ou configuré. Ouvrons Configurer les mises à jour automatiques.

C’est un paramètre plus complexe, mais vous avez saisi l’idée. Ce sont les paramètres pour l’application des mises à jour Windows sur mon domaine. Plutôt détaillé, n’est-ce pas ? Mais, le point ici est que vous pouvez gérer tous vos ordinateurs (ou un sous-ensemble) de manière centralisée ici.

Voici un exemple de la façon dont les GPO « verrouillent » les paramètres sur les ordinateurs. Avez-vous remarqué l’option « Installer les mises à jour pour d’autres produits Microsoft » cochée en bas ? Si je coche Mise à jour de Windows -> Options avancées sur cette station de travail, notez que le premier paramètre, « Recevoir les mises à jour pour d’autres produits Microsoft lors de la mise à jour de Windows », est désormais contrôlé par la stratégie de groupe. Il est marqué Activé et est grisé.

C’est précisément ce que signifie l’encadré « Certains paramètres sont gérés par votre organisation » en haut. Techniquement, cela indique que certaines stratégies de groupe ont été appliquées à cet ordinateur et que vous ne pouvez pas ajuster le paramètre.

Gestion des GPO par défaut

Deux GPO sont créées lorsqu’un nouveau domaine est créé – « Stratégie de domaine par défaut » et « Stratégie des contrôleurs de domaine par défaut ». Au minimum, elles dicteront les politiques de mot de passe du domaine, les politiques de verrouillage de compte, les politiques Kerberos, les options de sécurité de base et autres options de sécurité réseau.

Depuis des décennies, il est fortement recommandé, en tant que professionnel de l’informatique, de NE PAS modifier ces 2 politiques – vous devriez plutôt créer de nouvelles GPO. Il y a plusieurs raisons à cela, mais je crois que la plus fondamentale est que, lors du dépannage de votre domaine, vous savez que cette configuration par défaut n’a pas été modifiée.

Cela a souvent été la première question posée par le support technique de Microsoft lorsque j’ai travaillé avec eux au fil des ans sur des problèmes liés à Active Directory/Group Policy. Ils connaissent ces paramètres fondamentaux et doivent commencer par là, au fond de l’océan, pour s’assurer que leur ligne de base inhérente est précise.

Ainsi, c’est également ma recommandation sur la manière dont vous devriez gérer les GPO par défaut – NE LE FAITES PAS!

Désactiver une GPO

Si vous souhaitez désactiver une GPO et empêcher ses paramètres de s’appliquer aux futurs ordinateurs, il vous suffit de cliquer avec le bouton droit sur la GPO et de cliquer sur Lien activé. Cela supprimera le lien et définira la GPO dans un état « dormant ».

Supprimer une GPO

Si vous effectuez un nettoyage et/ou un dépannage, vous pouvez supprimer une GPO en cliquant dessus avec le bouton droit et en cliquant sur Supprimer. Pour être complet et efficace, je vous recommande d’aller dans la vue Objets de stratégie de groupe dans l’arborescence et de la supprimer à partir de là.

Conclusion

Implémenter une stratégie de groupe est trompeusement simple… au début. Il est assez facile de mettre en place votre infrastructure d’objets de stratégie de groupe. Confirmer, valider, et plus tard, dépanner pourquoi les installations d’Office de certains ordinateurs se mettent à jour automatiquement et d’autres demandent à l’utilisateur… c’est là que le plaisir commence.

Dans l’ensemble, la morale de l’histoire est assez simple : Testez, testez, testez ! Plus vous pouvez valider et obtenir la conformité dès le départ, plus votre environnement sera efficace et rationalisé. Plus facile pour le dépannage et l’activation de nouvelles politiques.

Veuillez laisser un commentaire ci-dessous si vous avez des questions!