Stratégie de groupe. C’est un service avec lequel presque tous les administrateurs Windows sont familiers. Mais qu’est-ce que la stratégie de groupe ? La stratégie de groupe est un moyen courant d’appliquer des paramètres de configuration, d’installer des logiciels, d’exécuter des scripts, et plus encore, sur des milliers d’ordinateurs membres du domaine Active Directory (AD).
Étendez la fonctionnalité de la stratégie de groupe et simplifiez la gestion des stratégies de mot de passe à granularité fine. Ciblez n’importe quel niveau de GPO, groupe, utilisateur ou ordinateur avec des paramètres de dictionnaire et de phrase secrète avec Specops Password Policy. Essayez-le gratuitement !
La stratégie de groupe se compose de nombreux services et flux de travail différents. La plupart des administrateurs ne savent probablement même pas comment cela fonctionne en interne ! Dans cet article, nous visons à changer cela.
Si vous êtes intéressé à savoir ce qu’est la stratégie de groupe et comment elle fonctionne, restez à l’écoute car nous n’allons laisser aucune pierre non retournée !
Qu’est-ce que les objets de stratégie de groupe (GPO)
Les GPO sont l’essence même de la stratégie de groupe. Les GPO sont des politiques individuelles qui contiennent de nombreux paramètres différents à effectuer sur un ordinateur membre du domaine.
Sous Windows 10/2019 Server, il existe plus de cinq mille paramètres couvrant tous les aspects pertinents de Windows. De plus, vous pouvez en importer encore plus pour des applications spécifiques telles que Office, Microsoft Edge, Google Chrome, LAPS-E, pour n’en citer que quelques-unes. Vous pouvez également créer les vôtres.
Pensez à une GPO simplement comme une seule politique ; c’est un manifeste qui contient des instructions pour effectuer des tâches telles que définir un script de connexion, changer le bureau d’un utilisateur, installer un logiciel et des milliers d’autres tâches.
Active Directory stocke les GPO dans la base de données Active Directory qui sont répliquées entre les contrôleurs de domaine (DC).
Les GPO ont deux « catégories » de paramètres ; une pour un ordinateur et une pour un utilisateur. Ces « catégories » définissent comment les paramètres à l’intérieur de la GPO s’appliqueront à l’ordinateur. Par exemple, si vous devez changer l’arrière-plan d’un utilisateur, ce sera des paramètres utilisateur. Si vous devez installer un logiciel à l’échelle du système, ce serait un paramètre informatique.
Une fois que vous avez créé une GPO, vous la ciblez ensuite vers un ensemble d’ordinateurs ou d’utilisateurs dans une unité d’organisation (OU). L’ordinateur recherche périodiquement de nouvelles GPO et applique ces paramètres (nous en parlerons plus tard).
Qu’est-ce que les modèles de stratégie de groupe
Si une GPO est le composant principal de la Stratégie de Groupe, le Modèle de Stratégie de Groupe (GPT) est le concept suivant important. Le GPT va de pair avec la GPO.
Active Directory stocke les GPO dans SYSVOL qui est un partage de fichiers sur les contrôleurs de domaine pour distribuer des fichiers. Les GPT comprennent des paramètres de registre, des fichiers de sécurité, des applications, des scripts et des installateurs, des raccourcis, des fichiers XML, des fichiers graphiques, etc., en fonction du type de paramètres que vous définissez dans la GPO correspondante.
Gérer la stratégie de groupe avec le GPMC
La stratégie de groupe est contrôlée via la Console de gestion des stratégies de groupe (GPMC). Cette console est installée sur tous les contrôleurs de domaine et fait partie du Kit d’administration de serveur distant (RSAT). Le GPMC se connecte au contrôleur de domaine tenant le rôle de Contrôleur de domaine principal émulé (PDCe) pour apporter des modifications à la stratégie de groupe.
À l’intérieur du GPMC, vous pouvez créer et attribuer des objets de stratégie de groupe (GPO) aux unités organisationnelles (OU) d’Active Directory, aux sites Active Directory et plus encore.
Comment fonctionne la réplication des stratégies de groupe
Comme mentionné précédemment, les GPO et les GPT font partie de l’AD. En tant que tels, ils font partie du processus de réplication typique de l’Active Directory.
A specific workflow kicks off when you create/update a new GPO and target it to an Active Directory OU.
- Une fois qu’une GPO est modifiée via le GPMC, le GPMC se connecte au DC PDCe.
- Le GPMC crée ou modifie ensuite la GPO dans les bases de données de l’Active Directory et crée/met à jour le GPT dans SYSVOL.
- Une fois modifiée, la réplication de l’AD prend le relais et réplique à la fois la GPO et le GPT vers le reste des DC selon le calendrier de réplication de l’AD. La réplication prend généralement jusqu’à 5 minutes si votre DC « local » et le PDCe sont dans le même site, ou plus longtemps s’ils sont dans des sites différents.
Les DC répliquent également les GPT dans SYSVOL une fois créés avec le GPMC, mais ils le font via un mécanisme de réplication séparé appelé DFS-R. Le calendrier de réplication pour SYSVOL est le même que celui de la base de données AD. Les deux composants d’une GP devraient arriver à peu près en même temps sur votre DC local.
Application des GPO
Donc le GPMC a créé la GPO/GPT et ils ont été répliqués sur tous les DC de votre environnement AD. Et maintenant ? Maintenant, c’est au client(s) de vérifier auprès du DC s’il y a des nouvelles/politiques modifiées.
Les clients respectent leur intervalle de rafraîchissement de la stratégie de groupe. C’est l’intervalle pendant lequel ils vérifient régulièrement les changements avec leur DC. Par défaut, l’intervalle de rafraîchissement est fixé à 90 minutes, plus un décalage aléatoire entre 0 et 30 minutes.
Si une DC est ciblée par une stratégie, l’intervalle de rafraîchissement par défaut n’est que de cinq minutes.
Une fois que l’intervalle de rafraîchissement est écoulé, le service client de la stratégie de groupe sur le client vérifiera auprès de la DC s’il existe de nouvelles stratégies ou des modifications. S’il en trouve, il les téléchargera et commencera à exécuter les instructions sur l’ordinateur client.
Le service client de la stratégie de groupe ne peut pas appliquer immédiatement de nouveaux paramètres. Certains paramètres ne peuvent pas être appliqués immédiatement, tels qu’au prochain ouverture de session, les dossiers redirigés, après le prochain redémarrage, etc.
Il existe des GPs qui s’appliquent même s’il n’y a pas eu de changements depuis la dernière fois où ils ont été appliqués. Un bon exemple sont les paramètres de sécurité, qui sont réappliqués au démarrage de l’ordinateur et toutes les 16 heures si l’ordinateur n’a pas été redémarré entre-temps. C’est important : si quelqu’un a apporté des modifications à une configuration de sécurité spécifique, elles seront restaurées lors du prochain rafraîchissement (pensez aux ports du pare-feu ouvert dans le pare-feu Windows, ou aux membres ajoutés/retirés de Groupes restreints sur l’ordinateur local).
D’autres paramètres peuvent être configurés pour être réappliqués même si le GP n’a pas changé. Vous pouvez contrôler le comportement du client GP pour un type de paramètre particulier via le registre, ou, comme vous l’avez deviné, via GP.
Appliquez les exigences de conformité, bloquez plus de 3 milliards de mots de passe compromis et aidez les utilisateurs à créer des mots de passe plus forts dans Active Directory grâce à des commentaires dynamiques pour les utilisateurs finaux. Contactez-nous dès aujourd’hui à propos de Specops Password Policy !
Conclusion
Si vous vous êtes déjà demandé « Qu’est-ce que la stratégie de groupe ? », j’espère que ce tutoriel a pu répondre à cette question. La stratégie de groupe est un système qui existe depuis longtemps et est toujours utilisé aujourd’hui par des milliers d’organisations. C’est un élément essentiel pour beaucoup de ceux qui ont besoin d’appliquer des changements dans leur environnement informatique Windows.
Si vous avez besoin d’effectuer un changement sur un, dix ou 1 000 ordinateurs joints à un domaine, assurez-vous de savoir ce qu’est la stratégie de groupe.