Filtrer une stratégie sur un groupe
Il est possible de restreindre l'application d'une stratégie de groupe à l'aide de filtres. Dans la partie « étendue » de la stratégie de groupe, en dessous des liaisons, vous retrouvez « filtrage de sécurité ». Par défaut il est défini sur « utilisateurs authentifiés » qui est un groupe dynamique contenant tous les utilisateurs et ordinateurs authentifiés. Il est possible de supprimer ce filtrage pour le remplacer par un groupe Active Directory, dans ce cas seul les membres des groupes seront concernés :
Si vous modifiez une stratégie de groupe, les modifications seront appliquées après un certain délai. Certains paramètres de la section « ordinateurs » ne seront pris en compte qu'au redémarrage du poste et pour l'utilisateur à la prochaine ouverture de session.
Il est possible de forcer l'actualisation des paramètres en exécutant la commande « gpupdate /force ».
|
|
Si vous souhaitez filtrer vos stratégies utilisateurs pour des groupes particuliers, vous devez tenir compte de la mise à jour de juin 2016, qui modifie la manière dont elles sont récupérées depuis le contrôleur de domaine. En effet, il est nécessaire que le compte de l'ordinateur (inclut par défaut dans le groupe « utilisateurs authentifiés »), soit inclus dans les autorisations. Par défaut vous devez mettre le groupe contenant les utilisateurs ainsi que le groupe « Ordinateurs du domaine ». Vous pouvez consulter l'article suivant : |
Depuis Windows Serveur 2012, il est également possible de forcer une mise à jour immédiate des stratégies de groupe sur une unité d'organisation, avec un clic droit sur celle-ci et en sélectionnant l'option « mise à jour de la stratégie de groupe ».
Filtrage WMI
« Windows Management Instrumentation » (WMI) est la mise en œuvre du standard Web-Based Enterprise Management (WBEM) créé par Distributed Management Task Force (DMTF). Il prend en charge le modèle de données CIM (Common Information Model) qui permet d'interroger le système. En résumé il s'agit d'un système permettant de créer des requêtes ressemblant à du SQL pour identifier certains paramètres du système. Il est possible de déterminer le modèle de carte-mère, de cibler la version du système d'exploitation, de déterminer les partitions de disque du système.
Pour créer un filtre WMI, faites un clic droit sur « filtres WMI » puis « nouveau ».
Pour l'exemple, nous allons créer un nouveau filtre « tous les Windows 10 ». Saisissez le nom puis cliquez sur « ajouter » pour renseigner la requête.
Conservez l'espace de nom « root\CIMV2 » et saisissez la requête suivante et valider par « OK » :
SELECT * from Win32_OperatingSystem WHERE Version LIKE "%10%" and ProductType= "1″
Cette requête identifie les OS version « 10.x » comme Windows 10 et 2016, « ProductType » vaut 1 pour un poste client et 2 pour un serveur.
Pour Windows 8.1 ou Windows Serveur 2012 R2 la requête est :
SELECT * from Win32_OperatingSystem WHERE Version LIKE "%6.3%" and ProductType= "1″
Le tableau suivant indique la correspondance entre le nom commercial de Windows et la version :
|
Système d'exploitation |
Version |
|
Windows 10, Windows11 Windows Server 2016, 2019, 2022 |
10.0 |
|
Windows 8.1 Windows Server 2012 R2 |
6.3 |
|
Windows 8 Windows Server 2012 |
6.2 |
|
Windows 7 Windows Server 2008 R2 |
6.1 |
|
Windows Vista Windows Server 2008 |
6.0 |
|
Windows Server 2003 R2 Windows Server 2003 Windows XP 64-Bit Edition |
5.2 |
|
Windows XP |
5.1 |
|
Windows 2000 |
5.0 |
Des versions plus spécifiques peuvent être ciblé et il est possible de différencier Windows 10 et Windows 11 (ils ont tous les deux un numéro commençant pas « 10.0 » en ajoutant le troisième chiffre. La dernière version Windows 10 étant de « 19045 » alors que Windows 11 est à plus de « 20000 ».
Une fois le filtre crée, il suffit de modifier la stratégie de groupe et de sélectionner la requête dans la partie « Filtrage WMI » pour que notre stratégie de groupe ne s'exécute que sur les postes correspondant au critère.
Enfin si vous souhaitez explorer plus loin les possibilités des requêtes WMI vous pouvez utiliser l'outil « WMI explorer » disponible chez CodePlex au lien suivant :
https://wmie.codeplex.com/ ou WBEMTest.exe inclut dans Windows.
Créer une GPO appliquée à un site
Dans la première partie nous avons vu la création des sites et des sous-réseaux pour chaque site. Les postes clients déterminent en fonction de leur adresse IP, leur site de rattachement afin d'interroger un contrôleur de domaine proche. La gestion des sites permet également d'appliquer des stratégies de groupes spécifiques sur les différents emplacements géographiques.
Pour affecter une stratégie de groupe à un site il faut d'abord afficher les sites dans la console de gestion des stratégies de groupe. Pour cela faites un clic droit sur « sites » puis « afficher les sites ».
Dans la fenêtre « afficher les sites », sélectionnez les sites que vous souhaitez afficher dans la console puis validez par « OK ».
Une fois les sites affichés vous pouvez faire un clic droit sur le nom du site et créez une liaison sur une stratégie existante en sélectionnant « lier un objet de stratégie de groupe existant ».
Enfin dans la liste des stratégies de groupe, sélectionnez la ou les stratégies de groupe que vous souhaitez appliquer.
