[AD DS] GPO : La console GPMC

La console de gestion des stratégies de groupes est installée par défaut avec les services Active Directory Domain Services depuis Windows 2008.

Vous pouvez y accéder par le gestionnaire de serveur dans le menu déroulant « outils » ou dans les outils d'administrations du panneau de configuration ou en saisissant la commande « gpmc.msc ».

 

 

Dans la console de « gestion de stratégie de groupe » nous retrouvons dans la partie de gauche le volet de navigation (encadré rouge). Nous pouvons voir les deux stratégies créées par défaut « Default Domain Policy » et « Default Domain Controller Policy ». Le conteneur « Objets de stratégie de groupe » regroupe toutes les stratégies qu'elles soient liées ou non à un conteneur. Sur la partie de droite apparaît les informations détaillées de la stratégie sélectionnée. Dans l'étendue nous pouvons voir l'ensemble des conteneurs avec lesquels elle est liée. Nous reparlerons un peu plus loin dans ce chapitre du filtrage.

 

 

Dans la partie « paramètres » il est possible de voir le détail des paramètres définis dans la stratégie. Les paramètres sont séparés en deux parties. La partie « configuration ordinateur », ne s'applique que si la stratégie de groupe est liée à un conteneur contenant des ordinateurs. De même, il existe une partie « configuration utilisateurs » qui ne s'applique que lorsqu'elle est liée à un conteneur contenant des utilisateurs. Les paramètres s'appliquent sur un objet même si l'objet est contenu dans une unité d'organisation enfant de celle ou la stratégie de groupe, les stratégies de groupes sont héritées par défaut. Les stratégies de groupe ne s'appliquent pas lorsqu'elles sont liées à des unités d'organisation ne contenant que des groupes.

 

Pour créer une nouvelle stratégie de groupe, il suffit de faire un clic droit sur le conteneur et de choisir « créer un objet GPO dans ce domaine, et le lier ici ». Si vous souhaitez lier une stratégie déjà existante, prenez l'option « lier un objet de stratégie de groupe existant ».

 

 

Plusieurs stratégies de groupe peuvent définir le même paramètre avec des valeurs différentes. Pour comprendre qu'elle paramètre sera réellement appliquée sur un poste, nous allons imaginer chaque stratégie comme un calque. Chaque paramètre défini dans un calque, cache le paramètre identique du calque situé en dessous. Si un paramètre n'est pas défini dans une stratégie, la valeur appliquée dépendra des stratégies précédentes.

Les stratégies de groupes s'appliquent dans l'ordre « stratégie de sécurité locale, stratégie de groupe liée à un site, au domaine, à une unité d'organisation parente, à l'unité d'organisation enfant ». Le premier est le moins prioritaire.

Lorsque deux stratégies de groupe sont définies sur la même unité d'organisation et que certains paramètres rentrent en conflit, la valeur appliquée dépendra de l'ordre défini sur l'unité d'organisation. L'image ci-dessous nous montre l'ordre des stratégies pour l'unité d'organisation contenant les contrôleurs de domaine. Plus la valeur « ordre des liens » est faible et plus les paramètres sont appliqués en dernier et donc prioritaires. Il est possible de monter ou descendre une stratégie avec les flèches situées à gauche du cadre rouge.

 

Il est possible de bloquer l'héritage des stratégies de groupe sur une unité d'organisation. Pour cela faites un clic droit sur le conteneur en question et sélectionner « bloquer l'héritage ». Lorsque vous bloquez l'héritage sur une unité d'organisation, toutes les stratégies définies sur les objets parents ne sont plus appliquées, en commençant par la stratégie de groupe par défaut du domaine. Il est déconseillé de bloquer l'héritage des stratégies de groupe.

Vous constaterez avec un clic droit sur une stratégie de groupe qu'il existe d'autres options.

Par défaut « lien activé » est actif sur la stratégie de groupe. Cela signifie qu'elle sera prise en compte lors de l'application des stratégies. Vous pouvez désactiver le lien temporairement sur une stratégie afin d'effectuer des tests. Si vous ne souhaitez plus que la stratégie s'applique sur ce conteneur, il est préférable de prendre l'option « supprimer ». La suppression d'un lien ne supprime pas la stratégie qui reste visible dans le conteneur « Objets de stratégie de groupe ».

L'option « appliqué » (« Enforced » en anglais) indique que les paramètres de la stratégie ne peuvent être remplacés par une stratégie avec un degré de priorité plus élevé. Elle modifie donc l'ordre d'application que nous avons définie auparavant.

Comme nous avons décrit précédemment une stratégie de groupe peut contenir des paramètres pour les ordinateurs et des paramètres pour les utilisateurs. Les paramètres d'ordinateurs ne sont appliqués que si la stratégie est liée à une unité d'organisation contenant les ordinateurs et les paramètres utilisateurs ne sont appliqués que si la stratégie est liée à une OU contenant des utilisateurs. Une stratégie de groupe peut avoir plusieurs liens sur plusieurs conteneurs différents. Il est possible de désactiver dans un lien (et non dans la stratégie) les paramètres ordinateurs ou les paramètres utilisateurs.

Le paramétrage se fait dans les détails de la stratégie avec la valeur « Etat GPO » qui si elle est activée prend en compte les paramètres utilisateurs et ordinateurs sinon il est possible de désactiver les paramètres ordinateurs, utilisateurs ou tous les paramètres.

Theme: 

Systeme: 

Annee: 

Type: