Navigation
Nouveautés
Les stratégies de groupe (ou GPO pour Group Policy Object) sont des fonctions de gestion centralisée de la famille Microsoft Windows. Elles permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory. Les stratégies de groupe font parties de la famille des technologies IntelliMirror, qui incluent la gestion des ordinateurs déconnectés, la gestion des utilisateurs itinérants ou la gestion de la redirection des dossiers ainsi que la gestion des fichiers en mode déconnecté.
Ce que nous appelons GPO correspond en fait à 2 éléments sotckés en 2 emplacements:
2 GPO existent par défaut sur les contrôleurs de domaine:
Elle définit les stratégies de comptes du domaine: mots de passe, verrouillage de compte et Kerberos.
Elle définit les stratégies d'audit des contrôleurs de domaine et d'Active Directory.
Un modèle d'administration est un fichier texte qui définit une modification de Registre à apporter et qui génère l'interface utlisateur permettant de configurer les paramètres de stratégie “Modèles d'administration” dans la console 'gpmc.msc'.
Les Fichiers ADM/ADMX sont stockés dans le odssier nommé PolicyDefinitions :
Exemple
%SystemRoot%\SYSVOL\"contoso.com"\Policies\PolicyDefinitions
\\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions
Pour ajouter des fichiers .ADMX, copier les dans %SystemRoot%\PolicyDefinitions
et le fichier .ADML stocké dans le sous-dossier fr-FR.
Le Jeu de stratégie résultant est un ajout à la Stratégie de groupe qui facilite l'implémentation et le dépannage des stratégies. Il s'agit d'un moteur de requêtes qui interroge des stratégies existantes et planifiées et qui renvoie les résultats de ces requêtes. Il interroge les stratégies existantes en fonction d'un site, d'un domaine, d'un contrôleur de domaine ou d'une unité d'organisation. Le Jeu de stratégie résultant recueille ces informations à partir de la base de données du gestionnaire CIMOM (Common Information Model Object Manager) (également appelée stockage du gestionnaire d'objets CIM) à l'aide de WMI (Windows Management Instrumentation).
gpupdate /force
gpresult /v
Les GPO sur “Les préférences” proposés par Windows Server 2008 nécessitent l'extension GPP pour être interprété :
On peut générer un fichier texte au format .INF qui reprend les paramètres de sécurité. Ils sont stockés dans 'C:\Users\Documents\Administrateur\Security'. Ajouter le composant enfichable “Modèles de sécurité” dans une MMC.
Configurer les paramètres de sécurité requis.
Créer une nouvelle GPO > Click droit droit > Importer une stratégie.
secedit.exe
L'utilitaire Microsoft permettant l'installation de packages par GPO se nomme : GPSI.
GPSI: Installation de logiciels de stratégie de groupe.
Il est possible de déployer des packages par GPO.
Ce qu'il faut :
La SACL et la stratégie d'audit doivent correspondre (exemple: échec - échec).
Les audits sont remontés dans le journal de sécurité.
à faire
à faire