Outils pour utilisateurs

Outils du site


windows:gpo

GPO : Gestion des stratégies de groupes

  • GPO: Group Policy Object (stratégie de groupe)

Les stratégies de groupe (ou GPO pour Group Policy Object) sont des fonctions de gestion centralisée de la famille Microsoft Windows. Elles permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory. Les stratégies de groupe font parties de la famille des technologies IntelliMirror, qui incluent la gestion des ordinateurs déconnectés, la gestion des utilisateurs itinérants ou la gestion de la redirection des dossiers ainsi que la gestion des fichiers en mode déconnecté.

 Windows Server

Stockage des GPO

Ce que nous appelons GPO correspond en fait à 2 éléments sotckés en 2 emplacements:

Le conteneur de stratégies de groupes GPC :

  • Stocké dans les services Active Directory
  • Nom convivial, identificateur unique global (GUID)
  • Version

Modèle de stratégie de groupe GPT :

  • Stocké dans le dossier SYSVOL des DC
  • Contient tous les fichiers requis pour définir et appliquer des paramètres.
  • Le fichier .ini contient la Version

Infos supplémentaires:

  • Une GPO s'applique d'elle même au bout de 90 minutes + 30 minutes maximum.
  • Sur Windows 2003 Server, le protocole ICMP définie la rapidité du réseau. Si celui-ci est supérieur à 500Ko/s, les GPO seront appliqué. Sur Windows 2008 Serveur, le protocole est NLA.

Les GPO par défaut

2 GPO existent par défaut sur les contrôleurs de domaine:

Default Domain Policy

  • Stratégie de domaine par défaut

Elle définit les stratégies de comptes du domaine: mots de passe, verrouillage de compte et Kerberos.

Default Domain Controller Policy

  • Stratégie Contrôleurs de domaine par défaut

Elle définit les stratégies d'audit des contrôleurs de domaine et d'Active Directory.

Les modèles d'administration

Un modèle d'administration est un fichier texte qui définit une modification de Registre à apporter et qui génère l'interface utlisateur permettant de configurer les paramètres de stratégie “Modèles d'administration” dans la console 'gpmc.msc'.

Les Fichiers ADM/ADMX sont stockés dans le odssier nommé PolicyDefinitions :

Exemple

  • Localement

%SystemRoot%\SYSVOL\"contoso.com"\Policies\PolicyDefinitions

  • A distance

\\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions

Pour ajouter des fichiers .ADMX, copier les dans %SystemRoot%\PolicyDefinitions
et le fichier .ADML stocké dans le sous-dossier fr-FR.

RSOP

  • RSOP (Resultant Set of Policy) : Jeux de Stratégies Résultant

RSOP

Le Jeu de stratégie résultant est un ajout à la Stratégie de groupe qui facilite l'implémentation et le dépannage des stratégies. Il s'agit d'un moteur de requêtes qui interroge des stratégies existantes et planifiées et qui renvoie les résultats de ces requêtes. Il interroge les stratégies existantes en fonction d'un site, d'un domaine, d'un contrôleur de domaine ou d'une unité d'organisation. Le Jeu de stratégie résultant recueille ces informations à partir de la base de données du gestionnaire CIMOM (Common Information Model Object Manager) (également appelée stockage du gestionnaire d'objets CIM) à l'aide de WMI (Windows Management Instrumentation).

Commandes utiles

  • Forcer la synchronisation depuis le client :

gpupdate /force

  • Vérifier l'application des GPO manuellement :

gpresult /v

Trucs et astuces:

Extension GPP pour les client de Server 2008:

  • GPP : Group Policy Preference

Server 2008

Les GPO sur “Les préférences” proposés par Windows Server 2008 nécessitent l'extension GPP pour être interprété :

Configuration de la sécurité par GPO :

  • Modèle de sécurité (.INF)

On peut générer un fichier texte au format .INF qui reprend les paramètres de sécurité. Ils sont stockés dans 'C:\Users\Documents\Administrateur\Security'. Ajouter le composant enfichable “Modèles de sécurité” dans une MMC.

Configurer les paramètres de sécurité requis.

Créer une nouvelle GPO > Click droit droit > Importer une stratégie.

  • L'équivalent est possible avec la commande :

secedit.exe

Déployement logiciels par GPO :

L'utilitaire Microsoft permettant l'installation de packages par GPO se nomme : GPSI.
GPSI: Installation de logiciels de stratégie de groupe.

Il est possible de déployer des packages par GPO.

  • .MSI : packages Windows Installer
  • .MST : fichier qui personnalise l'installation
  • .MSP : mise à jour/correctif de .msi

Ce qu'il faut :

  • La GPO de déployement du logiciel avec ou sans options
  • Configurer la méthode de déployement, son étendue (domaine, filtre WMI…)
  • Un partage réseau avec les bon droits (lecture/exécution) ex: \\contoso.com\share

Stratégies d'audit :

La SACL et la stratégie d'audit doivent correspondre (exemple: échec - échec).
Les audits sont remontés dans le journal de sécurité.

à faire

Groupes restreints:

à faire

scwcmd.exe

Transforme un XML en GPO à faire

, ,
windows/gpo.txt · Dernière modification: 15/04/2016 à 21:15 (modification externe)

Outils de la page