• GPO: Group Policy Object (stratégie de groupe)
• Technet GPO

Les stratégies de groupe (ou GPO pour Group Policy Object) sont des fonctions de gestion centralisée de la famille Microsoft Windows. Elles permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory. Les stratégies de groupe font parties de la famille des technologies IntelliMirror, qui incluent la gestion des ordinateurs déconnectés, la gestion des utilisateurs itinérants ou la gestion de la redirection des dossiers ainsi que la gestion des fichiers en mode déconnecté.

Ce que nous appelons GPO correspond en fait à 2 éléments sotckés en 2 emplacements:

• Stocké dans les services Active Directory
• Nom convivial, identificateur unique global (GUID)
• Version

• Stocké dans le dossier SYSVOL des DC
• Contient tous les fichiers requis pour définir et appliquer des paramètres.
• Le fichier .ini contient la Version

• Une GPO s'applique d'elle même au bout de 90 minutes + 30 minutes maximum.

• Sur Windows 2003 Server, le protocole ICMP définie la rapidité du réseau. Si celui-ci est supérieur à 500Ko/s, les GPO seront appliqué. Sur Windows 2008 Serveur, le protocole est NLA.

2 GPO existent par défaut sur les contrôleurs de domaine:

• Stratégie de domaine par défaut

Elle définit les stratégies de comptes du domaine: mots de passe, verrouillage de compte et Kerberos.

• Stratégie Contrôleurs de domaine par défaut

Elle définit les stratégies d'audit des contrôleurs de domaine et d'Active Directory.

Un modèle d'administration est un fichier texte qui définit une modification de Registre à apporter et qui génère l'interface utlisateur permettant de configurer les paramètres de stratégie “Modèles d'administration” dans la console 'gpmc.msc'.

Les Fichiers ADM/ADMX sont stockés dans le odssier nommé PolicyDefinitions :

Exemple

• Localement

%SystemRoot%\SYSVOL\"contoso.com"\Policies\PolicyDefinitions

• A distance

\\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions

Pour ajouter des fichiers .ADMX, copier les dans %SystemRoot%\PolicyDefinitions
et le fichier .ADML stocké dans le sous-dossier fr-FR.

• RSOP (Resultant Set of Policy) : Jeux de Stratégies Résultant

Le Jeu de stratégie résultant est un ajout à la Stratégie de groupe qui facilite l'implémentation et le dépannage des stratégies. Il s'agit d'un moteur de requêtes qui interroge des stratégies existantes et planifiées et qui renvoie les résultats de ces requêtes. Il interroge les stratégies existantes en fonction d'un site, d'un domaine, d'un contrôleur de domaine ou d'une unité d'organisation. Le Jeu de stratégie résultant recueille ces informations à partir de la base de données du gestionnaire CIMOM (Common Information Model Object Manager) (également appelée stockage du gestionnaire d'objets CIM) à l'aide de WMI (Windows Management Instrumentation).

• Technet - installation de RSOP

• Labo Supinfo - Utilisation de RSOP

• Forcer la synchronisation depuis le client :

gpupdate /force

• Vérifier l'application des GPO manuellement :

gpresult /v

• GPP : Group Policy Preference

Les GPO sur “Les préférences” proposés par Windows Server 2008 nécessitent l'extension GPP pour être interprété :

• GPP Client Extension XP (x32)
• GPP Client Extension XP (x64)
• GPP Client Extension VISTA (x32
• GPP Client Extension VISTA (x64)
• GPP Client Extension SERVER2003 (x32)
• GPP Client Extension SERVER2003 (x64)

• Modèle de sécurité (.INF)

On peut générer un fichier texte au format .INF qui reprend les paramètres de sécurité. Ils sont stockés dans 'C:\Users\Documents\Administrateur\Security'. Ajouter le composant enfichable “Modèles de sécurité” dans une MMC.

Configurer les paramètres de sécurité requis.

Créer une nouvelle GPO > Click droit droit > Importer une stratégie.

• L'équivalent est possible avec la commande :

secedit.exe

L'utilitaire Microsoft permettant l'installation de packages par GPO se nomme : GPSI.
GPSI: Installation de logiciels de stratégie de groupe.

Il est possible de déployer des packages par GPO.

• .MSI : packages Windows Installer
• .MST : fichier qui personnalise l'installation
• .MSP : mise à jour/correctif de .msi

Ce qu'il faut :

• La GPO de déployement du logiciel avec ou sans options
• Configurer la méthode de déployement, son étendue (domaine, filtre WMI…)
• Un partage réseau avec les bon droits (lecture/exécution) ex: \\contoso.com\share

La SACL et la stratégie d'audit doivent correspondre (exemple: échec - échec).
Les audits sont remontés dans le journal de sécurité.

à faire

à faire

Transforme un XML en GPO à faire