Comment créer une GPO avec Active Directory et Windows Server ? Une GPO (Group Policy Object, ou Objet de Stratégie de Groupe en français) est un élément important pour la gestion centralisée des paramètres de configuration des ordinateurs et des utilisateurs au sein d’un domaine Active Directory (AD). Vous en entendrez tout le parler.

Sommaire :

Une GPO est une stratégie de groupe qui s’appuie sur Active Directory. Cela permet d’imposer des règles à un utilisateur, par exemple, lorsque celui-ci se connectera il lui sera impossible d’accéder au panneau de configuration ou certains éléments n’apparaîtront pas. Une stratégie de groupe permet d’administrer les utilisateurs et leurs donner plus ou moins de possibilités et donc d’augmenter la sécurité.

Puisqu’une stratégie de groupe s’appuie sur Active Directory et qu’Active Directory utilise le service DNS. Pour que les stratégies de groupes soient prises en compte; il est important que le serveur DNS et les clients DNS sur les postes et serveurs membres soient parfaitement fonctionnels.

1- Guide Vidéo pour créer une GPO dans Active Directory

Vous devez avoir installé Active Directory pour suivre ce tutoriel. Ci-dessous, vous trouverez une vidéo qui reprend les étapes de création d’une stratégie de groupe GPO dans Active Directory. Par le suite, vous trouverez la version écrite pour qu’il n’y est pas de jaloux.

UNE NOUVELLE VERSION VIDEO ARRIVE PROCHAINEMENT

2 – Outils d’administration des Stratégie de Groupe GPO dans Windows Server

Une fois que vous avez installé Active Directory, vous pouvez aller dans le gestionnaire de serveur puis dans « outils » en haut dans la barre de menu.

Dans le menu déroulant, il faut cliquer sur « Gestion des stratégie de groupe« .

Lancer l'outil pour créer une GPO Active Directory

Une nouvelle fenêtre s’ouvre. Dans celle-ci, nous allons voir les principaux éléments. La structure reprend celle du domaine que nous avons créé dans l’outil de gestion « Utilisateurs et ordinateurs Active Directory ». En effet, on trouve les Unités d’Organisation que l’on a créées par exemple « Nantes ».

On a notre domaine principal numelion.local et on peut donc le dérouler pour retrouver notre structure. Un élément saute immédiatement aux yeux, il s’agit de « Default Domain Policy ». De quoi il s’agit ?

La stratégie de groupe par défaut

La stratégie de groupe « Default Domain Policy » (ou Politique de domaine par défaut) est une stratégie de groupe (GPO) créée automatiquement lors de la configuration d’un nouveau domaine dans Active Directory.

Vu sa position à la racine du domaine, elle est appliquée à tous les utilisateurs et ordinateurs du domaine. Cette GPO contient des paramètres clés puisqu’ils sont liés à la sécurité et à la configuration de base de notre domaine.

Il est possible de modifier cette politique pour répondre aux besoins spécifiques de notre organisation, mais elle sert de point de départ pour la gestion des paramètres de sécurité et autres configurations au niveau du domaine.

Les onglets pour paramétrer une GPO

On trouve quatre onglets lorsqu’on clique sur une GPO, voyons à quoi sert chacun d’eux :

  • Étendue : Définit quels utilisateurs et ordinateurs sont affectés par la GPO.
  • Détails : Fournit des informations générales et techniques sur la GPO.
  • Paramètres : Affiche tous les paramètres et politiques configurés dans la GPO.
  • Délégation : Gère qui peut modifier ou appliquer la GPO.
Hiérarchie d'une GPO

3 – Créer une GPO pour le domaine

En fonction de son emplacement dans la hiérarchie du domaine, l’application de la GPO sera différente, à la racine, elle va affecter l’ensemble des utilisateurs et ordinateurs si aucun filtre est appliqué.

C’est le premier exemple que nous allons voir. Nous allons créer une stratégie de groupe GPO simple qui va supprimer l’icône de la poubelle du bureau des utilisateurs. C’est pour vous montrer que l’on paramétrer un grand nombre de chose.

Comment procéder ? Je vais faire un clique droit sur mon domaine et je vais cliquer sur « créer un objet GPO dans ce domaine et le lier ici ».

Lier une GPO dans Active Directory

Une nouvelle fenêtre s’ouvre, il s’agit de donner un nom à notre GPO. Pour faire simple, on va lui donner un nom qui résume sa fonction. Je vais l’appeler « gpo_supprimer_corbeille ».

Concernant Objet Starter GPO Source c’est un modèle de Stratégie de Groupe dans l’environnement Windows Active Directory qui donne un ensemble prédéfini de paramètres de configuration de politique. On peut utiliser ces modèles comme base pour créer de nouvelles Objets de Stratégie de Groupe (GPO), ce qui permet de gagner du temps et d’assurer la cohérence des paramètres de politique à travers différentes GPOs.

Il faut donc avoir créé ses modèles avant, en l’occurrence, je n’ai rien créé, donc je conserve « aucun ». Si vous souhaitez en créé un, vous pouvez aller dans l’arborescence à gauche, dans « Objets GPO Starter » et créer un modèle.

Nom de la GPO

Notre GPO est désormais créée, elle se trouve sous la stratégie de groupe par défaut. On a les mêmes onglets pour toutes les GPO.

Paramètres de la GPO

Un onglet qui va nous intéressé, ce sont les paramètres. Pour le moment, il n’y a en pas si vous regardez en bas « Configuration ordinateur » et « Configuration utilisateur ».

Créer une GPO dans Active Directory

3.1 – Paramétrer la GPO Active Directory

Il est temps de modifier notre GPO pour appliquer des paramètres. Pour cela, je fais un clique droit sur ma stratégie de groupe et je clique sur « Modifier ».

Modifier une GPO dans Windows Server

Une nouvelle fenêtre s’ouvre. Dans celle-ci, nous allons pouvoir déterminer et appliquer les paramètres de notre GPO.

Deux possibilités, appliquer la configuration à l’ordinateur ou à l’utilisateur :

  • Appliquer la GPO à l’ordinateur : La politique va s’appliquer à tout ordinateur visé, affectant tous les utilisateurs qui se connectent à cet ordinateur, indépendamment de leur profil utilisateur.
  • Appliquer la GPO à l’utilisateur : La politique s’applique spécifiquement au profil de l’utilisateur ciblé, affectant son expérience sur n’importe quel ordinateur auquel il se connecte dans le domaine.

Dans notre cas, je vais l’appliquer aux utilisateurs. Je dois trouver le paramètres « Supprimer l’icône de la corbeille du Bureau ».

Le chemin complet pour l’atteindre est : « Configuration de l’utilisateur » > « Stratégies » > « Modèles d’administration » > « Bureau ».

Editer la stratégie de Groupe

Une fois que nous avons trouver le paramètre, il faut cliquer dessus pour ouvrir la fenêtre de ce dernier.

Dans la fenêtre, une aide nous présente à quoi correspond ce paramètre. Nous avons trois possibilités / options :

  • Non configuré : Aucune modification n’est apportée à la configuration actuelle de l’icône de la corbeille du bureau. Elle est configurée selon les paramètres précédents ou les paramètres par défaut du système.
  • Activé : L’icône de la corbeille est supprimée du bureau, empêchant les utilisateurs d’accéder à la corbeille via son icône habituelle.
  • Désactivé : On s’assure que l’icône de la corbeille reste visible et accessible sur le bureau, indépendamment des autres configurations ou politiques appliquées.

Dans mon cas, je vais donc « Activé le paramètre » et valider sur « OK ».

Activer la suppression de l'icône de bureau

Une fois que l’on a validé, on peut constater que l’état du paramètre est « Activé ».

Etat de la stratégie

Si on retourne dans notre GPO, dans l’onglet « paramètres », désormais dans la partie « Configuration utilisateur » on constate qu’il y a un élément « Supprimer l’icône de la Corbeille du Bureau » qui est présent et activé.

Propriétés de la GPO

Il est donc temps de tester notre GPO. Je me connecte sur un poste utilisateur avec un utilisateur du domaine et comme prévu, je n’ai plus d’icône corbeille sur le bureau. Notre stratégie de groupe GPO fonctionne.

Vérifier l'application de la GPO

4 – Créer une GPO pour une Unité d’Organisation

Nous avons vu le résultat d’une GPO que l’on applique sur le domaine, mais on peut aussi appliquer une GPO à une unité d’organisation seulement. L’emplacement d’une GPO à donc une grande importance.

Portée d’une GPO

A noter, on peut positionner une GPO à la racine et l’appliquer sur des utilisateurs ou groupes définis grâce au filtrage. Pareil si on la positionne dans une unité d’organisation vis-à-vis des utilisateurs de cette dernière.

Dans notre cas :

Mais pour faire simple dans cette introduction aux GPO, on ne va pas filtrer les utilisateurs. Nous allons voir que la position de la stratégie de groupe GPO à son importance, on va l’ajouter dans le service IT.

Son objectif, empêcher l’accès au panneau de configuration. Je vais donc l’appeler « gpo_panneau_config ».

Créer une GPO pour bloquer le panneau de configuration

Je ne vais pas reprendre la méthode pour activé le paramètre, c’est la même que dans la partie précédente, le tout c’est de trouver le paramètre.

Il se trouve dans « Configuration utilisateur » > « Stratégies » > « Modèles d’administration » > « Panneau de configuration » > « Interdire l’accès au Panneau de configuration et à l’application ».

Ensuite, j’active le paramètre et comme on peut le voir ci-dessous, le paramètre est désormais « Activé ».

Activer la stratégie de groupe du panneau configuration

C’est maintenant que cela devient intéressant, je vais tester si ma GPO s’applique ou non.

Premier test avec un utilisateur de l’Unité d’organisation « IT », je tente d’ouvrir le panneau de configuration, j’ai bien un message indiquant que je ne peux pas y avoir accès.

GPO pour bloquer l'utilisation du panneau de configuration

Même tentative, mais avec un utilisateur de l’Unité d’Organisation « Direction », dans ce cas j’ai accès au Panneau de Configuration. En effet, ma GPO est positionné dans l’unité d’Organisation « IT », elle s’applique aux objets de cette dernière.

Par contre, les autres unité d’organisation n’ont pas cette restriction d’appliquée, je peux donc utiliser le panneau de configuration avec un utilisateur qui n’est pas dans « IT ».

Utilisateur qui n'a pas de GPO