L’objet de stratégie de groupe (GPO) de Microsoft est un ensemble de paramètres de stratégie de groupe qui définit à quoi ressemblera un système et comment il se comportera pour un groupe défini d’utilisateurs.
Microsoft fournit un composant logiciel enfichable de programme qui vous permet d’utiliser la Console de gestion des stratégies de groupe (GPMC). Les sélections donnent un objet de stratégie de groupe. Le GPO est associé à des conteneurs Active Directory sélectionnés, tels que des sites, des domaines ou des unités organisationnelles (OU). Le GPMC vous permet de créer un GPO qui définit les politiques basées sur le registre, les options de sécurité, les options d’installation et de maintenance de logiciels, les options de scripts et les options de redirection de dossiers.
Types d’OPC
Il existe trois types d’OPC : local, non local et starter.
- Objets de stratégie de groupe local. Un objet de stratégie de groupe locale fait référence à la collection de paramètres de stratégie de groupe qui s’appliquent uniquement à l’ordinateur local et aux utilisateurs qui se connectent à cet ordinateur. Les GPO locaux sont utilisés lorsque les paramètres de stratégie doivent s’appliquer à un seul ordinateur ou utilisateur Windows. Les GPO locaux existent par défaut sur tous les ordinateurs Windows.
- Objets de stratégie de groupe Non locaux. Un objectif de stratégie de groupe non local est utilisé lorsque les paramètres de stratégie doivent s’appliquer à un ou plusieurs ordinateurs ou utilisateurs Windows. Les GPO non locaux s’appliquent aux ordinateurs ou aux utilisateurs Windows une fois qu’ils sont liés à des objets Active Directory, tels que des sites, des domaines ou des unités organisationnelles.
- Objets de stratégie de groupe de démarrage. Introduits dans Windows Server 2008, les GPO de démarrage sont des modèles pour les paramètres de stratégie de groupe. Ces objets permettent à un administrateur de créer et de disposer d’un groupe de paramètres préconfigurés qui représentent une ligne de base pour toute stratégie future à créer.
Objet de sécurité des données et de stratégie de groupe
Certains paramètres de stratégie de groupe peuvent aider à sécuriser le réseau d’une entreprise. Par exemple, grâce à la stratégie de groupe, une organisation peut exécuter des scripts, empêcher les utilisateurs d’accéder à certaines ressources et effectuer des tâches simples, telles que forcer l’ouverture d’une page d’accueil particulière pour chaque utilisateur du réseau.
Certaines de ces mesures de sécurité comprennent:
- Limitation de l’accès au panneau de configuration through grâce au Panneau de configuration, une entreprise peut contrôler tous les aspects d’un ordinateur. Limiter l’accès à un ordinateur permet aux organisations de protéger les données et autres ressources.
- Désactivation de l’invite de commande – Une entreprise peut utiliser des invites de commande pour exécuter des commandes qui donnent un accès de haut niveau aux utilisateurs et contournent d’autres restrictions du système. C’est pourquoi il est prudent de désactiver l’invite de commande pour assurer la sécurité des ressources système. Si un utilisateur tente d’ouvrir une fenêtre de commande après que l’invite de commande a été désactivée, le système affichera un message indiquant que certains paramètres l’empêchent.
- Empêcher l’installation de logiciels if si les utilisateurs sont autorisés à installer des logiciels, ils peuvent installer des applications indésirables ou des logiciels malveillants qui peuvent compromettre le système d’une entreprise. En tant que tel, il est préférable d’empêcher les installations logicielles grâce à la stratégie de groupe.
Avantages des Objets de stratégie de groupe
La mise en œuvre des GPO présente plusieurs avantages en plus de la sécurité, notamment:
- Gestion plus efficace – Les GPO déjà en place appliquent un environnement standardisé à tous les nouveaux utilisateurs et ordinateurs qui rejoignent le domaine d’une organisation, ce qui permet de gagner du temps lors de la configuration.
- Facilité d’administration – les administrateurs système peuvent déployer des logiciels, des correctifs et d’autres mises à jour via GPO.
- Meilleure application de la politique de mot de passe – Les GPO déterminent la longueur du mot de passe, les règles de réutilisation et établissent d’autres exigences pour les mots de passe afin de protéger le réseau d’une entreprise.
- Configuration de la redirection des dossiers — Les GPO permettent aux entreprises de s’assurer que les utilisateurs conservent les fichiers importants de l’entreprise sur un système de stockage centralisé et surveillé. Par exemple, une organisation peut rediriger le dossier Documents d’un utilisateur, qui est généralement stocké sur un lecteur local, vers un emplacement réseau.
Limitations des GPO
Les limitations des objets de stratégie de groupe incluent:
- Ils exécutent séquentiellement les actions de processus GP GPOs les unes après les autres. Par conséquent, si de nombreux GPO doivent être configurés, la connexion des utilisateurs peut prendre beaucoup de temps.
- La flexibilité est limitée – les GPO ne peuvent être appliqués qu’aux utilisateurs ou aux ordinateurs. Ils sont donc limités lorsqu’il s’agit d’appliquer des paramètres basés sur le contexte.
- Déclencheurs limités — Les GPO ne peuvent être appliqués qu’au démarrage de l’ordinateur, lorsqu’un utilisateur ouvre une session ou à des intervalles définis. Les GPO ne peuvent pas réagir aux changements d’environnement, tels que la déconnexion ou la reconnexion du réseau.
- Difficile à maintenir – il n’y a pas d’option de recherche ou de filtre intégrée pour trouver un paramètre spécifique dans un GPO, ce qui rend difficile la recherche ou la résolution de problèmes avec les paramètres existants.
- Aucun contrôle de version — les modifications apportées aux paramètres de GPO ne sont pas auditées. Donc, si un changement incorrect est effectué, il est impossible de savoir quel était le changement ou qui l’a fait.
Ordre de traitement des GPO
L’ordre de traitement des stratégies de groupe affecte les paramètres appliqués à l’ordinateur ou à l’utilisateur final. Cet ordre de traitement est connu sous le nom de LSDOU: unité d’organisation locale, de site, de domaine. La stratégie de l’ordinateur local est d’abord traitée, suivie des stratégies Active Directory du niveau du site au domaine, puis dans l’unité d’organisation (les GPO dans les unités d’organisation imbriquées s’appliquent d’abord à partir de l’unité d’organisation la plus proche de la racine et continuent à partir de là). En cas de conflit, la dernière stratégie appliquée prendra effet.
Exemples de GPO
Voici des exemples d’objets de stratégie de groupe:
- Un GPO peut spécifier la page d’accueil qui s’affiche pour la première fois lorsqu’un utilisateur lance Internet Explorer. Lorsque l’utilisateur ouvre une session sur le domaine, cet objet de stratégie de groupe est récupéré et appliqué à la configuration d’Internet Explorer de l’utilisateur.
- Une organisation peut déployer des connexions d’imprimante réseau partagées vers des utilisateurs à partir d’une unité d’organisation spécifique d’Active Directory à l’aide de la stratégie de groupe. Ainsi, lorsqu’un utilisateur se connecte à Windows, une imprimante réseau affectée apparaît automatiquement dans la liste des imprimantes disponibles.
- Les administrateurs peuvent utiliser une stratégie de groupe pour ajuster les paramètres, tels que la désactivation des écrans d’ordinateur pendant une certaine période, le choix des programmes par défaut et l’interdiction aux utilisateurs de modifier les options de connexion Internet.
Meilleures pratiques
Certaines des meilleures pratiques pour les GPO comprennent:
- Créez une structure d’unité organisationnelle bien conçue dans Active Directory pour simplifier l’application et le dépannage de la stratégie de groupe.
- Donnez des noms descriptifs aux GPO pour permettre aux administrateurs d’identifier rapidement ce que fait chaque GPO.
- Ajoutez des commentaires à chaque GPO expliquant pourquoi il a été créé, quel est son but et quels sont ses paramètres.
- Ne définissez pas les GPO au niveau du domaine car ils seront appliqués à tous les objets ordinateur et utilisateur. Cela pourrait entraîner l’application inutile de certains paramètres à certains objets.
- N’utilisez pas les ordinateurs racine ou les dossiers utilisateur dans Active Directory car ils ne sont pas des unités organisationnelles et ils ne peuvent pas avoir de GPO liés à eux. Lorsqu’un nouvel objet utilisateur ou ordinateur apparaît dans ces dossiers, il doit être immédiatement à l’unité d’organisation appropriée.
- Ne désactivez pas un GPO. Supprimez plutôt le lien d’une unité d’organisation au lieu de désactiver le GPO si vous ne souhaitez pas qu’il soit appliqué. La désactivation de l’objet de stratégie de groupe l’empêchera d’être appliqué entièrement sur le domaine. Cela pourrait poser problème car si cette stratégie de groupe particulière est utilisée dans une autre unité d’organisation, elle ne fonctionnera plus.