ix - les stratégies de groupe (gpo)
TRANSCRIPT
WINDOWS SERVER 2008 : ADMINISTRATION DE BASE CLIENT / SERVEUR
LYCEE LA FAYETTE 25/288
IX. LES STRATEGIES DE GROUPE (GPO)
1. Définitions – les différentes stratégies Une stratégie de groupe (ou GPO – Group Policies Objet) est un ensemble d'éléments de configuration de Windows (sous différentes versions et service pack) et de logiciels s'appliquant à des ordinateurs, des utilisateurs ou des groupes d'utilisateurs permettant d'autoriser ou d'interdire certaines actions ou de configurer des paramètres d'utilisation. Il existe par défaut une stratégie de groupe locale sur chaque ordinateur Windows 2000, 2003 ou XP non contrôleur de domaine. Une stratégie de groupe des contrôleurs de domaine par défaut est aussi définie concernant l'ensemble des contrôleurs Windows 2000 ou 2003 du domaine. Enfin, une stratégie de groupe du domaine par défaut est définie à l'échelle du domaine concernant toutes les machines Windows 2000, 2003 ou XP Professionnel. Ces trois stratégies sont définies, dans cet ordre, de la moins prioritaire à la plus prioritaire. Un administrateur pourra créer des stratégies de groupe à destination d'ordinateurs, d'utilisateurs ou de groupes d'utilisateurs et les interclasser par ordre de priorité avec les stratégies par défaut. Toutes les modifications réalisées sont automatiquement déployées sur le domaine en temps réel. Les outils d'administration proposent un raccourci vers un sous-ensemble de chacune des stratégies du domaine dédié à la gestion de la sécurité. Ces sous-ensemble sont appelés « stratégie de sécurité » :
- Stratégie de sécurité locale : Utilisée pour configurer les paramètres de sécurité pour l'ordinateur local.
- Stratégie de sécurité du contrôleur de domaine : Utilisée pour configurer les paramètres de sécurité pour les contrôleurs du domaine.
- Stratégie de sécurité du domaine : Utilisée pour configurer les paramètres de sécurité du domaine.
2. Présentation des stratégies de groupe du TP
Nous allons créer trois stratégies de groupes au niveau du domaine, qui seront appliquées de manière ciblée aux différents groupes que nous avons créés (Direction, Secrétariat et Développement). La stratégie de groupe nommé « Strat_Direction » s’applique au groupe « Direction » et est composée de la restriction suivante :
- Empêcher l’accès au panneau de configuration ; La stratégie de groupe « Strat_Secrétariat » s’applique au groupe « Secrétariat » et est composée des restrictions suivantes :
- Empêcher l’accès au panneau de configuration ;
WINDOWS SERVER 2008 : ADMINISTRATION DE BASE CLIENT / SERVEUR
LYCEE LA FAYETTE 26/288
- Suppression du menu « exécuter » dans le menu Démarrer ; - Suppression des connexions réseau dans le menu démarrer
La stratégie de groupe « Strat_Developpement » s’applique au groupe développement et est composé des restrictions suivantes :
- Activation des quotas de disque ; - Désactivation de l’accès à la base de registre ; 3. Création des stratégies de groupes
Pour créer la stratégie de groupe « Strat_Direction », procéder comme suit :
- Aller dans le menu « Démarrer », « Outils d’administration », « Gestion des stratégies de groupes ».
- Ouvrir l’arborescence du domaine « domaine_sen.local », faites un clique droit sur « Objet de stratégies de groupe » et sélectionner « Nouveau » :
- Donner le nom Strat_Direction à la stratégie et valider :
- Pour définir les paramètres de cette nouvelle GPO, faites un clique droit dessus et sélectionner « modifier » :
WINDOWS SERVER 2008 : ADMINISTRATION DE BASE CLIENT / SERVEUR
LYCEE LA FAYETTE 27/288
L’éditeur des stratégies de groupes s’ouvre. Il est composé de deux grandes parties : - Configuration de l’ordinateur : Elle définit le comportement du système
d’exploitation et d’une partie du bureau et la configuration de la sécurité ; - Configuration utilisateur : Elle définit la configuration des applications, les
options d’applications affectées et publiées et enfin les paramètres du bureau. Elle intervient dans le déploiement d’applications ou de scripts.
Développer l’arborescence de la « Configuration utilisateur », « Stratégies », « Modèle d’administration » et sélectionner « Panneau de configuration ». A droite se trouve la stratégie « Empêcher l’accès au panneau de configuration » :
WINDOWS SERVER 2008 : ADMINISTRATION DE BASE CLIENT / SERVEUR
LYCEE LA FAYETTE 28/288
Faites un clique droit sur « Empêcher l’accès au panneau de configuration », et cliquer sur « Propriétés ». Cliquer sur « Activer » et valider :
Vous pouvez à présent fermer la fenêtre de l’éditeur des stratégies. Créer par vous-même les deux autres stratégies de groupe : « Strat_Secrétariat » et « Strat_Développement ».
4. Liaison des stratégies de groupe au domaine Les stratégies de groupe étant créées, il faut maintenant les lier au domaine « domaine_sen.local ». Pour cela, procéder comme suit :
- Ouvrir le gestionnaire de stratégies de groupe ; - Ouvrir l’arborescence de la foret « domaine_sen.local » et cliquer droit sur
« domaine_sen.local ». Sélectionner « Lier un objet de stratégie de groupe existant » :
WINDOWS SERVER 2008 : ADMINISTRATION DE BASE CLIENT / SERVEUR
LYCEE LA FAYETTE 29/288
- Dans la liste, sélection les stratégies de groupes à lier au domaine et valider :
- Les stratégies liées au domaine « domaine_sen.local » sont maintenant visibles et activées par défaut :
5. Application des Stratégies de groupe
Pour appliquer la GPO « Strat_Direction » au groupe « Direction », procéder comme suit : - Ouvrir le gestionnaire de stratégies de groupe ; - Afficher les objets de stratégies de groupe :
- Double cliquer sur la stratégie de groupe « Strat_Direction »
WINDOWS SERVER 2008 : ADMINISTRATION DE BASE CLIENT / SERVEUR
LYCEE LA FAYETTE 30/288
- Dans la partie « Filtrage et sécurité », cliquer sur le bouton « Ajouter » :
- Entrer « Direction » et cliquer sur « Vérifier les noms ». Enfin, cliquer sur « OK » :
La stratégie s’appliquera maintenant à tous les utilisateurs du groupe « Direction » :
WINDOWS SERVER 2008 : ADMINISTRATION DE BASE CLIENT / SERVEUR
LYCEE LA FAYETTE 31/288
- Le problème est qu’elle s’appliquera également aux autres utilisateurs car les « Utilisateurs authentifiés » sont sélectionnés… Afin de remédier à ce problème, supprimer la ligne « Utilisateurs authentifiés » :
Appliquer les autres stratégies de groupes aux groupes restants.
6. Test de l’application des stratégies de groupes Afin de tester que les stratégies sont bien appliquées, démarrer une session sur le poste client sous l’utilisateur Bill Gates. Vérifier que vous n’avez pas accès au panneau de configuration. Si la stratégie n’a pas été appliquée, lancer une commande DOS (« Damarer », « Exécuter ») et taper « gpupdate /force ». Redémarrer l’ordinateur et tester de nouveau. Effectuer les tests similaires pour les autres stratégies de groupes, en vous connectant avec les utilisateurs adéquates.
7. Exécution d’un script à l’ouverture d’une session à l’aide d’une GPO Nous allons créer une GPO permettant d’afficher une fenêtre avec un message de bienvenue pour les utilisateurs du groupe « Direction ». Pour cela :
- Editer la stratégie de groupe « Strat_Direction » - Aller dans « Configuration Utilisateur », « Paramètres Windows »,
« Scripts (Ouverture / Fermeture de session) » et double cliquer sur « Ouverture de Session » à droite :
WINDOWS SERVER 2008 : ADMINISTRATION DE BASE CLIENT / SERVEUR
LYCEE LA FAYETTE 32/288
- Cliquer sur « Ajouter » et « Parcourir » :
- Faites un clique droit et sélectionner « Nouveau document texte » :
- Donner le nom « script_direction » à votre document. Modifiez-le et modifiez l’extension en « .vbs » avant de le sauvegarder. Effacer le document texte restant :
WINDOWS SERVER 2008 : ADMINISTRATION DE BASE CLIENT / SERVEUR
LYCEE LA FAYETTE 33/288
- Editer le script et entrer le code suivant : - Enregistrer et tester l’exécution du script lors de l’ouverture de la session par Bill
GATES.
MsgBox "Bonjour Bill "