Comment créer et lier un GPO dans Active Directory (Étape par étape)

Tutoriels

Comment créer et lier un GPO dans Active Directory (Étape par Étape). Dans le domaine dynamique de la gestion de l’Annuaire Actif, maîtriser l’art des Objets de Stratégie de Groupe (GPO) est une compétence cruciale pour tout administrateur. Ce guide étape par étape dévoile le processus sans faille de création et de liaison des GPO, fournissant une feuille de route complète pour naviguer dans les complexités de l’Annuaire Actif. Cet article garantit que nous comprenons non seulement les fondamentaux, mais aussi que nous acquérons la confiance nécessaire pour manipuler efficacement les GPO dans notre parcours d’administration réseau.

Lire aussi Utilisation de la Stratégie de Groupe pour Améliorer la Sécurité de l’Annuaire Actif

Comment créer et lier un GPO dans Active Directory (Étape par Étape)

Aperçu Rapide des Objets de Stratégie de GroupeLes Objets de Stratégie de Groupe (GPO) sont l’épine dorsale de la gestion centralisée dans les environnements Windows Active Directory. Essentiellement, les GPO sont un ensemble de règles, de configurations et de paramètres que les administrateurs définissent pour gouverner le comportement des utilisateurs et des ordinateurs au sein d’un réseau. En mettant en œuvre des GPO, les administrateurs imposent des politiques de sécurité, régulent les paramètres système, déploient des logiciels et rationalisent divers aspects de la gestion réseau.

Les objets de stratégie de groupe (GPO) sont l’épine dorsale de la gestion centralisée dans les environnements Windows Active Directory. Essentiellement, les GPO sont un ensemble de règles, de configurations et de paramètres que les administrateurs définissent pour régir le comportement des utilisateurs et des ordinateurs au sein d’un réseau. En mettant en œuvre des GPO, les administrateurs appliquent des politiques de sécurité, régulent les paramètres système, déploient des logiciels et rationalisent divers aspects de la gestion réseau.

Cet outil puissant non seulement améliore l’efficacité organisationnelle, mais garantit également un environnement informatique cohérent et sécurisé en permettant aux administrateurs d’exercer un contrôle et d’appliquer des politiques sur une multitude d’appareils et d’utilisateurs.

Lire aussi Essayez les rapports GPO InfraSOS Active Directory

Travailler avec les objets de stratégie de groupe

Les GPO sont utilisées de deux manières différentes : soit sur une machine locale en utilisant l’Éditeur de stratégie de groupe local, soit sur notre système d’entreprise en utilisant la Console de gestion des stratégies de groupe (GPMC). Pour maintenir et créer un environnement résilient, nous nous concentrons sur le scénario d’entreprise dans cet article, car les stratégies locales sont traitées en premier (avant les stratégies de domaine).

Installation de l’outil RSAT de la stratégie de groupe

L’un des composants de l’outil classique Outil d’administration de serveur distant (RSAT) est la Console de gestion des stratégies de groupe. Nous pouvons installer cette solution basée sur MMC (Microsoft Management Console) sur Windows en utilisant l’application Paramètres Windows actuelle.

Nous conservons les paramètres de la stratégie de groupe dans le dossier partagé « SYSVOL » sur un contrôleur de domaine (DC), et si nécessaire, nous répliquons ces paramètres à chaque autre DC dans le domaine et la forêt. Ce processus décrit la redondance intégrée de l’infrastructure de la stratégie de groupe.

Pour continuer, nous allons voir comment installer l’outil Console de gestion des stratégies de groupe :

  • Tout d’abord, cliquez sur le bouton Démarrer et recherchez le mot-clé « facultatif ».
  • Cliquez sur « Gérer les fonctionnalités facultatives » et sur le bouton « + Ajouter une fonctionnalité » en haut.
  • Faites défiler la liste, cochez la case « Outils d’administration de serveur distant : Outils de gestion des stratégies de groupe » et cliquez sur Installer.

À partir de maintenant, la console de gestion des stratégies de groupe est accessible. Pour ouvrir la Console de gestion des stratégies de groupe (GPMC), procédez comme suit :

  1. À l’aide de la boîte de dialogue Exécuter :
    • Appuyez sur la touche Windows + R pour ouvrir la boîte de dialogue Exécuter.
    • Tapez gpmc.msc et appuyez sur Entrée.

2. Via le menu Démarrer :

    • Cliquez sur le bouton Démarrer.
    • Tapez « Console de gestion des stratégies de groupe » dans la barre de recherche.
    • Cliquez sur le résultat pertinent qui apparaît.

3. À travers le Gestionnaire de serveur (Windows Server) :

    • Si nous utilisons un Windows Server, nous ouvrons le Gestionnaire de serveur.
    • À l’intérieur de la fenêtre du Gestionnaire de serveur, cliquez sur les « Outils » dans le coin supérieur droit.
    • Sélectionnez « Gestion des stratégies de groupe » dans la liste.

Maintenant, nous voyons la console de gestion des stratégies de groupe. Ici, nous expliquons comment nous organisons la stratégie de groupe et comment nous ciblons des entités logiques spécifiques dans notre organisation.

Avec la console de gestion des stratégies de groupe, nous effectuons plusieurs fonctions suivantes. Par exemple, nous modifions des objets de stratégie de groupe (GPO) préexistants, générons de nouveaux GPO, ajustons les paramètres de filtrage de GPO spécifiques au niveau du groupe, et utilisons le Filtrage WMI pour cibler des ordinateurs particuliers. Dans la section suivante, nous commençons par créer un nouveau GPO.

Également à lire Découvrez l’outil de reporting Active Directory par InfraSOS

Création d’un nouvel objet de stratégie de groupe

Maintenant, essayons de créer un nouvel objet de stratégie de groupe :

  1. Faites un clic droit sur ‘ Ordinateurs Windows de domaine ‘ et sélectionnez ‘ Créer un GPO dans le domaine, et le lier ici… ‘

2. Nommons-le ‘ Nettoyage du menu Démarrer ‘ et cliquez sur OK.

3. Éditez le GPO : Faites un clic droit sur le GPO lié et sélectionnez Modifier.

4. Accédez au paramètre de la stratégie :

    • Dans l’Éditeur de gestion des stratégies de groupe, accédez à ces menus :
    • Configuration de l’ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Attribution des droits des utilisateurs.

5. Modifiez le paramètre de stratégie :

    • Recherchez la stratégie que nous voulons, comme dans l’exemple ci-dessous :
    • Double-cliquez sur la stratégie, sélectionnez « Définir ces paramètres de stratégie » et choisissez « Activé ».

6. Enregistrer et fermer :

    • Cliquez sur « OK » pour appliquer les modifications.
    • Fermez l’Éditeur de stratégie de groupe.

Lire aussiCréer des rapports de stratégie de groupe Active Directory avec PowerShell (GPO)

Forcer la mise à jour ou attendre l’application de la stratégie de groupe

Veuillez noter que ce paramètre est actif dans l’environnement ; lors du prochain rafraîchissement, tous les objets informatiques dans cette OU le voient. La stratégie de groupe est traitée par défaut par les PC et serveurs de domaine toutes les 90 minutes avec un décalage aléatoire de 30 minutes. Néanmoins, la commande gpresult est un outil précieux pour les tests et le dépannage.

En utilisant notre terminal ou shell préféré, nous utilisons la commande gpupdate pour contraindre l’ordinateur à mettre à jour la stratégie de groupe sur le système. Cette commande gère toutes les modifications de la stratégie de groupe pour l’ordinateur et l’utilisateur connecté. Sans demander la permission, les modifications que nous pouvons imposer en utilisant l’option ‘/force‘.

gpupdate /force

Pour vérifier, nous constatons que notre système cache maintenant les objets en faisant un clic droit sur le Démarrer bouton et en sélectionnant le Éteindre ou Se déconnecter menu.

Nous empêchons les utilisateurs de redémarrer ou d’éteindre leurs machines grâce à cette modification relativement simple. Ce type de paramétrage comporte de nombreuses variables et applications. 

Lier un objet de stratégie de groupe

  1. Lier le GPO à une Unité Organisationnelle (OU) ou à un domaine :
    • Accédez à l’OU ou au domaine cible où nous voulons lier le GPO.
    • Faites un clic droit sur l’OU ou le domaine, sélectionnez « Lier un GPO existant« , et choisissez « Verrouillage de sécurité du contrôleur de domaine.« .

2. Confirmer le lien :

    • A dialog box appears. Confirm our selection by clicking “Yes.”

3. Vérifiez le lien:

    • Dans le GPMC, sous l’OU cible ou le domaine, confirmez que le GPO « Domain Controller Security Lockdown » est maintenant répertorié comme lié.

4. Forcer la mise à jour ou attendre l’application de la stratégie de groupe:

    • Forcer une mise à jour de la stratégie de groupe sur les contrôleurs de domaine en utilisant gpupdate /force dans l’invite de commandes ou attendre que la stratégie s’applique lors du prochain rafraîchissement.

Maintenant que les GPO et les contrôleurs de domaine sont connectés. Nos DC gèrent les paramètres de ce GPO la prochaine fois qu’ils vérifient les modifications des stratégies de groupe. Après avoir créé et élaboré une collection de paramètres une fois, liez ou déployez-les rapidement vers un conteneur dans notre environnement.

À lire également Comment configurer Active Directory sur Windows Server 2022

Modifier un objet de stratégie de groupe existant

Nous anticipons la découverte de centaines ou de milliers d’OSG dans un seul domaine dans les grandes entreprises. Gérer les UO enfants, les OSG locaux et les politiques locales dans le mélange, ainsi que la complexité de l’héritage de certains OSG spécifiques et l’utilisation de WMI pour cibler des systèmes d’exploitation particuliers est intimidant. De plus, il y a des pénalités de performance générales lorsque les PC démarrent et les utilisateurs se connectent en raison de la quantité pure d’OSG dans notre domaine.

Portée de l’objet de stratégie de groupe

La racine du domaine est l’endroit où nous localisons la plupart de nos OSG. En raison de cette procédure, chaque objet machine et serveur au sein du domaine visualise et utilise cet OSG par défaut. Encore une fois, il existe des techniques pour exclure certaines personnes, machines, unités organisationnelles et groupes de sécurité.

Ce processus nous permet d’afficher le groupe d’utilisateurs authentifiés dans la section de filtrage de sécurité. Ce filtrage dit effectivement, “Tout le monde“ : cet OSG est visible par tout compte authentifié avec le domaine.

Modifier l’objet de stratégie de groupe

Maintenant, essayons de modifier un OSG actuel :

  • Cliquez avec le bouton droit sur l’OSG ciblé et sélectionnez ‘Modifier‘ pour initier le processus de modification.
  • Naviguez à travers la disposition logique, qui inclut les arbres de Configuration de l’ordinateur et de Configuration utilisateur.
  • Pour localiser et ajuster les paramètres WSUS dans Configuration de l’ordinateur, développez -> Stratégies -> Modèles d’administration -> Composants Windows -> Mise à jour Windows.
  • Identifiez le paramètre spécifique que nous voulons modifier, tel que ‘Configurer les mises à jour automatiques.’
  • Plongez dans les propriétés du paramètre choisi pour accéder et analyser les options de configuration.
  • Effectuez les ajustements nécessaires pour aligner la GPO avec nos modifications de stratégie souhaitées.

Ce processus est un paramètre plus complexe. Il s’agit des paramètres pour la mise à jour des mises à jour Windows sur mon domaine. Mais l’essentiel ici est que nous gérons tous nos ordinateurs (ou un sous-ensemble) de manière centralisée.

Ce processus illustre comment les objets de stratégie de groupe (GPO) imposent des restrictions sur les paramètres informatiques. Supposons que nous examinions les options avancées de Windows Update sur cette station de travail. Dans ce cas, nous constatons que le paramètre initial, « Recevoir les mises à jour pour les autres produits Microsoft lors de la mise à jour de Windows« , est maintenant régi par la stratégie de groupe.

Techniquement, cela signifie que nous appliquons certaines stratégies de groupe à cet ordinateur, mais nous ne pouvons pas ajuster ces paramètres.

Lire également Comment mettre en œuvre des politiques de conformité et de gouvernance pour Windows Server

Gestion des objets de stratégie de groupe

Lors de la création d’un nouveau domaine, notre serveur Windows génère deux GPO en tant que configuration par défaut, à savoir la « Politique de domaine par défaut » et la « Politique du contrôleur de domaine par défaut ». Ces GPO déterminent au minimum les paramètres des politiques de mot de passe du domaine, des politiques de verrouillage de compte, des politiques Kerberos, des options de sécurité fondamentales et diverses autres configurations de sécurité réseau.

Depuis des décennies, il est de pratique de ne pas modifier ces deux stratégies – nous devrions plutôt créer de nouvelles GPO. Il y a plusieurs raisons à cela, mais la plus fondamentale est que lorsque nous dépannons notre domaine, nous devons savoir que nous ne devons pas modifier ces configurations par défaut.

Désactiver un objet de stratégie de groupe

Pour désactiver un GPO et bloquer ses paramètres pour qu’ils n’affectent pas les ordinateurs à venir, cliquez avec le bouton droit sur le GPO et sélectionnez Désactiver le lien. Cette action détachera le lien et mettra le GPO en mode inactif ou dormant.

Supprimer un objet de stratégie de groupe

Lors des tâches de nettoyage et de dépannage, la suppression d’un GPO se fait en cliquant dessus avec le bouton droit et en sélectionnant Supprimer. Pour une approche complète et rationalisée, accédez à la vue des objets de stratégie de groupe dans l’arborescence et lancez le processus de suppression.

Merci d’avoir lu Comment créer et lier un GPO dans Active Directory (étape par étape). Nous allons conclure l’article.

Lire aussi Trouver des groupes imbriqués et des membres dans Active Directory avec PowerShell

Comment créer et lier un GPO dans Active Directory Conclusion

En conclusion, maîtriser la création et le lien des objets de stratégie de groupe (GPO) dans Active Directory est une compétence indispensable pour les administrateurs qui naviguent dans le paysage complexe de la gestion réseau. Ce guide étape par étape nous a dotés des connaissances et de la confiance nécessaires pour mettre en œuvre les GPO de manière transparente, offrant une approche pratique qui démystifie le processus. Alors que nous entamons notre voyage dans l’administration d’Active Directory, la capacité à exploiter efficacement les GPO optimise non seulement les configurations système, mais nous permet également de maintenir un environnement informatique sécurisé sur l’ensemble de notre réseau.

Source:
https://infrasos.com/how-to-create-and-link-a-gpo-in-active-directory/