TP05 : (GROUP POLICY OBJECT) OU STRATEGIES DE GROUPE SOUS WINDOWS SERVER 2012 Les paramètres Stratégie de groupe définissent les différents composants relatifs à l environnement du bureau de l utilisateur qu un administrateur système doit gérer. (Se reporter au cours sur les ). Ce TP porte sur les points suivants : Création d une stratégie de groupe ; Configuration d une stratégie de sécurité appliquée aux utilisateurs et enfin sur l Application d une stratégie de groupe. 1. Rappels sur les UO (Unités d Organisation) et les 1.1 Création d une UO et d une stratégie de groupe Les ne peuvent pas s appliquer directement à des utilisateurs ou à des groupes. Il faut donc créer une UO à laquelle ou pourra alors appliquer une. Pour cela, il faut : aller dans outils d'administration/ utilisateurs et ordinateurs Active Directory, puis clic droit sur votre domaine, puis nouveau et unité d'organisation (UO) Ensuite, dans la fenêtre Gestion des stratégies de groupe, faites une actualisation puis un clic droit sur cette UO (qui doit apparaître dans la liste), Choisissez l option «créer un objet dans ce domaine, et le lier ici» pour créer une nouvelle. Une fois cette UO créée il faut insérer ou créer des utilisateurs et des ordinateurs sur lesquels va s'appliquer la stratégie. Pour cela, on peut faire «glisser» un utilisateur du répertoire USERS vers l UO que l on veut. Idem pour un ordinateur. Les possibilités de configurations étant nombreuses et variées, nous allons nous intéresser plus particulièrement à l environnement de travail utilisateur que l on va pouvoir configurer au travers des Modèles d administration. 1.2 Configuration d une Rappelons que pour accéder à ces modèles, il faut aller dans les propriétés de l UO, puis dans l onglet Stratégies de groupe, sélectionner une stratégie et choisir Modifier. La fenêtre «Editeur de gestion des stratégies de groupe» apparaît et vous permet de configurer les différents paramètres pour les utilisateurs ou les ordinateurs (Paramètres logiciels, Paramètres Windows et Modèles d administration). Il faut choisir la configuration ordinateur ou la configuration utilisateur. Les Modèles d administration permettent de configurer l environnement de travail et contiennent toutes les informations concernant le Registre. Les configurations utilisateurs sont enregistrées dans HKEY_CURRENT_USER et celles des ordinateurs dans HKEY_LOCAL_MACHINE. Pour cela, on dispose de 7 groupes de paramètres : 1. Composants Windows (IE, Explorateur, TSE, Messenger, Update, Lecteur Médie, etc.) ; 2. Menu Démarrer et Barre des tâches (où l on peut supprimer, ou pas, des menus, icônes, etc.) ; 3. Bureau (où l on peut aussi supprimer, ou non, un grand nombre d éléments) ; 4. Panneau de configuration (où l on peut masquer les différentes actions normalement possibles) ; 5. Dossiers partagés (permettre ou non de partager des dossiers) ; 6. Réseau (où l on peut interdire, ou pas, l accès à certaines ressources) ; 7. Système (où l on peut limiter, activer/désactiver certaines ressources systèmes). Georges ESQUIROL Page 1 / 8
2. Configuration d une stratégie de sécurité appliquée aux utilisateurs 2.1 Préparation du TP Pour ce TP, vous utiliserez les équipements suivants (2VM) : 1 serveur Windows 2012 ; 1 poste client sous Windows 7. 2.2 Préparation du serveur Créez deux UO que vous nommerez «UO_MenuDémarrer» et «UO_Bureau». Créez une pour chaque UO que vous nommerez «_MenuDémarrer» et «_Bureau» en ne rien précisant dans la partie «Objet Starter source». Afin de tester les, vous allez placer des utilisateurs dans les UO (créés dans les TP précédents, si besoin il ne vous reste plus qu à les recréer!! voir TP de 1 ère année sur la gestion des comptes d utilisateurs). Déplacez l élève bts1a dans l UO «UO_MenuDémarrer» et l élève bts1b dans «UO_Bureau». 2.3 Premier cas : Restriction sur le «Menu Démarrer et Barre des Tâches» Vous allez imposer quelques restrictions à l utilisateur bts1a appartenant à l UO «UO_MenuDémarrer». Le nombre d options étant assez important, vous allez intervenir que sur quelques paramètres. Avant d activer ces restrictions par la, vérifier sur un poste client Windows7 (VM) faisant partie de votre domaine que l utilisateur bts1a peut effectivement : accéder et utiliser le programme «Exécuter» disponible dans le menu Démarrer/Tous les programmes/accessoires. accéder aux dossiers «Images» et «Musique» disponibles dans le menu Démarrer/Documents Modifier la stratégie «_MenuDémarrer», sans oublier que vous êtes dans le cas d une stratégie de sécurité appliquée aux utilisateurs et que l on travaille sur les modèles d administration, et activer les options suivantes : Supprimer le menu Exécuter du menu Démarrer ; Supprimer l icône Images du menu Démarrer ; Supprimer l icône Musique du menu Démarrer ; Détaillez les différentes étapes (choix) qui vous permettrons d atteindre les restrictions demandées, c'està-dire : comment faire pour modifier une, quel type de configuration choisir, quelle option entre «Stratégie» ou «Préférences», Paramètres logiciel/windows ou bien modèles d administration et enfin le groupe de paramètres où se trouvent les restrictions que l on souhaite mettre en œuvre : Qa : Comment modifier une Type de configuration «Stratégie» ou «Préférences»? Paramètres logiciel/windows ou modèles d administration? Groupe de paramètres gestion des strategi de groupe clic modifier sur la activé strategie Georges ESQUIROL Page 2 / 8
Q1 : Sur votre client, tapez «gpresult /r». dans une fenêtre de commande. Faites un copier-coller et reportez la copie d écran ci-dessous : Sur votre serveur, forcer la mise à jour des stratégies afin qu elles soient applicables immédiatement. Fermer la session bts1a en cours et en ouvrir une nouvelle. Georges ESQUIROL Page 3 / 8
Q2 : Est-ce que la s applique bien à l utilisateur bts1a? Oui Q3 : Sur votre client, tapez à nouveau «gpresult /r». dans une fenêtre de commande. Faites un copier-coller et reportez la copie d écran ci-dessous : Georges ESQUIROL Page 4 / 8
2.4 Deuxième cas : Restriction sur le «Bureau» Vous allez imposer maintenant quelques restrictions à l utilisateur bts1b appartenant à l UO «UO_Bureau». Le groupe Bureau d un modèle d administration se compose à son tour de deux sous groupes : et Active Directory et Bureau (Active Desktop sous 2008). Nous utiliserons Bureau (Active Desktopsous 2008). Ce groupe de paramètres permet, entre autres, de désactiver tout ou partie des éléments du bureau, d interdire les modifications (par exemple le fond d écran), d empêcher l ajout ou la suppression d éléments, etc. Avant d activer ces options, vérifier sur un poste client Windows7 faisant partie de votre domaine que l utilisateur bts1b peut effectivement modifier son bureau et ajouter ou supprimer des éléments. Modifier la stratégie «_Bureau» et activer les options suivantes : - Empêcher la suppression d éléments - Papier peint du bureau, en indiquant le chemin de l image suivant : C:\Windows\Web\Wallpaper\Paysages\img10.jpg (mettre le chemin en anglais) Comme pour la 1ère, détaillez les différentes étapes (choix) qui vous permettront d atteindre les restrictions demandées : Q4 : Comment modifier une Type de configuration «Stratégie» ou «Préférences»? Paramètres logiciel/windows ou modèles d administration? Groupe de paramètres Sous groupe configuration utilisateur startegie model administrateur bureau bureau utilisateur strategie Vérification de la mise en œuvre de la Q5 : Est-ce que l utilisateur bts1b peut supprimer des éléments? Q6 : Quel est le fond d écran qui s affiche? car mon AD n a pas l image demander 2.5 Troisième cas : Restriction sur le «Panneau de configuration» En ce qui concerne le panneau de configuration, on peut choisir de ne plus le faire apparaître ou bien de limiter l accès à certains éléments. Vous allez tester la première possibilité. Tout d abord, vous allez créer une nouvelle liée à «UO_Bureau» et qui se nommera «_PanneauConf». Pour cela, utilisez la console de Gestion des stratégies de groupe (GPMC). Georges ESQUIROL Page 5 / 8
Ensuite, Modifiez cette et dans l éditeur de gestion des stratégies de groupe allez dans la configuration utilisateur \ Stratégies \ Modèles d administration \Panneau de configuration. Vous pouvez alors accéder à des sous dossiers (6) ou bien directement à 4 options. Activer l option Interdire l accès au Panneau de configuration. Forcer la mise à jour de la stratégie sur le serveur. Sur le client, fermer la session en cours puis ouvrir une nouvelle session avec bts1b. Q5 : Est-ce que bts1b peut accéder au panneau de configuration? Sur le client, fermer la session en cours puis ouvrir une nouvelle session avec bts1a. Q6 : Est-ce que bts1a peut accéder au panneau de configuration? Modifiez cette afin qu elle s applique également à «UO_MenuDémarrer». Pour cela, allez dans la GPMC et faites un clic droit sur UO_MenuDémarrer et sélectionnez «Lier un objet de stratégie de groupe existant». Dans la fenêtre qui s ouvre, choisissez la _PanneauConf. Ainsi, la s appliquera aux deux UO. Un raccourci vers la doit alors apparaître sous l unité d organisation UO_MenuDémarrer. Sur le client, fermer la session en cours puis ouvrir une nouvelle session avec bts1a. Q6 : Est-ce que bts1a peut accéder au panneau de configuration? 3. Configuration d une stratégie de sécurité appliquée aux ordinateurs 3.1 Par le biais d une UO ne contenant que des utilisateurs Sur le client, fermer la session en cours puis ouvrir une nouvelle session avec bts1a. Vérifier que vous pouvez créer sur, le bureau, un raccourci du lecteur Windows Média. Vous allez modifier à nouveau _PanneauConf en réactivant l accès au panneau de configuration. Ensuite, vous allez dans la Configuration ordinateur \ Modèles d administration \Composants Windows \ Gadgets du bureau et Activer l option Désactiver les gadgets du bureau. Forcer la mise à jour de la stratégie sur le serveur. Sur le client, fermer la session en cours puis ouvrir une nouvelle session avec bts1a. Q7 : Est-ce que bts1a peut accéder aux gadgets du bureau? Si vous le pouvez, affichez le calendrier. Il faut ajouter l ordinateur a la et redémarrer la machine Redémarrer le poste client, fermer la session en cours puis ouvrir une nouvelle session avec bts1a. Q8 : Est-ce que bts1a peut accéder aux gadgets du bureau? Q9 : Quel message est affiché? Oui Les gadjet bureau sont gerer par votr administrateru Fermer la session en cours puis ouvrir une nouvelle session avec res1. Georges ESQUIROL Page 6 / 8
Q10 : Est-ce que res1 peut accéder aux gadgets du bureau? Redémarrer le poste client, fermer la session en cours puis ouvrir une nouvelle session avec res1. Q11 : Est-ce que res1 peut accéder aux gadgets du bureau? Faisons un petit récapitulatif : Q12 : Quand la Configuration utilisateur est-elle prise en compte? Dès qu on fait la mise à jour sur AD a l ouverture de la session Q13 : Quand la Configuration ordinateur est-elle prise en compte? Au redémarrage du client Q14 : La Configuration ordinateur ne s applique pas tout le temps. Précisez dans quels cas elle est effective? Elle sera effective lors d un redémarrage de la machine 3.2 Par le biais d une UO ne contenant que des ordinateurs Créez une nouvelle UO que vous nommerez «UO_ordinateurs». Créez une pour cette UO que vous nommerez «_ordinateurs». Afin de tester cette, vous allez placer votre poste client (qui doit se trouver dans le dossier Computer) dans la nouvelle UO. Vérifiez qu avec les utilisateurs bts1a et res1 vous pouvez accéder aux propriétés de la connexion réseau locale du poste client. Modifiez «_ordinateurs». Allez dans Configuration utilisateur \ Modèles d administration puis Réseau \ Connexions réseau. Activer l option Interdire l accès aux propriétés des composants d une connexion réseau local. Affichez ensuite les connexions réseau puis sélectionnez la connexion au réseau local. Allez dans les propriétés de cette connexion. Le message suivant doit alors apparaître : Georges ESQUIROL Page 7 / 8
La fenêtre des propriétés s ouvre malgré tout mais vous constaterez que vous ne pouvez pas accéder aux différents paramètres. Les boutons ne sont pas actifs Si vous êtes curieux et un peu courageux tester d autres options. Georges ESQUIROL Page 8 / 8