GPO. Stratégie de groupe dans un environnement Active Directory. Nathan Garaudel PCplus 01/01/2014



Documents pareils
Active Directory Profils des utilisateurs, sécurité et stratégie de groupe (GPO)

Chapitre 1 Labo 1 : Les rôles de base du contrôleur de domaine Windows 2008 Server R2

Windows serveur 2012 : Active Directory

9 - Installation RDS sur 2008R2 SOMMAIRE. Chapitre 1 Mise en place RDS sous Windows 2008 R2 2

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

Installation d'un Active Directory et DNS sous Windows Server 2008

Stratégie de groupe dans Active Directory

Administration d un client Windows XP professionnel

Introduction à LDAP et à Active Directory Étude de cas... 37

Créer et partager des fichiers

CREATION COMPLETE D UN DOMAINE WINDOWS 2000 AVEC UN SERVEUR DE FICHIERS

Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2 Implémentation, fonctionnalités, dépannage [2ième édition]

Active Directory est un service d'annuaire utilisé pour stocker des informations relatives aux ressources réseau sur un domaine.

Les Stratégies de Groupes

Travaux pratiques Configuration d un pare-feu sous Windows XP

Mise en route d'une infrastructure Microsoft VDI

ASR3. Partie 2 Active Directory. 1 Arnaud Clérentin, IUT d Amiens, département Informatique,

Configurer un réseau domestique. Partager ses fichiers, ses dossiers et ses imprimantes sur tous ses PC.

Les GPO 2012 server R2 (appliqués à Terminal Serveur Edition)

Installation de Windows 2003 Serveur

PROCÉDURE D AIDE AU PARAMÉTRAGE

Gestion des utilisateurs : Active Directory

Guide SQL Server 2008 pour HYSAS

Guide d installation BiBOARD

Pré-requis de création de bureaux AppliDis VDI

Chapitre 02. Configuration et Installation

Améliorer l expérience utilisateur en environnement TSE (Terminal Services, Services Bureau à distance, Remote App)

AFTEC SIO 2. Christophe BOUTHIER Page 1

Guide de démarrage IKEY 2032 / Vigifoncia

ASR3. Partie 2 Active Directory. Arnaud Clérentin, IUT d Amiens, département Informatique

Démarrer et quitter... 13

TP4 : Installer configurer un contrôleur de domaine

Personnaliser le serveur WHS 2011

LANDPARK NETWORK IP LANDPARK NETWORK IP VOUS PERMET D'INVENTORIER FACILEMENT VOS POSTES EN RÉSEAU

AOLbox. Partage de disque dur Guide d utilisation. Partage de disque dur Guide d utilisation 1

Guide de migration BiBOARD V10 -> v11

TP 4 & 5 : Administration Windows 2003 Server

Le pare-feu de Windows 7

Tutorial Terminal Server sous

Gestion des fichiers sur micro-ordinateur

clé Internet 3g+ Guide d installation

SOMMAIRE ÉTAPES OBLIGATOIRES. Récupérer le connecteur... 3

sommaire ÉTAPES OBLIGATOIRES Récupérer le connecteur... 3

Installation de Windows 2008 Serveur

Eléments techniques tome I Installation Serveur Windows 2012

Manuel d utilisation de Gestion 6

Comment déployer l'active Directory sur Windows Server 2008 R2. Microsoft France Division DPE

Travaux pratiques Bureau à distance et assistance à distance dans Windows 7

Configurer le pare-feu de Windows XP SP2/Vista pour UserLock

Objet du document. Version document : 1.00

Déploiement automatisé de Windows Seven via le WAIK

06/11/2014 Hyperviseurs et. Infrastructure. Formation. Pierre Derouet

Comment autoriser un programme à communiquer avec Internet sous Vista?

TP Windows server 2kx

Windows 8 Installation et configuration

Microsoft Windows 2000 Administration de Microsoft Windows 2000

Manuel d utilisation du web mail Zimbra 7.1

Netstorage et Netdrive pour accéder à ses données par Internet

VIII- STRATEGIES DE GROUPE...

Journée CUME 29 Mars Le déport d affichage. Vincent Gil-Luna Roland Mergoil.

Services RDS de Windows Server 2012 R2 Remote Desktop Services : Installation et administration

MISE A JOUR : 04 FEVRIER 2011 PROCÉDURE D INSTALLATION. Cegid Business COMMENT INSTALLER CEGID BUSINESS V9 SOUS WINDOWS XP, VISTA ET 7

Atelier Le gestionnaire de fichier

Connexion d'un Ordi35 à une ClubInternet Box en WiFi

IDEC. Windows Server. Installation, configuration, gestion et dépannage

Cahier Technique Envoi par à partir des logiciels V7.00

Configurer le pare-feu de Windows XP SP2 pour WinReporter

UserLock Quoi de neuf dans UserLock? Version 6

Pré-requis de création de bureaux AppliDis VDI

Pré-requis serveur d'applications AppliDis pour Microsoft Windows Server 2012

PPE 1 PRISE EN MAIN DE VMWARE VSPHERE 5.5 & CONFIGURATION D UNE MACHINE VIRTUELLE

Début de la procédure

Guide d installation rapide. 30 mn chrono V 6

Accès au Serveur de PAIE «SPV» par INTERNET Paramétrage du poste de travail «Windows»

Procédure d installation :

Installation de Windows 2000 Serveur

Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2

Infrastructure Active Directory en termes de GPO

GUIDE D INSTALLATION INTERNET haute vitesse

GUIDE DE L UTILISATEUR

VAMT 2.0. Activation de Windows 7 en collège

Protéger une machine réelle derrière une machine virtuelle avec pfsense

Certificats Electroniques sur Clé USB

ANTIDOTE 8 INSTALLATION RÉSEAU WINDOWS

Pré-requis pour les serveurs Windows 2003, Windows 2008 R2 et Windows 2012

Fonctionnement de Windows XP Mode avec Windows Virtual PC

Découvrez notre solution Alternative Citrix / TSE

Sécurisation de Windows NT 4.0. et Windows 2000

PROJET PERSONNALISÉ ENCADRÉ : N 6

Manuel d installation du pilote pour e-barreau Pour Windows XP Vista 7 avec Internet Explorer 32/64bits

Sécurisation du réseau

Installation de serveurs DNS, WINS et DHCP sous Windows Server 2003

Microsoft Application Center Test

Groupes et utilisateurs locaux avec Windows XP

PARAMETRER INTERNET EXPLORER 9

Guide utilisateur XPAccess. Version Manuel de référence 1/34

INSTALLATION DES SERVICES DE DOMAINE ACTIVE DIRECTORY Windows Server 2008 R2

Configuration du serveur Web

Transcription:

2014 GPO Stratégie de groupe dans un environnement Active Directory. Nathan Garaudel PCplus 01/01/2014

I) Contexte Ce TP a été effectué dans le cadre scolaire, en autonomie. Pour les besoins de celui-ci, nous avons virtualisé Windows 2008 server via Virtual Box, dans lequel nous avons installé Active Directory. Nous avons également installé une machine cliente Windows 7 afin de vérifier les stratégies de groupe appliquées. II) Compétences mis en œuvre A 1.3.4 Déploiement d un service A 3.1.3 Prise en compte du niveau de sécurité nécessaire à une infrastructure 1

III) Principales fonctionnalités Les stratégies de groupe (ou GPO pour Group Policy Object) sont des fonctions de gestion centralisée de la famille Microsoft Windows. Elles permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory. Les stratégies de groupe incluent la gestion des ordinateurs déconnectés, la gestion des utilisateurs itinérants ou la gestion de la redirection des dossiers ainsi que la gestion des fichiers en mode déconnecté. Les stratégies de groupe peuvent contrôler des clés de registre, la sécurité NTFS, la politique de sécurité et d audit, l installation de logiciel, les scripts de connexion et de déconnexion, la redirection des dossiers, et les paramètres d Internet Explorer. Les paramétrages sont stockés dans les stratégies de groupe. Chaque stratégie de groupe possède un identifiant unique appelé GUID («Globally Unique Identifier»). Chaque stratégie de groupe peut être liée à un ou plusieurs domaines, site ou unité d organisation (en). Cela permet à plusieurs objets ordinateurs ou utilisateurs d être contrôlés par une seule stratégie de groupe et donc de diminuer le coût d administration globale de ces éléments. Les stratégies de groupe sont analysées et appliquées au démarrage de l ordinateur et pendant l ouverture de session de l utilisateur. Les ordinateurs rafraîchissent les paramètres transmis par les stratégies de groupe de façon périodique, généralement toutes les 60 ou 120 minutes, ce paramètre étant ajustable par un paramètre de stratégie de groupe. Les stratégies de groupes sont des ensembles de paramètres qui s'appliquent aux utilisateurs et ordinateurs. Elles permettent de gérer plus facilement la sécurité d'un poste ou de plusieurs postes dans un Domain. Les GPO ne s'appliquent pas aux groupes, mais comme dit précédemment aux postes et utilisateurs, qui se trouvent dans un conteneur ou une UO (Unité Organisation). Elles permettent à titre d'exemples de rediriger le dossier Mes Documents, de déployer des Logiciels en fonction des services d'une entreprise ou des utilisateurs. Les stratégies de groupe sont supportées sur Windows 2000, Windows XP Pro, Windows Vista, Windows 2003, Windows 2008, Windows 7, Windows 8 et Windows 2012. Les GPO existent dès la création d un Domain. IV) Héritage d une GPO L ordre dans lequel les objets GPO sont appliqués dépend du conteneur Active Directory auquel sont liés les objets. Ils sont hérités et appliqués dans l ordre suivant : au site, au domaine puis aux unités d organisation. 2

Chaque paramètre d une GPO peut être configuré ou non, s il n est pas configuré, un paramètre ne provoque pas de conflit. Cependant si des paramètres configurés entrent en conflit, l échelle de priorité précédente détermine le paramètre à appliquer. Lorsque plusieurs GPO sont appliqués sur une OU, la GPO la plus élevée (la première) est la plus prioritaire et la dernière, la moins prioritaire. En cas de conflit dans la configuration des GPO de différents niveaux, par défaut, on appliquera le paramètre de la GPO la plus proche de l objet. Voici les règles applicables par défaut : - Dans le cas d un domaine, les GPO appliquées celui-ci sont héritées de domaine père en domaines fils. - Dans le cas d une Unité d organisation, les GPO appliquées à celle-ci sont héritées d une unité d organisation mère en unités d organisations filles. Il existe néanmoins des exceptions dans la mesure où pour chaque conteneur (OU ou domaine) les deux options suivantes sont configurables : - Bloquer l héritage : Lorsque cette case est cochée, aucune GPO supérieure ne sera héritée par le conteneur en question. - Ne pas passer outre : Cette exception va empêcher qu une GPO plus proche de l objet utilisateur ou ordinateur ne prime sur une GPO plus éloigné. Dans la mesure où ils sont définis une seule fois pour tout le domaine dans la première GPO, certains paramètres font exception à l ordre d application et aux possibilités d héritage : c est le cas des paramètres de mots de passe et ceux de verrouillage de compte. Si ces derniers sont définis à un autre emplacement, ils n auront aucun effet. V) Pourquoi? Pour qui? Bien que les stratégies de groupe soient régulièrement utilisées dans les entreprises, elles sont également utilisées dans les écoles ou dans les petites organisations pour restreindre les actions et les risques potentiels comme le verrouillage du panneau de configuration, la restriction de l accès à certains dossiers, la désactivation de l utilisation de certains exécutables, etc. VI) Mise en œuvre Tout d abord, une fois Active Directory installé, nous devons ouvrir le gestionnaire de stratégie de groupe depuis «menu démarrer, outils d administration, gestion des stratégies de groupe» puis, dans l arborescence du domaine faire un clic droit sur «objets de stratégie de groupe» et choisir «nouveau» comme montré cidessous : 3

4

Ensuite, il nous est demandé de choisir un nom pour la nouvelle stratégie de groupe, nous voulons forcer l activation du pare-feu du domaine sur les machines clientes, nous nommons donc cette stratégie comme suit : Une fois la stratégie créée, elle apparait dans l arborescence à gauche, pour la configurer, il suffit de la sélectionner avec un clic droit et de choisir «modifier», nous arrivons ensuite sur l éditeur de gestion des stratégies de groupe. 5

Une fois arrivé sur cette page, c est ici que se configure les stratégies de groupe que nous voulons appliquer. Elles sont classés par type, c est pourquoi nous avons le choix entre crée une stratégie applicable sur les ordinateurs ou les utilisateurs. Nous voulons appliquer cette règle sur les ordinateurs, nous choisissons donc «configuration ordinateur» puis «stratégie» puis «paramètre Windows». Les stratégies de pare-feu faisant partie du domaine de la sécurité, nous choisissons «paramètre de sécurité». 6

Nous nous trouvons alors dans l arborescence du menu «paramètre de sécurité». Dans cette arborescence, nous trouvons «pare-feu Windows avec fonctions avancées» que nous sélectionnons avec un clic droit puis propriétés. Nous arrivons donc dans les propriétés du pare-feu Windows que nous configurons comme ci-dessous : 7

Nous autorisons la réponse en monodiffusion et bloquons les connexions entrantes. Nous désactivons également les règles de pare-feu locale ainsi que la sécurité de connexion locale afin d appliquer les paramètres de sécurité du domaine avec la stratégie de groupe. Puis, dans l Active Directory nous créons une «unité d organisation» à la racine du domaine, que nous nommons «Seven», qui désigne le système des machines clientes. 8

Dans cette UO, nous y ajoutons le nom de la machine cliente qui devra être soumis à la stratégie de groupe, puis nous la déplaçons pour l ajouter dans l UO «Seven» se situant dans l arborescence de «gestion des stratégies de groupe». Une fois fait, il nous reste plus qu à lier cette UO, qui se trouve dans l arborescence de «fonctionnalité» «gestion des stratégies de groupe», à la stratégie que nous avons créée. 9

Quand l UO est alors lié à la stratégie «configuration du Pare-Feu Windows», la machine cliente est soumise à cette règle au bout de 90 minutes (temps de mises à jour des stratégies). Cependant, afin de ne pas attendre nous allons forcer cette mise à jour. Pour ce faire, nous nous connectons sur la machine cliente, et ouvrons l invite de commande afin de saisir la commande suivante : pupdatge /force Afin d afficher le résultat de cette mise à jour et consulter les stratégies qui ont été mis en place, nous tapons la commande : Gpresult /h rapport.html (rapport.html nous permet d afficher le résultat via un navigateur) 10

Nous pouvons constater que le pare-feu de la machine cliente est activé et suit les règles de sécurité du domaine. Notons qu il est impossible pour les utilisateurs de modifier/désactiver ce pare-feu. Nous allons maintenant établir une nouvelle stratégie qui consiste à supprimer la fonction «centre et réseau de partage» du panneau de configuration afin qu il soit impossible pour les utilisateurs d y accéder. Pour ce faire, nous procédons comme précédemment, dans le centre de gestion des stratégies de groupe, nous créons et nommons une nouvelle stratégie, puis nous nous rendons dans l arborescence qui concerne les stratégies du panneau de configuration, autrement dit dans «configuration ordinateur» «stratégies» «modèles d administration» «panneau de configuration» comme montré cidessous: 11

Puisque notre but est de masquer un élément, dans l arborescence des stratégies du panneau de configuration, nous sélectionnons «Masquer les éléments du panneau de configuration spécifique», nous cochons la case «activé» et tapons le nom de l élément que nous voulons cacher, ici «centre de réseau et partage». Attention : Le nom doit être tapé exactement comme il est nommé dans le panneau de configuration, les accents et les majuscules comptent. 12

Une fois effectué, il nous reste plus qu à lier cette stratégie à la machine créé précédemment dans l UO «Seven», de la même façon qu expliqué précédemment pour la stratégie du Pare-Feu Windows. L élément «Centre de réseau et partage» du panneau de configuration a maintenant disparu de la machine cliente, il est donc inaccessible pour tous les utilisateurs utilisant cette machine. VII) En conclusion Les GPO sont essentiels dans la gestion d un réseau. Elles permettent une gestion à distance et sont très pratique pour organiser les différents comptes utilisateurs. Les stratégies de groupes sont des ensembles de paramètres qui s'appliquent aux utilisateurs et ordinateurs. Elles permettent de gérer plus facilement la sécurité d'un poste ou de plusieurs postes dans un Domain. 13

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back