Administration W2K3: Stratégies de groupe. Stratégie de groupes. GPO: structure physique: 2 parties. GPO: structure logique: Paramètres contrôlés



Documents pareils
VIII- STRATEGIES DE GROUPE...

Active Directory Profils des utilisateurs, sécurité et stratégie de groupe (GPO)

GPO. Stratégie de groupe dans un environnement Active Directory. Nathan Garaudel PCplus 01/01/2014

Les Stratégies de Groupes

Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2 Implémentation, fonctionnalités, dépannage [2ième édition]

Active Directory. Active Directory: plan. Active Directory. Structure logique. Domaine. Niveau fonctionnel des domaines

Introduction à LDAP et à Active Directory Étude de cas... 37

Stratégie de groupe dans Active Directory

Chapitre 1 Labo 1 : Les rôles de base du contrôleur de domaine Windows 2008 Server R2

Solutions informatiques

Configuration Et Résolution Des Problèmes Des Services De Domaine Active Directory Windows Server Référence Cours : 6238B

Gestion des utilisateurs : Active Directory

ASR3. Partie 2 Active Directory. 1 Arnaud Clérentin, IUT d Amiens, département Informatique,

Windows serveur 2012 : Active Directory

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

Créer et partager des fichiers

IDEC. Windows Server. Installation, configuration, gestion et dépannage

Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2

CREATION COMPLETE D UN DOMAINE WINDOWS 2000 AVEC UN SERVEUR DE FICHIERS

Windows Server Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

Guide pas à pas pour l'utilisation de la Console de gestion des stratégies de groupe

LANDPARK NETWORK IP LANDPARK NETWORK IP VOUS PERMET D'INVENTORIER FACILEMENT VOS POSTES EN RÉSEAU

Structure logique. Active Directory. Forêts Arborescences Domaines Unités d'organisation

ASR3. Partie 2 Active Directory. Arnaud Clérentin, IUT d Amiens, département Informatique

BTS 2 SIO Active directory- windows serveur 2012 Version 1.1 (12/12/2014)

Formateur : Jackie DAÖN

Windows Server 2012 R2 Administration

9 - Installation RDS sur 2008R2 SOMMAIRE. Chapitre 1 Mise en place RDS sous Windows 2008 R2 2

Préparation à l installation d Active Directory

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier No2 :

INFRASTRUCTURES & RESEAUX

Introduction aux services de domaine Active Directory

Windows 8 Installation et configuration

TP Windows server 2kx

Active Directory. Qu'est-ce qu'un service d'annuaire?

Manuel d utilisation de Gestion 6

JetClouding Installation

Table des matières Page 1

Notice PROFESSEUR Le réseau pédagogique

Sur un ordinateur exécutant Windows 2000 Server Ayant une adresse IP statique

Gestion d utilisateurs et stratégie systèmes.

Introduction aux services Active Directory

UltraBackup NetStation 4. Guide de démarrage rapide

Module 0 : Présentation de Windows 2000

Installation de Windows 2008 Serveur

AFTEC SIO 2. Christophe BOUTHIER Page 1

La console MMC. La console MMC Chapitre 13 02/08/2009

italc supervision de salle

1. Présentation du TP

Windows Server Chapitre 4 : Active Directory Gestion des utilisateurs, des ordinateurs et des groupes

Administration de systèmes

FORMATION WS0801. Centre de formation agréé

Utilisation de KoXo Computers V2.1

TP 4 & 5 : Administration Windows 2003 Server

Microsoft Windows 2000 : Implémentation et administration des services d annuaire Microsoft Windows 2000

Edutab. gestion centralisée de tablettes Android

Windows Server 2012 Les bases indispensables pour administrer et configurer votre serveur

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier No 6-1

Mise en route d'une infrastructure Microsoft VDI

Installation de Windows 2000 Serveur

Le meilleur de l'open source dans votre cyber cafe

Microsoft Windows 2000 Administration de Microsoft Windows 2000

Qu'est-ce que c'est Windows NT?

SafeGuard Enterprise Aide administrateur. Version du produit : 5.60

Cours 20411D Examen

Cours 420-KEG-LG, Gestion de réseaux et support technique. Laboratoire 08. D. Création d usagers et de groupes pour la configuration des droits NTFS

Active Directory est un service d'annuaire utilisé pour stocker des informations relatives aux ressources réseau sur un domaine.

Catalogue & Programme des formations 2015

Installation de Windows 2003 Serveur

Windows Server 2012 R2

WINDOWS SERVER 2003-R2

Démarrer et quitter... 13

Exercices Active Directory (Correction)

Utilisation d'un réseau avec IACA

STRA TEGIES DE GROUPE ET LOCALE

Module 10 : Implémentation de modèles d'administration et d'une stratégie d'audit

CA Desktop Migration Manager

Réseau avec Windows 2000 ou 2003 serveur

WINDOWS 2000 SERVEUR

Formateur : Franck DUBOIS

Les GPO 2012 server R2 (appliqués à Terminal Serveur Edition)

Printer Administration Utility 4.2

But de cette présentation

Chapitre 02. Configuration et Installation

Installation de Windows 2012 Serveur

Utilisation de la clé de Registre BurFlags pour réinitialiser des jeux de réplicas FRS

Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt

À propos du Guide de l'utilisateur final de VMware Workspace Portal

Installation d'un serveur DHCP sous Windows 2000 Serveur

Windows Internet Name Service (WINS)

laissez le service en démarrage automatique. Carte de performance WMI Manuel Désactivé Vous pouvez désactiver ce service.

Mise en place de Thinstation

Objectifs de la formation : Savoir réaliser la maintenance et l'administration de premier niveau sur un réseau d'établissement SCRIBE.

Création d une connexion VPN dans Windows XP pour accéder au réseau local de l UQO. Document préparé par le Service des technologies de l information

Windows 8 Installation et configuration

Préparer la synchronisation d'annuaires

Guide utilisateur XPAccess. Version Manuel de référence 1/34

La Clé informatique. Formation Internet Explorer Aide-mémoire

Création d'une console personnalisée. Administration système: cours 6 (PP) L'administration W2K: des consoles MMC précréées;

SAUVEGARDER SES DONNEES PERSONNELLES

Transcription:

Administration W2K3: Stratégies de groupe Stratégie de groupes Permet d'imposer à des s ou à des utilisateurs des configurations, des paramètres 2 types de stratégies: Stratégies locales : propre à un Stratégies non locales: s'appuient sur Active Directory => gestion centralisée => souplesse (des stratégies différentes en fonction de l'uo d'appartenance) GPO: structure physique: 2 parties Conteneur de stratégie de groupe (Group Policy Container) : objet AD Modèle de stratégie de groupe (Group Policy Template GPT) : dossier situé dans SYSVOL GPO: structure logique: configuration : s'applique à tous les s concernés par la stratégie de groupe configuration utilisateur: s'applique à tous les utilisateurs concernés par la stratégie de groupe Peut-être lié à plusieurs conteneurs Un conteneur peut être lié à plusieurs GPOs La stratégie s'applique aux objets du conteneur GPO Paramètres contrôlés Modèles d'administration: paramètres basé sur le registre concernant principalement la gestion de l'environnement des utilisateurs; Sécurité: paramètres de sécurité locale, de site, domaine ou UO Installation des logiciels Scripts: démarrage/arrêt d' ou de session utilisateur Redirections de dossiers

Modèles d'administration Type description configuration panneau de configuration Bureau Réseau imprimantes fichiers hors connexion, connexions réseau, clients DNS et SNMP contrôler l'impression sur le WeB, la publication auto des imprimantes dans AD,... utilisateur dossier partagés autoriser la publication des dossiers partagés et des racines DFS (w2k3) utilisateur Menu Démarrer et barre de tâches contrôler leur apparence et fonctionnalités utilisateur Système composants windows pour cacher tout ou partie du panneau de configuration, de restreindre l'accès à certains composants (ajout/suppression de programmes, affichage, imprimantes et telecopieurs, options régionales et linguistiques apparence du bureau, (dés)activation d'active Desktop, limiter les possibilités d'interrogation d'ad par l'utilisateur ouverture/fermeture de sessions, quotas disque, suffixe dns, application stratégie de groupe, désactiver les outils de modif. du registre, l'exécution auto.,configurer les profils utilisateurs,la gestion de l'alimentation,... contrôle des fonctionnalités d'ie; netmeeting, planificateur de tâches, explorer,... utilisateur utilisateur et utilisateur et utilisateur et Sécurité stratégies de comptes: stratégies de mot de passe, verrouillage de compte,... utilisables uniquement sur une GPO de domaine (sans effet sinon) stratégies locales: stratégies d'audit, droits utilisateurs, paramètres de sécurité du poste (par opposition au domaine) journal des évènements groupes restreints : pour forcer l'appartenance et l'inclusion de certains groupes services systèmes: paramètrer démarrer et sécurité des s d'une UO ou d'un domaine Sécurité registre: configurer les autorisations sur des sousarborescences du registres pour tous les s d'un domaine ou d'un UO système de fichiers: définir des autorisations NTFS cohérentes sur tous les postes d'un UO ou d'un domaine stratégie de réseau sans fil stratégie de clé publique stratégie de restriction logicielle: pour définir les logiciels autorisés à s'exécuter sur les s stratégie de sécurité IP sur AD: configuration d'ipsec sur les postes d'un UO ou d'un domaine Installation des logiciels dans une version future de ce document Scripts pour automatiser l'exécution de scripts scripts de démarrage: exécutés l'un après l'autre au démarrage du poste de travail scripts d'arrêt: idem lorsqu'un système est arrêté normalement scripts d'ouverture (fermeture) de session: exécutés en parallèle lorsqu'un utilisateur ouvre (ferme) une session Redirections de dossiers rediriger certains dossiers vers un partage situé sur une serveur avantages: ceux des profils itinérants (centralisation du profil, sauvegarde,...) pas de copie du profil en début de session

Redirections de dossiers sont concernés: Ordre d'applications des stratégies de groupes Héritage cumulatif des paramètres «Menu démarrer», Bureau: raccourcis et dossiers du menu démarrer et du bureau de l'utilisateur. Une redirection vers un emplacement en lecture seule permet d'avoir un environnement standardisé «Application Data»: données spécifiques à l'utilisateur pour certaines applications. à rediriger si l'on souhaite que les données soient accessible depuis tout le parc «Mes documents»: fichiers de travail de l'utilisateur. Idem. Locale Site Domaine UO Sous-UO Conflits entre GPOs Les paramètres de la dernière GPO sont appliqués : Ordre d'application via l'héritage Ordre d'application des GPOs liés à même conteneur. Dans un GPO, paramètres de l' prioritaires sur ceux de l'utilisateur Application des GPO Héritage: les sous-conteneurs héritent des GPO des conteneurs Blocage: on peut bloquer l'héritage. bloque tous les paramètres hérités Forçage: on peut forcer l'héritage aux conteneurs enfants Filtrage: on peut empecher certains objets d'un conteneur de se voir appliquer les paramètres des GPO. se fait via les autorisations de la GPO sur le conteneur DEMO (1) On crée un utilisateur etu1 sur le contrôleur de domaine On vérifie qu'il est correctement authentifié mais qu'il n'a pas le droit d'ouvrir une session interactive sur le contrôleur de domaine On modifie la stratégie de sécurité du contrôleur de domaine pour qu'il ait le droit d'ouvrir une session dessus On vérifie que ça ne marche pas On attend 5 mn et on vérifie que ça marche. Exemple Une UO LicProRS2I, une UO LicAutre toutes deux dans le domaine. Sur le site: GPO imposant un fond d'écran château de chambord Sur le domaine: GPO imposant de ne pas avoir d'item «Executer» dans le menu démarrer Une GPO empéchant le changement de mot de passe liée aux deux UO LicProRS2I et LicAutre Une GPO imposant la photo d'un prof barbu en fond d'écran liée à l'uo LicProRS2I Qu'est-ce qui s'applique réellement à LicProGSI?

On applique l'exemple Demo2: On force la propagation des stratégies de groupe avec un «secedit /refreshpolicy machine_policy» et «secedit /refreshpolicy user_policy». Souswindows XP, on utilisera gpupdate à la place de secedit. On le vérifie soit avec le compte étu1 sur le contrôleur de domaine, Soit avec le compte étu1 sur une des stations du domaine Application des objets stratégie de groupe Paramètres utilisateurs: à l'ouverture de session Paramètre : au démarrage de l' Actualisation toutes les 90 mn (+/- 30mn) (redirections de dossiers et installations de logiciels ne sont pas actualisées) toutes les 5 mn sur les contrôleurs de domaine Forcer l'actualisation: gpupdate (Wxp et w2k3) secedit /refreshpolicy user_policy machine_policy (W2k) créer un GPO: choisir le conteneur auquel la stratégie doit être liée (via «utilisateur et AD» ou «Sites et services») clic droit/propriété/stratégie de groupe/nouveau la GPO est automatiquement liée au conteneur (on peut supprimer le lien) Ouvrir un GPO: clic droit sur un conteneur auquel elle est liée/propriétés/stratégies de groupe/sélectionner le GPO/Modifier lier un GPO lié par défaut lors de la création ajout d'un lien: clic droit sur le conteneur/propriétés/stratégies de groupe/ajouter/sélectionner/regarder dans un domaine ou une UO différente/sélectionner un GPO afficher les liens d'un GPO sélectionner un GPO par la méthode de votre choix puis Propriétés/Liaisons/sélectionner un domaine/rechercher maintenant supprimer un GPO sélectionner un GPO/supprimer/supprimer la liaison et effacer l'objet de stratégie de groupe de façon permanente cette action supprime l'objet GPO et toutes les liaisons entre cet objet et les conteneurs auquel il était lié supprimer une liaison sélectionner un GPO/supprimer/supprimer la liaison de la liste déléguer le contrôle sur un GPO un utilisateur qui possède les droits d'administration sur un conteneur peut créer/modifier de nouveaux GPO sur le conteneur : tâche «gérer les liens de stratégie de groupe» dans la délégation de contrôle; pour un utilisateur normal, il suffit de lui donner le droit «lire et écrire» sur la GPO: sélectionner un GPO/Sécurité/Ajouter/sélectionner le compte utilisateur/activer les autorisations «lire et écrire»

désactiver un GPO sélectionner un GPO/option/désactiver filtrer un GPO (i.-e. faire en sorte qu'elle ne s'applique pas à un utilisateur/groupe/ du conteneur) sélectionner la GPO/propriétés/sécurité/sélectionner ou ajouter le groupe utilisateur /décocher «lire» et «appliquer la stratégie» remarque: le filtrage complexifie le débogage des stratégies de groupe. Il est déconseillé d'en abuser. forcer un GPO: les GPO des objets enfants ne pourront modifier les paramètres imposés par cette GPO sélectionner un GPO/options/«aucun remplacement» bloquer l'héritage: les paramètres des GPO des objets ancêtres ne s'appliquent pas au conteneur (incompatible avec le forçage des GPO ancêtres): clic droit sur le conteneur/propriétés/stratégie de groupe/bloquer l'héritage des stratégie GPO: configurer un GPO modèle d'administration: 3 valeurs activé: le paramètre est appliqué désactivé: le paramètre est supprimé non configuré: le paramètre est ignoré (i.-e. garde sa valeur initiale) redirection de dossiers configuration utilisateur/paramètres windows/redirection de dossiers/clic droit sur le dossier à rediriger/propriétés redirection de dossiers redirection de dossiers

scripts créer le fichier contenant le script copier le fichier dans le GPT du GPO: ouvrir le GPO concerné puis Configuration /paramètres windows/scripts (pour les scripts d'arrêt/démarrage), Configuration utilisateur/paramètres windows/scripts (pour les scripts d'ouverture/fermeture de session) double cliquer sur la stratégie (*) puis «afficher les fichiers» et copier y le fichier du script ajouter le script au GPO: à partir de (*) : ajouter/parcourir/sélectionner le script/sélectionner le script ad hoc. sécurité Configuer une GPO: paramètres d'installation de logiciels Création d'un objet stratégie de groupe Propriétés Planification de la stratégie de groupe stratégies de site: appliquées à tous les s et utilisateurs du site quelques soient leur domaine utilisé pour limiter le trafic sur des liaisons Wan lentes ex.: empecher les installations de logiciels de traverser les frontières des sites Planification stratégies de domaine s'applique à tous les objets du domaine la stratégie définie dans un domaine ne s'applique pas aux domaines enfants ne peut être configurer que par un administrateur du domaine stratégie d'uo s'applique à tous les objets de l'uo sa gestion est délégable à des utilisateurs non administrateur héritage des stratégies des UO parentes à préférer quand c'est possible

plus il y a de GPO: Planification plus les ouvertures de session sont lentes plus le trafic réseau associé est important plus il est difficile de dépanner/détecter les éventuels conflits plus les GPO contiennent de paramètres: moins leur nom sera lisible elles ne pourront être appliquées qu'à un seul conteneut Planification: 2 approches faire des GPO avec des noms lisibles, s'occupant de tâches élémentaires facilement identifiables avantage: lisibilité, réutilisation faire de grosses GPO regroupant tous les paramètres devant s'appliquer à un conteneur avantage: centralisation, trafic réseau modéré Planification : conseils méthodologiques utiliser le forçage uniquement sur des conteneurs de haut niveau (domaine, UO de premier niveau), voire même pas du tout ne pas utiliser le filtrage de GPO (complexifie le débogage) désactiver la partie config. utilisateur ou si elle ne sert pas : gain de vitesse toujours tester vos GPO (et surtout, depuis un autre poste en laissant votre session courante ouverte) Stratégies de groupes: outils graphiques utilisateur et active directory créer/modifier/supprimer et lier des stratégies à des domaines et des OU sites et services active directory idem pour des sites éditeur d'objet de stratégie de groupe: modifier les paramètres de GPO existantes stratégie de sécurité locale, du domaine, du contrôleur de domaine jeux de stratégie résultant: dans une version ultérieure de ce document Stratégies de groupes: outils graphiques GPMC outil permettant de : Visualiser rapidement la hiérarchisation des GPO Créer ou modifier une GPO Activer ou désactiver une GPO Afficher via un rapport HTML les stratégies Connaître les délégations des GPO Sauvegarder ou restaurer une GPO installation: Bibliographie Kit de ressource technique W2Ktome 6 «Active Directory, les services d'annuaires windows 2000» de V. Cottin, édition ENI «windows 2003 server en concentré de M. Tulloch, editions O'Reilly sur www.microsoft.com puis rechercher gpmc

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back