PPE 7 STRATEGIES DE GROUPES (GPO) Antoine CAMBIEN BTS SIO Option SISR Session 2015
BTS SIO Services Informatiques aux Organisations Session 2014 2015 Nom du candidat : Antoine CAMBIEN Projet Personnalisé Encadré N 7 Activité : Stratégies de groupe (GPO) Contexte : Nous souhaitons mettre en place des stratégies de groupes pour nos utilisateurs et hôtes. Objectifs : Nous avons besoin d un outil qui va nous permettre de déployer des règles ou des modifications sur notre parc informatique. Solutions envisageables : 1) Utilisation de GPO avec Active Directory 2) Utilisation de SCCM Description de la solution retenue : Utilisation de GPO avec Active Directory Conditions initiales : Aucune possibilité technique de contrôler le parc informatique. Conditions finales : Possibilité de déployer des scripts ou règles permettant la configuration du parc informatique. Outils utilisés : Active Directory Conditions de réalisations : Logiciels : Active Directory & GPO Durée de réalisation : 1h00 : Le paramétrage des GPO est assez rapide malgré certaines règles qui nécessitent de se renseigner pour les configurer. 79
COMPETENCES MISE EN OEUVRE POUR CETTE ACTIVITE PROFESSIONNELLE Productions relatives à la mise en place d un dispositif de veille technologique et à l étude d une technologie, d un composant, d un outil ou d une méthode - Participation à un projet d évolution d un SI (solution applicative et d infrastructure portant prioritairement sur le domaine de spécialité du candidat) - Elaboration de documents relatifs à la production et à la fourniture de services - A1.1.1, Analyse du cahier des charges d'un service à produire - A1.2.1, Élaboration et présentation d'un dossier de choix de solution technique - A3.3.4, Automatisation des tâches d'administration - A4.1.9, Rédaction d'une documentation technique - A5.1.1, Mise en place d'une gestion de configuration 80
Table des matières I/ Configuration d Ordinateurs... 82 I.I/ Configuration du Pare-feu des postes Seven du domaine... 82 I.I.I/ Sur le poste Seven... 82 I.I.II/ Sur le contrôleur de domaine... 83 I.I.III/ Vérification sur le poste Seven (rattaché au domaine)... 85 II/ Configuration Utilisateur... 86 II.I/ Sur l Active Directory... 86 II.II/ Vérification sur le poste Seven... 88 III/ Stratégies de préférences... 89 IV/ Installer un package MSI... 91 IV.I/ Sur l Active Directory... 91 IV.II/ Vérification du poste Seven... 93 IV.III/ Déploiement du package SublimText sur l utilisateur «bat-a.t».... 94 Conclusion... 96 81
I/ Configuration d Ordinateurs I.I/ Configuration du Pare-feu des postes Seven du domaine Objectif : Activer le pare-feu sur tous les postes du domaine (flux entrants interdits, flux sortants autorisés). I.I.I/ Sur le poste Seven Nous désactivons le pare-feu sur client et nous pouvons vérifier que nous sommes sur le domaine m2l.priv : 82
I.I.II/ Sur le contrôleur de domaine Nous allons dans «Gestion des stratégies de groupe : 83
Nous créons une GPO nommé «Configuration du pare-feu Windows» dans notre containeur de notre domaine : Puis éditons «Pare-feu Windows avec fonctions avancées» : 84
Nous activons le pare-feu et choisissons de bloquer toutes les connexions entrantes, et d autoriser toutes les connexions sortantes. Dans la section «Paramètres» nous allons dans «Personnaliser». Nous activons une notification sur le poste de l utilisateur lorsque qu une connexion entrante est bloquée. Nous n autorisons et n appliquons pas pas la fusion du pare-feu local avec la stratégie de groupe. Nous créons un containeur nommé «ORDINATEURS» à la racine de notre containeur de notre domaine. Dans notre cas M2L\ORDINATEURS. Nous déplaçons notre client dans ce container. I.I.III/ Vérification sur le poste Seven (rattaché au domaine) Nous nous connectons sur notre poste client et testons la configuration en entrant «gpupdate/force» dans une invite de commande. Nous vérifions l état de notre pare-feu : 85
II/ Configuration Utilisateur Objectif : Restreindre l accès d un groupe d utilisateur au panneau de configuration II.I/ Sur l Active Directory Nous créons une nouvelle règle de stratégie à notre racine de notre domaine. Nous l appellerons «Configuration du panneau de configuration». Nous la modifions et allons modifier «Masquer les éléments du Panneau de configuration spécifiés» dans la section : Configuration utilisateur -> Stratégies -> Modèles d administration -> Panneau de configuration. 86
Nous modifions l état par «Activé» modifions le contenu dans la section «Options». Nous ajoutons 2 lignes : Microsoft.NetworkAndSharingCenter (qui correspond au Centre de réseau et partage) Microsoft.DefaultPrograms (qui correspond au Programmes par défaut) 87
II.II/ Vérification sur le poste Seven Nous vérifions sur le poste client, Programmes par défaut a été supprimé : Centre de réseau et partage a été supprimé : 88
III/ Stratégies de préférences Objectif : Mapper un lecteur réseau par équipe Pour commencer, nous créons un dossier Partages, et nous le partageons en fonction des droits nécessaires. Nous créons une nouvelle stratégie et la modifions. Dans la section «Configuration utilisateur -> Préférences -> Paramètres Windows > Mappages de lecteurs». Nous créons un nouveau lecteur mappé : 89
Nous renseignons l emplacement du partage en chemin UNC, et indiquons une lettre que le lecteur réseau utilisera. Nous vérifions avec un utilisateur du domaine si le partage est bien remonté : 90
IV/ Installer un package MSI IV.I/ Sur l Active Directory Objectif : Rechercher un package.msi et tenter de l installer pour un groupe d ordinateurs, puis pour un utilisateur en utilisant les stratégies de sécurité. Avant toute chose, il faut s assurer que notre ordinateur soit dans dans le groupe «Admin du domaine» afin que les déploiements s effectuent. 91
Nous devons maintenant créer un package msi, pour cela nous utiliserons SmartPackager de Scalable qui est parfaitement adapté à ce genre de déploiement. Dans notre cas nous avons packagé Firefox ESR 31.4. Nous créons une nouvelle règle de stratégie de groupe nommé «Firefox ESR 31.4». Nous la modifions, et allons à la section : Configuration ordinateur -> Stratégies -> Paramètre du logiciel -> Installation de logiciel. Nous ajoutons un package : Nous indiquons l emplacement réseau de notre package. Il faut s assurer que le chemin d accès soit UNC, comme dans notre cas. 92
IV.II/ Vérification du poste Seven Nous attribuons le déploiement et vérifions du coté du client avec un «gpupdate /force». Un redémarrage de l ordinateur va être nécessaire. Une fois redémarré voici : 93
IV.III/ Déploiement du package SublimText sur l utilisateur «bat-a.t». Afin de déployer notre GPO sur un seul utilisateur, nous réitérons notre procédure pour créer un package, avec cette fois ci l éditeur SublimText. Nous modifions notre nouvelle stratégie. Nous allons dans l onglet «Action» puis «Propriété». C est ici que nous pouvons voir que tout utilisateur authentifié aura cette GPO. Il suffit de décocher cette case, et d ajouter l utilisateur «bat-a.t». Nous rajouterons notre package dans «Configuration utilisateur» au lieu de «Configuration ordinateur». 94
Nous nous connectons avec un utilisateur différent sur le poste forçons les GPO. Nous regardons dans le menu «Démarrer» pour vérifier que SublimText n est pas présent : Nous nous connectons avec l utilisateur «bat-a.t» et forçons les GPO. Nous redémarrons l ordinateur si nécessaire et vérifions dans le menu «Démarrer» : 95
Conclusion Nous venons de voir comment mettre en place plusieurs règles pour un parc utilisateur et faciliter les tâches de maintenance. 96