WINDOWS 2003 SERVER

Stratégies de groupes
SOMMAIRE

1. QU'EST-CE QU'UNE STRATEGIE DE GROUPE ? 2

1.1 Présentation des stratégies de groupe 2
1.2 Configuration ordinateur 2
1.3 Configuration utilisateur 3
1.4 Stockage des paramètres d'une GPO 3
2. APPLICATION D'UNE STRATEGIE DE GROUPE 4
2.1 Les modèles d'administration 4
2.2 Héritage d'une GPO 4
2.3 Filtrage à l'installation d'une GPO 4
2.4 Délai d'application 4
3. COMMENT CONFIGURER LES PARAMETRES DE LA GPO ? 5
3.1 Options des paramètres 5
3.2 Exemple de paramètre 5
4. QUELQUES OUTILS EN LIGNE DE COMMANDE 6
4.1 GPUpdate 6
4.2 GPResult 6
4.3 Rapport des GPO 6

Source : www.laboratoire-microsoft.org Olivier DESPORT

1/6
1. Qu'est-ce qu'une stratégie de groupe ?

1.1 Présentation des stratégies de groupe

Le terme Stratégie désigne la configuration logicielle du système par rapport aux utilisateurs. A la suite d’une
installation de Windows, aucune stratégie n'est configurée, et tout est permis (en fonction des droits des groupes
d'utilisateurs prédéfinis : Administrateurs, Utilisateurs, Utilisateurs avec pouvoir...).
Les stratégies de groupe ou GPO (Group Policies Object) permettent de configurer des restrictions d'utilisation de
Windows où des paramètres à appliquer soit sur un ordinateur donné soit sur un compte utilisateur donné.
Voici un exemple de stratégie de groupe :

• Menu Démarrer et Barre des tâches

1. Suppression du menu Documents dans le menu Démarrer
2. Suppression des Connexions réseau et accès distant du menu Démarrer
3. Suppression du menu Exécuter dans le menu Démarrer
4. Désactivation de la fermeture de session dans le menu Démarrer
5. Désactivation de la commande Arrêter

• Panneau de configuration
1. Désactivation du Panneau de configuration
2. Masque de certaines applications du Panneau de configuration

• Internet Explorer
1. Désactivation de la modification des paramètres de la page de démarrage
Une stratégie de groupe et composée d’un objet Active Directory et d’un dossier dont le nom est SID de la GPO et que
l’on trouve dans le répertoire SYSVOL disponible sur chaque contrôleur de domaine. Les GPO ne peuvent êtres
appliquées qu’à des conteneurs : site, domaine ou encore unité d’organisation mais elles peuvent être assignées
plusieurs fois à des conteneurs différents. Le contenu d’une GPO sera donc appliqué sur les comptes utilisateurs et
ordinateurs contenus dans le conteneur et plusieurs GPO peuvent être liés à un même conteneur.

1.2 Configuration ordinateur

La console de gestion des stratégies de groupe se divise en deux arborescences, la première étant Ordinateur. La
configuration ordinateur définit le comportement du système d’exploitation ou d’une partie du bureau et la
configuration de la sécurité. Elle intervient dans des opérations comme l’installation des logiciels dès le démarrage de
la machine… Voici ce à quoi ressemble l'arborescence ordinateur :

2/6
1.3 Configuration utilisateur

Utilisateur est la seconde arborescence des stratégies de groupe. La configuration utilisateur définit la configuration
des applications, les options d’applications affectées et publiées et enfin les paramètres de bureau, elle intervient
dans des opérations comme le déploiement de scripts de démarrage…

1.4 Stockage des paramètres d'une GPO

Lorsqu’une GPO est définie, les paramétrages de cette dernière sont stockés dans la base de registre dans les
branches suivantes :

• HKEY_CURRENT_USER\Software\Policies\Microsoft
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
• HKEY_LOCAL_MACHINE\Software\Policies\Microsoft
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

3/6
2. Application d’une stratégie de groupe

2.1 Les modèles d’administration

Les fichiers dont l’extension est « .adm » (pour administration) servent de modèles et renferment la description des
GPO, ils se situent dans le dossier %systemroot%\inf . Ils sont aussi présents dans le dossier
%systemroot%\system32\GroupPolicy\Adm quand une stratégie a déjà été définie.
Ils contiennent d’une part une description des modifications à apporter pour mettre en place une stratégie et d’autre
part les options de restrictions pour les valeurs, leur valeur par défaut, la définition de chaque paramètre et enfin les
versions de Windows qui prennent en charge le paramètre. Un administrateur est néanmoins libre de créer ses
propres modèles d’administration pour gérer les éléments dont il a la responsabilité.
Généralement, deux à quatre fichiers sont utilisés :

• system.adm (pour le système Windows)

• inetres.adm ( pour Internet Explorer)
• wuau.adm (éventuellement pour Windows Update)
• conf.adm (éventuellement pour NetMeeting)

2.2 Héritage d’une GPO

L’ordre dans lequel les objets GPO sont appliqués dépend du conteneur active directory auquel sont liés les objets. Ils
sont hérités et appliqués dans l’ordre suivant : au site, au domaine puis au unité d’organisation.
Chaque paramètre d’une GPO peut être configuré ou non, s’il n’est pas configuré, un paramètre ne provoque pas de
conflit. Cependant si des paramètres configurés entrent en conflit, l’échelle de priorité précédente détermine le
paramètre à appliquer. Lorsque plusieurs GPO sont appliqués sur une OU, la GPO la plus élevée (la première) est la
plus prioritaire et la dernière, la moins prioritaire.
En cas de conflit dans la configuration des GPO de différents niveaux, par défaut, on appliquera le paramètre de la
GPO la plus proche de l’objet. Voici les règles applicables par défaut :

• Dans le cas d’un domaine, les GPO appliquées celui-ci sont héritées de domaine père en domaines fils.
• Dans le cas d’une Unité d’organisation, les GPO appliquées à celle-ci sont héritées d’une unité d’organisation
mère en unités d’organisations filles.
Il existe néanmoins des exceptions dans la mesure où pour chaque conteneur (OU ou domaine) les deux options
suivantes sont configurables :

• Bloquer l’héritage : Lorsque cette case est cochée, aucune GPO supérieure ne sera héritée par le conteneur en
question.
• Ne pas passer outre : Cette exception va empêcher qu’une GPO plus proche de l’objet utilisateur ou
ordinateur ne prime sur une GPO plus éloigné.
Dans la mesure où ils sont définis une seule fois pour tout le domaine dans la première GPO, certains paramètre font
exception à l’ordre d’application et aux possibilités d’héritage : c’est le cas des paramètres de mots de passe et ceux
de verrouillage de compte. Si ces derniers sont définis à un autre emplacement, ils n’auront aucun effet.

2.3 Filtrage à l’installation de la GPO

L’option filtrage du déploiement d’une GPO permet d’appliquer la stratégie de groupe à certains groupes
exclusivement. En effet, chaque objet GPO va être lié à une ACL (liste d’accès) qui va définir quels sont les
utilisateurs, ordinateurs ou groupes qui vont pouvoir accéder à l’objet GPO donc pouvoir appliquer ces paramètres.
Par exemple, pour appliquer une GPO seulement sur le groupe Administrateur, il suffit donc d’afficher les sécurités de
l’objet GPO et de retirer l’autorisation Appliquer la stratégie de groupe à tous les autres utilisateurs excepté au groupe
« Administrateurs ».

2.4 Délai d’application

Un ordinateur vérifie qu’il utilise la dernière version des GPO toutes les 90 minutes environ ( plus ou moins 30
minutes déterminées de façon aléatoire) afin d’éviter que plusieurs ordinateurs fassent des requêtes au DC en même
temps.
En ce qui concerne les contrôleurs de domaines, ils sont réactualisés toutes les 5 minutes. Ce paramètre est
configurable dans la GPO elle-même. Vous pouvez forcer le rafraîchissement sur chaque machine en utilisant les
4/6
commandes suivantes (l’une pour les paramètres d’ordinateur, l’autre pour les paramètres utilisateurs) :

• Secedit /refresh machine_policy

• Secedit /refresh user_policy
• gpudate (pour les clients XP et les serveurs 2003)

3. Comment configurer les paramètres des GPO ?

3.1 Options des paramètres : non configuré, activé, désactivé

Pour chaque paramètre, il est nécessaire de choisir à l’avance s’il sera configuré et si oui, s’il sera activé ou désactivé.
En effet tout paramètre a une valeur par défaut qu’il conserve s’il n’est pas configuré. Pour modifier ce paramètre,
vous avez le choix dans la plupart des cas entre « Activé » ou « Désactivé » ce paramètre.
Exemple : Supprimer le menu Rechercher du menu Démarrer.

• Non configuré : Le menu Rechercher va s’afficher sauf si n’importe quelle autre GPO spécifie le contraire.
• Activé : Le menu Rechercher va être supprimé sauf si une GPO ayant une priorité plus importante spécifie le
contraire.
• Désactivé : Le menu Rechercher va s’afficher sauf si une GPO ayant une priorité plus importante spécifie le
contraire.

3.2 Exemple de paramètre : la redirection des fichiers

Ce paramètre de stratégie de groupe permet de rediriger les dossiers sensibles de l’utilisateur afin de centraliser sur
un serveur les données et ainsi en faciliter la sécurité et la sauvegarde.
Les dossiers pouvant être redirigés sont les suivants :

• Menu Démarrer : Permet de faire pointer le contenu du menu Démarrer de tous les utilisateurs vers un
contenu unique.
• Bureau : Permet de faire pointer le contenu du Bureau de tous les utilisateurs vers un contenu unique.
• Mes documents : Permet de centraliser les données utilisateur sur un serveur de fichiers pour que son
contenu soit disponible quelque soit l’ordinateur sur lequel on se connecte.
• Application Data : Contient les préférences applicatifs de certaines applications qui peut être sauvegarder sur
un serveur avec la réplication.

5/6
Selon l’appartenance de l’utilisateur à un groupe, il est possible via la redirection avancée, de rediriger les répertoires
vers des dossiers différents. La fonction de redirection de dossiers crée elle-même automatiquement des dossiers
avec les autorisations adéquat.

4. Quelques outils en lignes de commandes

4.1 GPUpdate

GPUpdate est un outil en ligne de commande qui permet de rafraîchir instantanément l’application des stratégies de
groupe sur une machine cliente. En effet comme nous l’avons indiqué précédemment, les ordinateurs clients depuis
Windows 2000 actualisent les GPO à des intervalles définis. L’actualisation assure que les paramètres qui ont pu être
modifiés par un administrateur sont appliqués le plus tôt possible.
La syntaxe de GPudate est la suivante : gpupdate [/Target:{Computer | User}] [/Force] [/Wait:valeur] [/Logoff]
[/Boot] [/Sync]

4.2 GPResult

GPResult est un outil en ligne de commande dont l’objectif est de permettre la visualisation des stratégies effectives
pour l’ordinateur où la commande est tapée et pour un utilisateur spécifié.
La syntaxe de GPResult est la suivante : gpresult [/s Ordinateur [/u Domaine\Utilisateur /p Mot de passe]] [/user
NomUtilisateurCible] [/scope {user|computer}] [/v] [/z]
Le résultat ressemblera à celui là :

4.3 Rapport des GPO

Grâce à la console Gestion de stratégie de groupe, il est possible d’afficher un rapport par GPO permettant de
visualiser uniquement les paramètres qui ont été modifié, crée au format HTML, il sera aussi enregistrable au format
XML.
Dans la console Gestion de stratégie de groupe, il est possible de lancer une simulation de déploiement de stratégie
de groupe ce qui va générer un rapport. Enfin des informations sur le déploiement des GPO peuvent être récupérées
dans la GPMC dans le but de générer un rapport.

6/6