6
 WINDOWS 2003 SERVER Stratégies de groupes SOMMAIRE 1. QU'EST-CE QU'UNE STRATEGIE DE GROUPE ? 2 1.1 Présentation des stratégies de groupe 2 1.2 Configuration ordinateur 2 1.3 Configuration utilisateur 3 1.4 Stockage des paramètres d'une GPO 3 2. APPLICATION D'UNE STRATEGIE DE GROUPE 4 2.1 Les modèles d'administration 4 2.2 Héritage d'une GPO 4 2.3 Filtrage à l'installation d'une GPO 4 2.4 Délai d'application 4 3. COMMENT CONFIGURER LES PAR AMETRES DE LA GPO ? 5 3.1 Options des paramètres 5 3.2 Exemple de paramètre 5 4. QUELQUES OUTILS EN LIGNE DE COMMANDE 6 4.1 GPUpdate 6 4.2 GPResult 6 4.3 Rapport des GPO 6 Source : www.laboratoire-microsoft.org Olivier DESPORT 1/6

GPMC sous Windows Sevrer 2003

  • Upload
    zack

  • View
    74

  • Download
    0

Embed Size (px)

Citation preview

WINDOWS 2003 SERVER Stratgies de groupesSOMMAIRE 1. QU'EST-CE QU'UNE STRATEGIE DE GROUPE ? 1.1 Prsentation des stratgies de groupe 1.2 Configuration ordinateur 1.3 Configuration utilisateur 1.4 Stockage des paramtres d'une GPO 2. APPLICATION D'UNE STRATEGIE DE GROUPE 2.1 Les modles d'administration 2.2 Hritage d'une GPO 2.3 Filtrage l'installation d'une GPO 2.4 Dlai d'application 3. COMMENT CONFIGURER LES PARAMETRES DE LA GPO ? 3.1 Options des paramtres 3.2 Exemple de paramtre 4. QUELQUES OUTILS EN LIGNE DE COMMANDE 4.1 GPUpdate 4.2 GPResult 4.3 Rapport des GPO 2 2 2 3 3 4 4 4 4 4 5 5 5 6 6 6 6

Source : www.laboratoire-microsoft.org

Olivier DESPORT

1/6

1. Qu'est-ce qu'une stratgie de groupe ?1.1 Prsentation des stratgies de groupe Le terme Stratgie dsigne la configuration logicielle du systme par rapport aux utilisateurs. A la suite dune installation de Windows, aucune stratgie n'est configure, et tout est permis (en fonction des droits des groupes d'utilisateurs prdfinis : Administrateurs, Utilisateurs, Utilisateurs avec pouvoir...). Les stratgies de groupe ou GPO (Group Policies Object) permettent de configurer des restrictions d'utilisation de Windows o des paramtres appliquer soit sur un ordinateur donn soit sur un compte utilisateur donn. Voici un exemple de stratgie de groupe : 1. 2. 3. 4. 5. Menu Dmarrer et Barre des tches Suppression du menu Documents dans le menu Dmarrer Suppression des Connexions rseau et accs distant du menu Dmarrer Suppression du menu Excuter dans le menu Dmarrer Dsactivation de la fermeture de session dans le menu Dmarrer Dsactivation de la commande Arrter Panneau de configuration

1. Dsactivation du Panneau de configuration 2. Masque de certaines applications du Panneau de configuration Internet Explorer

1. Dsactivation de la modification des paramtres de la page de dmarrage Une stratgie de groupe et compose dun objet Active Directory et dun dossier dont le nom est SID de la GPO et que lon trouve dans le rpertoire SYSVOL disponible sur chaque contrleur de domaine. Les GPO ne peuvent tres appliques qu des conteneurs : site, domaine ou encore unit dorganisation mais elles peuvent tre assignes plusieurs fois des conteneurs diffrents. Le contenu dune GPO sera donc appliqu sur les comptes utilisateurs et ordinateurs contenus dans le conteneur et plusieurs GPO peuvent tre lis un mme conteneur.

1.2 Configuration ordinateur La console de gestion des stratgies de groupe se divise en deux arborescences, la premire tant Ordinateur. La configuration ordinateur dfinit le comportement du systme dexploitation ou dune partie du bureau et la configuration de la scurit. Elle intervient dans des oprations comme linstallation des logiciels ds le dmarrage de la machine Voici ce quoi ressemble l'arborescence ordinateur :

2/6

1.3 Configuration utilisateur Utilisateur est la seconde arborescence des stratgies de groupe. La configuration utilisateur dfinit la configuration des applications, les options dapplications affectes et publies et enfin les paramtres de bureau, elle intervient dans des oprations comme le dploiement de scripts de dmarrage

1.4 Stockage des paramtres d'une GPO Lorsquune GPO est dfinie, les paramtrages de cette dernire sont stocks dans la base de registre dans les branches suivantes : HKEY_CURRENT_USER\Software\Policies\Microsoft HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies HKEY_LOCAL_MACHINE\Software\Policies\Microsoft HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

3/6

2. Application dune stratgie de groupe2.1 Les modles dadministration Les fichiers dont lextension est .adm (pour administration) servent de modles et renferment la description des GPO, ils se situent dans le dossier %systemroot%\inf . Ils sont aussi prsents dans le dossier %systemroot%\system32\GroupPolicy\Adm quand une stratgie a dj t dfinie. Ils contiennent dune part une description des modifications apporter pour mettre en place une stratgie et dautre part les options de restrictions pour les valeurs, leur valeur par dfaut, la dfinition de chaque paramtre et enfin les versions de Windows qui prennent en charge le paramtre. Un administrateur est nanmoins libre de crer ses propres modles dadministration pour grer les lments dont il a la responsabilit. Gnralement, deux quatre fichiers sont utiliss : system.adm (pour le systme Windows) inetres.adm ( pour Internet Explorer) wuau.adm (ventuellement pour Windows Update) conf.adm (ventuellement pour NetMeeting)

2.2 Hritage dune GPO Lordre dans lequel les objets GPO sont appliqus dpend du conteneur active directory auquel sont lis les objets. Ils sont hrits et appliqus dans lordre suivant : au site, au domaine puis au unit dorganisation. Chaque paramtre dune GPO peut tre configur ou non, sil nest pas configur, un paramtre ne provoque pas de conflit. Cependant si des paramtres configurs entrent en conflit, lchelle de priorit prcdente dtermine le paramtre appliquer. Lorsque plusieurs GPO sont appliqus sur une OU, la GPO la plus leve (la premire) est la plus prioritaire et la dernire, la moins prioritaire. En cas de conflit dans la configuration des GPO de diffrents niveaux, par dfaut, on appliquera le paramtre de la GPO la plus proche de lobjet. Voici les rgles applicables par dfaut : Dans le cas dun domaine, les GPO appliques celui-ci sont hrites de domaine pre en domaines fils. Dans le cas dune Unit dorganisation, les GPO appliques celle-ci sont hrites dune unit dorganisation mre en units dorganisations filles.

Il existe nanmoins des exceptions dans la mesure o pour chaque conteneur (OU ou domaine) les deux options suivantes sont configurables : Bloquer lhritage : Lorsque cette case est coche, aucune GPO suprieure ne sera hrite par le conteneur en question. Ne pas passer outre : Cette exception va empcher quune GPO plus proche de lobjet utilisateur ou ordinateur ne prime sur une GPO plus loign.

Dans la mesure o ils sont dfinis une seule fois pour tout le domaine dans la premire GPO, certains paramtre font exception lordre dapplication et aux possibilits dhritage : cest le cas des paramtres de mots de passe et ceux de verrouillage de compte. Si ces derniers sont dfinis un autre emplacement, ils nauront aucun effet. 2.3 Filtrage linstallation de la GPO Loption filtrage du dploiement dune GPO permet dappliquer la stratgie de groupe certains groupes exclusivement. En effet, chaque objet GPO va tre li une ACL (liste daccs) qui va dfinir quels sont les utilisateurs, ordinateurs ou groupes qui vont pouvoir accder lobjet GPO donc pouvoir appliquer ces paramtres. Par exemple, pour appliquer une GPO seulement sur le groupe Administrateur, il suffit donc dafficher les scurits de lobjet GPO et de retirer lautorisation Appliquer la stratgie de groupe tous les autres utilisateurs except au groupe Administrateurs . 2.4 Dlai dapplication Un ordinateur vrifie quil utilise la dernire version des GPO toutes les 90 minutes environ ( plus ou moins 30 minutes dtermines de faon alatoire) afin dviter que plusieurs ordinateurs fassent des requtes au DC en mme temps. En ce qui concerne les contrleurs de domaines, ils sont ractualiss toutes les 5 minutes. Ce paramtre est configurable dans la GPO elle-mme. Vous pouvez forcer le rafrachissement sur chaque machine en utilisant les

4/6

commandes suivantes (lune pour les paramtres dordinateur, lautre pour les paramtres utilisateurs) : Secedit /refresh machine_policy Secedit /refresh user_policy gpudate (pour les clients XP et les serveurs 2003)

3. Comment configurer les paramtres des GPO ?3.1 Options des paramtres : non configur, activ, dsactiv

Pour chaque paramtre, il est ncessaire de choisir lavance sil sera configur et si oui, sil sera activ ou dsactiv. En effet tout paramtre a une valeur par dfaut quil conserve sil nest pas configur. Pour modifier ce paramtre, vous avez le choix dans la plupart des cas entre Activ ou Dsactiv ce paramtre. Exemple : Supprimer le menu Rechercher du menu Dmarrer. Non configur : Le menu Rechercher va safficher sauf si nimporte quelle autre GPO spcifie le contraire. Activ : Le menu Rechercher va tre supprim sauf si une GPO ayant une priorit plus importante spcifie le contraire. Dsactiv : Le menu Rechercher va safficher sauf si une GPO ayant une priorit plus importante spcifie le contraire.

3.2 Exemple de paramtre : la redirection des fichiers Ce paramtre de stratgie de groupe permet de rediriger les dossiers sensibles de lutilisateur afin de centraliser sur un serveur les donnes et ainsi en faciliter la scurit et la sauvegarde. Les dossiers pouvant tre redirigs sont les suivants : Menu Dmarrer : Permet de faire pointer le contenu du menu Dmarrer de tous les utilisateurs vers un contenu unique. Bureau : Permet de faire pointer le contenu du Bureau de tous les utilisateurs vers un contenu unique. Mes documents : Permet de centraliser les donnes utilisateur sur un serveur de fichiers pour que son contenu soit disponible quelque soit lordinateur sur lequel on se connecte. Application Data : Contient les prfrences applicatifs de certaines applications qui peut tre sauvegarder sur un serveur avec la rplication.

5/6

Selon lappartenance de lutilisateur un groupe, il est possible via la redirection avance, de rediriger les rpertoires vers des dossiers diffrents. La fonction de redirection de dossiers cre elle-mme automatiquement des dossiers avec les autorisations adquat.

4. Quelques outils en lignes de commandes4.1 GPUpdate GPUpdate est un outil en ligne de commande qui permet de rafrachir instantanment lapplication des stratgies de groupe sur une machine cliente. En effet comme nous lavons indiqu prcdemment, les ordinateurs clients depuis Windows 2000 actualisent les GPO des intervalles dfinis. Lactualisation assure que les paramtres qui ont pu tre modifis par un administrateur sont appliqus le plus tt possible. La syntaxe de GPudate est la suivante : gpupdate [/Target:{Computer | User}] [/Force] [/Wait:valeur] [/Logoff] [/Boot] [/Sync] 4.2 GPResult GPResult est un outil en ligne de commande dont lobjectif est de permettre la visualisation des stratgies effectives pour lordinateur o la commande est tape et pour un utilisateur spcifi. La syntaxe de GPResult est la suivante : gpresult [/s Ordinateur [/u Domaine\Utilisateur /p Mot de passe]] [/user NomUtilisateurCible] [/scope {user|computer}] [/v] [/z] Le rsultat ressemblera celui l :

4.3 Rapport des GPO Grce la console Gestion de stratgie de groupe, il est possible dafficher un rapport par GPO permettant de visualiser uniquement les paramtres qui ont t modifi, cre au format HTML, il sera aussi enregistrable au format XML. Dans la console Gestion de stratgie de groupe, il est possible de lancer une simulation de dploiement de stratgie de groupe ce qui va gnrer un rapport. Enfin des informations sur le dploiement des GPO peuvent tre rcupres dans la GPMC dans le but de gnrer un rapport.

6/6


MX920 series - gdlp01.c-wss.comgdlp01.c-wss.com/gds/4/0300020544/01/Setup_Manual_Win_FR.pdf · Windows 8 , Windows 7, Windows 7 SP1 , Windows Vista SP1 , Windows Vista SP2, Windows

MX920 series - gdlp01.c-wss.comgdlp01.c-wss.com/gds/4/0300020544/01/Setup_Manual_Win_FR.pdf · Windows 8 , Windows 7, Windows 7 SP1 , Windows Vista SP1 , Windows Vista SP2, Windows

Documents
La bientraitance managériale : Recherche et … · DS ..... Directeur des Soins DSIRMT..... Direction ou Directeur des Soins infirmiers, de Rééducation et Médico-techniques GPMC

La bientraitance managériale : Recherche et … · DS ..... Directeur des Soins DSIRMT..... Direction ou Directeur des Soins infirmiers, de Rééducation et Médico-techniques GPMC

Documents
Manuel de l utilisateur - Konica Minolta...Windows 98, Windows 98SE, Windows XP, Windows 2000 Professional et Windows Me sont des marques commerciales et/ou des marques déposées

Manuel de l utilisateur - Konica Minolta...Windows 98, Windows 98SE, Windows XP, Windows 2000 Professional et Windows Me sont des marques commerciales et/ou des marques déposées

Documents
MP C6003SPImprimantes multifonctions couleur SRA3 MP C5503 ... · En option : IPX/SPX Environnements Windows® : Windows® XP, Windows® Vista, Windows® 7, Windows® 8, Windows®

MP C6003SPImprimantes multifonctions couleur SRA3 MP C5503 ... · En option : IPX/SPX Environnements Windows® : Windows® XP, Windows® Vista, Windows® 7, Windows® 8, Windows®

Documents
Windows azure

Windows azure

Technology
Démarche Régionale GPMC 2011-2012 « Accompagner la GPMC en Midi-Pyrénées »

Démarche Régionale GPMC 2011-2012 « Accompagner la GPMC en Midi-Pyrénées »

Documents
Manuel de l'utilisateur de HP Integrated Lights-Out 2 Pour ...h10032. · Microsoft, Windows, Windows Server, Windows Vista, Windows NT et Windows XP sont des marques déposées de

Manuel de l'utilisateur de HP Integrated Lights-Out 2 Pour ...h10032. · Microsoft, Windows, Windows Server, Windows Vista, Windows NT et Windows XP sont des marques déposées de

Documents
Réutilisation de code entre Windows 8 et Windows Phone 8

Réutilisation de code entre Windows 8 et Windows Phone 8

Documents
Installation d'un Serveur sous Windows Server 2008 d'un Serveur sous Windows Server 2008 1/ Installation du rôle Windows Deployment Service(WDS) 2/ Configuration du service Windows

Installation d'un Serveur sous Windows Server 2008 d'un Serveur sous Windows Server 2008 1/ Installation du rôle Windows Deployment Service(WDS) 2/ Configuration du service Windows

Documents
Logistique Industriel 5 GInd GPMC

Logistique Industriel 5 GInd GPMC

Documents
Upgrading From Windows XP to Windows 7

Upgrading From Windows XP to Windows 7

Documents
ClassPad 330 Fr - Home | CASIO · 2013. 6. 4. · données sur un ordinateur Windows® 98 SE, Windows® Me, Windows® XP, Windows® 2000 ou Windows Vista ®. • Le logiciel FA-CP1

ClassPad 330 Fr - Home | CASIO · 2013. 6. 4. · données sur un ordinateur Windows® 98 SE, Windows® Me, Windows® XP, Windows® 2000 ou Windows Vista ®. • Le logiciel FA-CP1

Documents
Le Manuel de Sevrage des Psychotropes...Le Manuel de Sevrage des Psychotropes Comment se sevrer des benzodiazépines, des antidépresseurs et des neuroleptiques Psychotropes.Info &

Le Manuel de Sevrage des Psychotropes...Le Manuel de Sevrage des Psychotropes Comment se sevrer des benzodiazépines, des antidépresseurs et des neuroleptiques Psychotropes.Info &

Documents
7 février 2008ARH Champagne-Ardenne1 Projet régional GPMC: Renforcement des RH dans les établissements de santé Aout 2008

7 février 2008ARH Champagne-Ardenne1 Projet régional GPMC: Renforcement des RH dans les établissements de santé Aout 2008

Documents
Initiation à l'utilisation efficace d'Internet alpha 1 : …bv.cdeacf.ca/documents/PDF/rayonalpha/72346.pdfSi votre ordinateur (Windows 95, Windows 98, Windows 2000, Millenium, Windows

Initiation à l'utilisation efficace d'Internet alpha 1 : …bv.cdeacf.ca/documents/PDF/rayonalpha/72346.pdfSi votre ordinateur (Windows 95, Windows 98, Windows 2000, Millenium, Windows

Documents
Guide d’utilisation – IRIScan Executive 4...Système d’exploitation Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Vista, Windows XP (Service Pack 3). 32 ou 64 ... Votre

Guide d’utilisation – IRIScan Executive 4...Système d’exploitation Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Vista, Windows XP (Service Pack 3). 32 ou 64 ... Votre

Documents
Pc windows

Pc windows

Technology
Introduction au développement Windows 8 et Windows Phone 8

Introduction au développement Windows 8 et Windows Phone 8

Documents
LES FONDAMENTAUX DU DÉPLOIEMENT WINDOWScnf1g.com/wp-content/uploads/2014/07/Les-fondamentaux-du... · Windows 8.0 / Windows Server 2012 NT 6.2.920x Windows 8.1 / Windows Server 2012

LES FONDAMENTAUX DU DÉPLOIEMENT WINDOWScnf1g.com/wp-content/uploads/2014/07/Les-fondamentaux-du... · Windows 8.0 / Windows Server 2012 NT 6.2.920x Windows 8.1 / Windows Server 2012

Documents
Migrer Avec Succes a Windows 7 Windows Server 2008 R2

Migrer Avec Succes a Windows 7 Windows Server 2008 R2

Documents
Installer SharePoint Foundation 2010 sur Windows 7fromelard.free.fr/Scripts/SharePoint-Foundation-Windows...Windows 7 et Windows Server 2008 Nous verrons donc les différentes étapes

Installer SharePoint Foundation 2010 sur Windows 7fromelard.free.fr/Scripts/SharePoint-Foundation-Windows...Windows 7 et Windows Server 2008 Nous verrons donc les différentes étapes

Documents
Rapport mise en place d'un sevrer VPN

Rapport mise en place d'un sevrer VPN

Engineering
Configuration requise et compatibilité · • Windows Server 2008 R2 x64 SP1-SP2 • Windows Server 2012 • Windows Server 2012 R2 • Windows Server 2016 • Windows Server 2019

Configuration requise et compatibilité · • Windows Server 2008 R2 x64 SP1-SP2 • Windows Server 2012 • Windows Server 2012 R2 • Windows Server 2016 • Windows Server 2019

Documents
Pour comprendre la gpmc

Pour comprendre la gpmc

Health & Medicine
Windows server

Windows server

Documents
Windows fonctionnaire-

Windows fonctionnaire-

Documents
Positionnement de lANFH : Accompagner les établissements sur leurs démarches GPMC

Positionnement de lANFH : Accompagner les établissements sur leurs démarches GPMC

Documents
AVS4YOU Manuel d'utilisationonlinehelp.avs4you.com/downloads/fr/AVSRegistryCleanerHelp.pdf · Remarque: dans les dernières versions de Windows - Windows XP, Windows Vista et Windows

AVS4YOU Manuel d'utilisationonlinehelp.avs4you.com/downloads/fr/AVSRegistryCleanerHelp.pdf · Remarque: dans les dernières versions de Windows - Windows XP, Windows Vista et Windows

Documents
Guide de l’utilisateurWeb permet de numériser sur le réseau en utilisant votre appareil et un ordinateur Windows Vista®, Windows® 7, Windows® 8, Windows® 8.1 ou Windows® 10

Guide de l’utilisateurWeb permet de numériser sur le réseau en utilisant votre appareil et un ordinateur Windows Vista®, Windows® 7, Windows® 8, Windows® 8.1 ou Windows® 10

Documents
Découverte de Windows 10 - mesfichespratiques.free.frmesfichespratiques.free.fr/supports/Windows 10.pdf · mesfichespratiques.free.fr 2 Découverte de Windows 10 Comme vous avez

Découverte de Windows 10 - mesfichespratiques.free.frmesfichespratiques.free.fr/supports/Windows 10.pdf · mesfichespratiques.free.fr 2 Découverte de Windows 10 Comme vous avez

Documents