SP 6- Stratégie De Groupe
1) Concepts liées aux stratégie de groupes :
1] Une stratégie de groupe (GPO) est un ensemble de configuration s’appliquant à ces objets : Sites, Domaines et Unité d’Organisation.
2] La stratégie de sécurité correspond à l'ensemble des règles de sécurité que l'on désire mettre en place dans une organisation, ainsi que le niveau de celles-ci. Grâce au gestionnaire d'utilisateurs situé dans le Menu Démarrer (Programmes/outils d'administration).
Celui-ci contient un onglet Stratégies contenant trois éléments :
La stratégie de compte contenant des options (à cocher ou sélectionner) relatives à la connexion des utilisateurs (options relatives aux mots de passes.
La stratégie des droits de l'utilisateur définissant les permissions accordées à chaque type d'utilisateur.
La stratégie d'audits permettant de définir les événements à enregistrer dans un fichier appelé journal et visualisable par l'observateur d'événements.
3] La configuration ordinateur sert à spécifier les paramètres de l'ordinateur, quelque soit l'utilisateur qui se logue dessus. La GPO doit être liée à une UO qui contient les compte d'ordinateurs.
La configuration Utilisateur sert à spécifier les paramètres spécifiques aux utilisateurs et suivra l'utilisateur quelque soit le poste sur lequel il se logue. La GPO doit être lié à l'UO qui contient les compte Utilisateurs.
4] Pour avoir accès à la console « gestion de stratégie de groupe » sur WS 2012, il faut faire la manipulation suivante :
Démarrer > tapez « Gestion de stratégie de groupe» > Sélectionnez le
5] Qu'il s'agisse d'un groupe de sécurité ou d'un groupe de distribution, tout groupe est caractérisé par une étendue qui
délimite son application dans l'arborescence de domaine ou dans la forêt. La limite d'une étendue de groupe est également déterminée par le paramètre de niveau fonctionnel du domaine qui lui est associé.
Il existe trois étendues de groupe : universelle, globale et domaine local.
6] L'onglet Détails affiche les informations sur la stratégie tels que la date de création ou de modification, son GUID (Identifiant de l'utilisateur qui l'a créé) ou encore son état.
7] L’onglet délégation regroupe les autorisations appliquées sur l’objet GPO en question, notamment pour déléguer la création d’une GPO à un utilisateur (l’autoriser).
2) Mise en place du GPO
12] La commande a utiliser sur le poste pour prendre en compte et appliquer les GPOs du serveur est : gpupdate /force
13] Oui c'est possible de désactiver la GPO, pour ce faire il faut faire la manipulation suivante :
Il faut faire un clique droit sur la GPO, et cliquez sur « Lien Activé » (de façon à ce qu'elle soit désactivée).
14 ] Oui il est possible d'appliquer sur une autre UO une GPO déjà existante, pour ce faire il faut faire les manipulations suivante :
Clique droit sur TestBis > Lier un objet de stratégie de groupe existant...
et enfin sélectionner notre GPO :
15] Afin d’interdire les utilisateurs de l’UO public d'accéder au panneau de configuration voici comment procéder :
Aller dans la console de gestion de groupe dans les outils d’administration.
Choisir l’unité d’organisation (OU) sur lequel appliquer la stratégie.
Faire un clic droit sur l’OU puis cliquez sur Créer un GPO dans ce domaine, et le lier ici.
Donner un nom à la GPO.
Modifier la GPO avec un clic droit dessus puis cliquer modifier.
Dans la partie gauche de la fenêtre, développer les dossiers
>Configuration utilisateur
> Paramètres Windows
> Modèles d’administration
> Panneau de configuration
-> Puis cliquez sur “ Empêcher l’accès au Panneau De Configuration
● Afin d’interdire les utilisateurs de l’UO public d'accéder au panneau de configuration voici comment procéder :
On utilise la même méthode sauf que cette fois-ci on bloque l’installation et modification des programmes ..
● Pour faire en sorte que l'utilisateur ne puisse pas imprimer, il faut modifier la stratégie suivante :
Configuration utilisateur\Stratégies\Modèles d'administration\
Panneau de configuration\Imprimantes
● Pour que l'utilisateur ne puisse pas avoir accès aux dossiers partagés, il faut désactiver les stratégies suivantes:
Configuration utilisateur\Stratégies\Modèles d'administration\Dossiers partagés
● L'historique doit être vidé, de façon à ce qu'il n'y est pas de traces sur la machine.
Configuration utilisateur\Stratégies\Modèles d'administration\Tous les paramètres
16 + 17 ] On interdis l'ensemble des utilisateurs de la médiathèque : - de ne pas avoir accès à internet.
- ils ne peuvent pas changer la configuration.
- ils ne peuvent pas avoir accès qu'à une seule application (wordpad).
- cette application sera lancé à chaque ouverture de session.
- ils peuvent avoir la possibilité d'imprimer sur l'imprimante Aquarium (172.16.20.3).
● Pour qu'il n'ait pas accès à internet il faut appliquer les modifications suivantes :
● Pour que les utilisateurs ne puissent pas changer les configurations, il faut faire la manipulation suivante :
Configuration utilisateur\Stratégies\Modèles
d'administration\Panneau de configuration\ Interdire l'accès au Panneau de configuration…
● Pour que les utilisateurs ne puissent avoir accès qu'à une application il faut :
Configuration utilisateur\Stratégies\Modèles
d'administration\Composant Windows \ Service Bureau à distance \ Hôte de la session \ Environnement de session à distance \ Démarrer un programme à distance
18] Sur le serveur d’impression on défini si on veut que l’imprimante imprime en noir et blanc ou en couleur et les clients vont devoir imprimer par rapport à sa .
19]