Back to: Active Directory : les bases > Lecteur réseau - Logon Script - Stratégies de groupe (GPO)

Présentation des stratégies de groupe

Preview

Les stratégies de groupe connues également sous le nom de GPO (Group Policy Objets), est une fonctionnalité Active Directory, qui va permettre de façon centralisée d’appliquer des paramètres à un ordinateur ou à un utilisateur en fonction de plusieurs critères :

  • Unité d’organisation
  • Appartenance à un groupe
  • Requête WMI

Il est même possible pour certain paramètre d’avoir une couche de filtrage supplémentaire dans le paramètre avec le filtrage par élément.

Les stratégies de groupe existent au niveau local sur les ordinateurs, il est possible d’accéder à la console en entrant dans une fenêtre exécuter gpedit.msc.

Sur un contrôleur de domaine, les stratégies de groupe sont administrées avec la console : Gestion de stratégie de groupe.

Par défaut, deux stratégies sont créées en même temps que l’environnement Active Directory, il est conseillé de ne pas les modifier.

  • Default Domain Policy : est appliquée à l’ensemble du domaine, contient par défaut une stratégie de mot de passe et la stratégie Kerberos.
  • Default Domain Controllers Policy : est appliquée à l’unité d’organisation Domain Controllers et permet d’appliquer les paramètres par défaut pour les contrôleurs de domaine.

En cas de modification, il est possible de restaurer les stratégies par défaut à l’aide de commande DCGPOFIX.

Quelques exemples d’application de stratégies de groupe :

  • Lecteurs réseaux
  • Mappage d’imprimantes
  • Configuration d’Option Internet et de navigateurs Internet.
  • Paramétrage d’ordinateurs (activation / désactivation de fonctionnalités).

Les stratégies de groupe sont stockées dans le dossier Policies qui se trouve \\domain\sysvol\domain\policies, pour rappel ce dossier est répliqué sur l’ensemble des contrôleurs de domaines.

Pour savoir à quel dossier correspond la stratégie de groupe, il faut récupérer son GUID dans la console d’administration dans l’onglet détail.

Par défaut les stratégies de groupe sont actualisés toutes les 90 minutes avec un décalage aléatoire de 0 à 30 minutes afin d’éviter que tous les ordinateurs et utilisateurs actualise en même temps les stratégies de groupe. Ce comportement peut être modifié.

Back to: Active Directory : les bases > Lecteur réseau - Logon Script - Stratégies de groupe (GPO)