Stratégie de groupe
Les stratégies de groupe (en anglais, Group Policy ou GP) sont des fonctions de gestion centralisée de la famille Microsoft Windows. Elles permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory. Les stratégies de groupe font partie de la famille des technologies IntelliMirror, qui incluent la gestion des ordinateurs déconnectés, la gestion des utilisateurs itinérants ou la gestion de la redirection de dossiers ainsi que la gestion des fichiers en mode déconnecté. Les stratégies de groupe sont gérées à travers des objets de stratégie de groupe communément appelés GPO (Group Policy Objects).
Les entreprises utilisent les stratégies de groupe pour restreindre les actions et les risques potentiels comme le verrouillage du panneau de configuration, la restriction de l’accès à certains dossiers, la désactivation de l’utilisation de certains exécutables, etc.
Présentation
[modifier | modifier le code]Les stratégies de groupe peuvent contrôler des clés de registre, la sécurité NTFS, la politique de sécurité et d’audit, l’installation de logiciel, les scripts de connexion et de déconnexion, la redirection des dossiers, et les paramètres d’Internet Explorer. Les paramétrages sont stockés dans les stratégies de groupe. Chaque stratégie de groupe possède un identifiant unique appelé GUID (« Globally Unique Identifier »). Chaque stratégie de groupe peut être liée à un ou plusieurs domaines, site ou unité d’organisation (en), éventuellement filtrées par des groupes ou des critères WMI. Cela permet à plusieurs objets ordinateurs ou utilisateurs d’être contrôlés par une seule stratégie de groupe et donc de diminuer le coût d’administration globale de ces éléments.
Les stratégies de groupe utilisent des fichiers de modèle d’administration avec les extensions .ADM ou .ADMX qui décrivent les clés de registre modifiées par l’application des stratégies de groupe. Sur un ordinateur de travail, les modèles d’administration sont stockés dans le répertoire %WinDir%\Inf, alors que sur un contrôleur de domaine Active Directory, pour chaque domaine et pour chaque stratégie de groupe, ils sont stockés dans un répertoire individuel (le « group policy template (en) », ou GPT) au sein du répertoire Sysvol. Les fichiers .ADMX sont des fichiers basés sur un format XML et introduits par Windows Vista pour la gestion des stratégies de groupe afin de gérer les différentes langues plus finement et sans conflits.
Les stratégies de groupe sont analysées et appliquées au démarrage de l’ordinateur et pendant l’ouverture de session de l’utilisateur. Les ordinateurs rafraîchissent les paramètres transmis par les stratégies de groupe de façon périodique, généralement toutes les heures ou les deux heures.
Les stratégies de groupe sont supportées sur Windows 2000, Windows XP Pro, Windows Vista, Windows Server 2003, Windows Server 2008, Windows 7, Windows 8, Windows 10, Windows 11, Microsoft Windows Server 2012, Microsoft Windows Server 2016, Microsoft Windows Server 2019 et Microsoft Windows Server 2022.
Les trois phases de l'utilisation des stratégies de groupe
[modifier | modifier le code]Les stratégies de groupe peuvent être considérées en trois phases distinctes
Création et édition des stratégies de groupe
[modifier | modifier le code]Les stratégies de groupe peuvent être éditées au travers de deux outils – le Group Policy Object Editor (Gpedit.msc) et la Group Policy Management Console (gpmc.msc). GPEdit est utilisé pour créer et éditer une stratégie de groupe de façon unitaire. La GPMC simplifie grandement la gestion des stratégies de groupe en fournissant un outil permettant une gestion centralisée et collective des objets. La GPMC inclut de nombreuses fonctionnalités telles que la gestion des paramètres, un panneau pour la gestion du filtrage par groupe de sécurité, des outils de sauvegarde et de restauration et d’autres outils graphiques intégrés à la MMC. Le nom d’une stratégie de groupe peut être déterminé en utilisant l’outil GPOTool.exe.
Liaison des stratégies de groupe
[modifier | modifier le code]Après avoir créé une stratégie de groupe, elle peut être liée à un site Active Directory, à un domaine ou à une unité d'organisation (UO) et éventuellement filtrée sur des groupes ou des critères WMI.
Application des stratégies de groupe
[modifier | modifier le code]Le client de stratégie de groupe du poste récupère la configuration (de base dans un intervalle aléatoire compris entre 1h et 2h , mais cela est configurable via les stratégies de groupe) qui est applicable à l’ordinateur et à l’utilisateur connecté et l’applique en tenant compte des différents critères de filtre, de sécurité et d’héritage.
Les stratégies de groupe locales
[modifier | modifier le code]Les stratégies de groupe locales sont une version plus basique des stratégies de groupe utilisées avec Active Directory. Dans les versions antérieures à Windows Vista, les stratégies de groupe locales peuvent être utilisées sur un ordinateur local, mais ne peuvent pas être utilisées pour des comptes utilisateur ou des groupes. La limitation liée aux utilisateurs peut être contournée en utilisant l’éditeur de base de registre pour modifier les clés sous HKCU ou HKU. Les stratégies de groupe locales réalisent des modifications sous la clé HKLM, ce qui affecte tous les utilisateurs ; les mêmes changements peuvent être effectués sous HKCU ou HKU pour affecter uniquement certains utilisateurs. Microsoft fournit des informations complémentaires sur son site Technet.
Windows Vista supporte les stratégies de groupe locales multiples, qui permettent de positionner les paramètres pour les utilisateurs individuels.
Quelques commandes
[modifier | modifier le code]Il est possible de vérifier l'application des GPO manuellement avec les commandes
- gpresult (toutes versions de Windows) : permet de vérifier le résultat de l'application des stratégies
GPResult /H result.htm
- rsop.msc (Windows 2000 à 8 ; serveurs Windows 2000 à 2012) offre une interface graphique "Jeu de stratégie résultant".
Il est possible de forcer l'application des GPO sur un PC ou un serveur manuellement avec les commandes
- gpupdate (toutes versions de Windows)
GPUpdate /Force
- secedit (Windows 2000)
Secedit /RefreshPolicy machine_policy /ENFORCE pour les GPO s'appliquant aux ordinateurs Secedit /RefreshPolicy user_policy /ENFORCE pour les GPO s'appliquant aux utilisateurs
Les GPO sont gérées sur toutes les versions de Windows Serveur et Windows Client (2000, XP, 8, 10, 11).