Stratégie de Groupe (GPO)
Guide de configuration d'une stratégie de groupe
Déterminer l’emplacement de l’objet de stratégie de groupe
Connecter vous à une instance Windows serveur dans le domaine et lancé “éditeur de stratégie de groupes”
Selon la structure de votre unité d’organisation, vous pouvez appliquer l’objet de stratégie de groupe à la racine et laisser les sous-unités d’organisation hériter de la stratégie ou appliquer la stratégie à des unités d’organisation spécifiques.
Dans cet exemple, je souhaite que la stratégie s’applique à tous les ordinateurs, je vais donc lier l’objet de stratégie de groupe à mon unité d’organisation ADPRO Computers. Toutes les sous-unités d’organisation hériteront de la stratégie. À l’étape 4, je vais vous montrer comment exclure des ordinateurs spécifiques de la stratégie.
Créer un nouvel objet de stratégie de groupe
1) Ouvrez la console de gestion des stratégies de groupe
2) Faites un clic droit sur « Objets de stratégie de groupe » et cliquez sur Nouveau
Donnez un nom au nouvel objet de stratégie de groupe. Vous pouvez le nommer comme vous voulez.
L’objet de stratégie de groupe est créé
Définissez les paramètres souhaitées depuis la section “configuration de l'ordinateur”
Appliquer l’objet de stratégie de groupe
L’objet de stratégie de groupe est créé et les paramètres de stratégie ont été ajoutés. Il ne vous reste plus qu’à lier l’objet de stratégie de groupe à l’unité d’organisation correcte.
Comme il s’agit d’une stratégie d’ordinateur, vous devez appliquer l’objet de stratégie de groupe à une unité d’organisation qui contient des comptes d’ordinateur. Si vous appliquez l’objet de stratégie de groupe à une unité d’organisation avec des utilisateurs uniquement, l’écran de verrouillage ne fonctionnera pas.
1) Dans la console de gestion des stratégies de groupe, cliquez avec le bouton droit de la souris sur une unité d’organisation et sélectionnez « Lier un objet de stratégie de groupe existant :
2) Sélectionnez l’objet de stratégie de groupe que vous avez créé à l’étape 2 et cliquez sur OK.
L’objet de stratégie de groupe est désormais lié.
L’intervalle d’actualisation des objets de stratégie de groupe est de 90 minutes sur un ordinateur. Gardez donc à l’esprit que cela peut prendre jusqu’à 90 minutes avant que cette stratégie ne soit appliquée à tous les ordinateurs. Vous pouvez l’actualiser instantanément en redémarrant l’ordinateur ou en exécutant la commande gpupdate /force.
Ci-dessus, une capture d’écran montrant l’objet de stratégie de groupe lié à l’unité d’organisation ADPRO Computers. Toutes les sous-unités d’organisation hériteront de cette stratégie. Ainsi, les ordinateurs de l’unité d’organisation Comptabilité, RH et IT verront l’objet de stratégie de groupe de l’écran de verrouillage appliqué.
Vérifier que l’objet de stratégie de groupe est appliqué
Aller sur un poste utilisateur
Pour vérifier que l’objet de stratégie de groupe est appliqué à un ordinateur, vous pouvez utiliser lacommande windows gpresult /r. Vous devrez ouvrir l’invite de commande Windows en tant qu’administrateur ou il peut ne pas réussir à extraire les stratégies de l’ordinateur.
Vous pouvez voir ci-dessus que l’objet de stratégie de groupe « Lock Screen ON » est appliqué à cet ordinateur.
Pour cibler un utilisateur on peut le cibler avec cette commande.
Exclure des ordinateurs de la stratégie
Disons que notre stratégie est appliqué à tous les ordinateurs, mais que vous devez maintenant le désactiver sur des ordinateurs spécifiques.
1) Créez un groupe de sécurité et ajoutez les ordinateurs sur lesquels vous souhaitez désactiver la stratégie d’écran de verrouillage. Il est très important de nommer le groupe avec un nom descriptif et d’utiliser la zone de description.
2) Allez dans la console de gestion des stratégies de groupe, sélectionnez l’objet de stratégie de groupe et cliquez sur l’onglet délégation, puis cliquez sur avancé.
3) Avec les fenêtres de paramètres de sécurité ouvertes, cliquez sur Ajouter
4) Ajoutez le groupe de sécurité et cliquez sur OK
5) Assurez-vous que Lire est défini sur « Autoriser » et Appliquer la stratégie de groupe est sur « Refuser ».
Cela devrait le faire. Les ordinateurs de votre groupe de refus devront être redémarrés.
Lorsque vous vérifiez un ordinateur avec la commande gpresulr /r, la stratégie s’affiche comme refusée
Pour refuser des ordinateurs supplémentaires, il vous suffit de les ajouter au groupe de sécurité.
Warning
Les stratégies peuvent êtres très lentes a se déplyer surtout avec plusieur RODC.
On peut forcer le renouvellement d'une stratégie à l'aide de la commande
Comment créer et gérer le magasin central des modèles d’administration
Pour tirer parti des avantages des fichiers .admx, vous devez créer un magasin central dans le dossier sysvol d’un contrôleur de domaine Windows. Le magasin central est un emplacement de fichiers qui est contrôlé par défaut par les outils de stratégie de groupe. Les outils de stratégie de groupe utilisent les fichiers .admx qui se trouvent dans le magasin central. Les fichiers qui se trouvent dans le magasin central sont répliqués sur tous les contrôleurs de domaine dans le domaine.
Il est recommandé de conserver un référentiel de tous les fichiers ADMX/L dont vous disposez pour les applications que vous souhaitez utiliser. Par exemple, des extensions de système d’exploitation telles que Microsoft Desktop Optimization Pack (MDOP), Microsoft Office, ainsi que des applications tierces qui proposent une prise en charge de la stratégie de groupe.
Pour créer un magasin central pour les fichiers .admx et .adml, créez un dossier nommé PolicyDefinitions à l’emplacement suivant (par exemple) sur le contrôleur de domaine :
\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions
Si vous disposez déjà d’un tel dossier ayant un magasin central créé précédemment, utilisez un nouveau dossier décrivant la version actuelle. Par exemple :
\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions-1803
Copiez tous les fichiers du dossier PolicyDefinitions d’un ordinateur source vers le dossier PolicyDefinitions sur le contrôleur de domaine. L’emplacement source peut être :
- Le dossier
C:\Windows\PolicyDefinitionssur un ordinateur client Windows 8.1 ou Windows 10. - Le dossier
C:\Program Files (x86)\Microsoft Group Policy\<version-specific>\PolicyDefinitions, si vous avez téléchargé l’un des modèles d’administration séparément des liens ci-dessus.
Le dossier PolicyDefinitions sur le contrôleur de domaine Windows contient tous les fichiers .admx et .adml de toutes les langues activées sur l’ordinateur client.
Les fichiers .adml se trouvent dans un dossier spécifique à chaque langue. Par exemple, les fichiers .adml pour l’anglais (États-Unis) sont stockés dans un dossier nommé en-US, ceux pour le coréen sont stockés dans un dossier nommé ko_KR, et ainsi de suite.
Si d’autres fichiers .adml pour d’autres langues sont nécessaires, vous devez copier le dossier qui contient les fichiers .adml de cette langue dans le magasin central. Une fois que vous avez copié tous les fichiers .admx et .adml, le dossier PolicyDefinitions sur le contrôleur de domaine doit contenir les fichiers .admx et un ou plusieurs dossiers contenant des fichiers .adml pour différentes langues.
Source : Microsoft
Exécution de scripts PowerShell
Crée un zone de confiance
Cette zone de confiance permet d'éxecuté le script sans qu'il sont bloqué par windows
La GPO se situe dans :
- Administrative Templates…
- Windows Components
- Internet Explorer
- Internet Control Panel
- Security Page
- Internet Control Panel
- Internet Explorer
- Windows Components
| 1 : Intranet Zone | 2 : Trusted Sites | 3 : Internet Zone | 4 : Restricted Sites |
Un fois dans la liste de distribution on rajoute le partage SMB ou sera notre script dans Intranet Zone :
Planifier une tache pour le script PowerShell
Pour exécuter des scripts d’ouverture de session PowerShell avec des autorisations utilisateur élevées, vous pouvez utiliser les tâches du planificateur.
1) Créer un nouveau travail du Planificateur de tâches sous Configuration utilisateur -> Préférences -Paramètres du Panneau de configuration > -> tâche planifiée (au moins windows 7 ;
2) Sous l’onglet Général :
- Bien mettre l'action par : Replace
- Préciser pour le compte le SSID : S-1-5-18 ; Il correspond au compte administrateur intégrer "system"
3) Sous l’onglet Déclencheur, spécifiez que la tâche doit être démarrée "À programmé" et "répéter la tache tout les heure pour un durée infini"
4) Spécifiez le chemin d’accès à votre fichier de script PowerShell sous l’onglet Actions:
Action : Démarrer un programme
Programme/Script:Ajouter des arguments :
Powershell.exe -ExecutionPolicy Bypass -File "\\domain.local\SYSVOL\organisation.com\scripts\monscript.ps1"
