Aujourd’hui on va parler d’un Ă©lĂ©ment incontournable dans un environnement Active Directory : la stratĂ©gie de groupe !

Quand on dĂ©couvre la portĂ©e et surtout la puissance des GPO, on s’aperçoit trĂšs vite qu’on ne peut pas s’en passer pour gĂ©rer son infrastructure : administrer son parc, maĂźtriser les environnements de ses utilisateurs, gĂ©rer l’installation de logiciels, faire rĂ©gner sa politique de sĂ©curitĂ©… il y a tellement de possibilitĂ©, que vous n’arriverez mĂȘme pas Ă  en connaĂźtre plus de 20% !

Mais attention, une mauvaise gestion peu rapidement entraßner une véritable usine à gaz difficile à dépanner !

Explications sur l’utilisation de ces objets clĂ©s de nos AD !  wink


Les stratégies de groupes, comment ça marche ?

Les stratĂ©gies de groupes, aussi appelĂ©es GPO (Group Policy Object), sont des outils puissants de configuration de l’environnement applicables Ă  des utilisateurs ou Ă  des ordinateurs membres d’un domaine Active Directory.

De nombreuses tĂąches peuvent ĂȘtre effectuĂ©es Ă  l’aide de stratĂ©gies de groupe telles que :

    • DĂ©ploiement, mises Ă  jour, paramĂ©trage, dĂ©sinstallation de logiciels
    • Lancement de scripts d’ouverture/fermeture de session ou arrĂȘt/dĂ©marrage d’une machine
    • DĂ©finition de stratĂ©gie de comptes (complexitĂ© mots de passe, durĂ©e de vie
)
    • ParamĂ©trage rĂ©seau/sĂ©curitĂ© (firewall, wifi
)
    • Gestion de l’environnement de l’utilisateur (accĂšs panneau de configuration, fond d’écran
)

 

Une stratĂ©gie s’applique au niveau du « conteneur » sur lequel elle est liĂ©e (Pour revoir les notions d’organisation AD en conteneurs, se rĂ©fĂ©rer Ă  l’article suivant : Introduction Ă  Active Directory – partie 5 )

Il est possible d’appliquer une stratĂ©gie au niveau d’un site, d’un domaine ou sur une unitĂ© d’organisation (OU ou UO en français).

Par dĂ©faut, les stratĂ©gies dĂ©finies qui vont rĂ©ellement s’appliquer sont celles se trouvant le plus proche de l’objet, c’est Ă  dire sur le dernier conteneur de l’arborescence qui contient l’objet (utilisateur ou ordinateur). Petite astuce mnĂ©motechnique pour retenir cette notion trĂšs importante, dites vous que l’ordre d’application des GPO est “LSDOU“.

Locale -> Site -> Domaine -> OU

De façon gĂ©nĂ©rale, les OU reflĂštent la structure organisationnelle d’une entreprise et seront privilĂ©giĂ©es pour appliquer des stratĂ©gies plus « ciblĂ©es ». Elles sont organisĂ©es de telle façon qu’il est possible de grouper les utilisateurs et/ou ordinateurs selon par exemple, leur fonction, leur dĂ©partement, leur zone gĂ©ographique


Il sera alors plus simple d’appliquer une stratĂ©gie de groupe du type « les comptables doivent tous avoir leur logiciel mĂ©tier Ă  jour » directement Ă  une OU qui contient tous les postes des comptables.

Travailler avec les OU facilite grandement la tĂąche des administrateurs puisque l’on va travailler sur un ensemble « structurĂ© ». Mais cela n’empĂȘche pas d’appliquer une GPO au niveau domaine qui va dire une chose, et d’appliquer une autre GPO sur une OU « enfant » qui va en dire une autre.

 

Un petit exemple pour bien comprendre ces notions de containers parents/enfants et l’ordre d’application des GPO :

Si l’on crĂ©e au niveau de tout le domaine une stratĂ©gie A qui dĂ©finit que les mots de passe doivent contenir au minimum 7 caractĂšres, mais que sur l’OU enfant qui contient les postes du service technique, on a crĂ©Ă© une autre stratĂ©gie B dĂ©finissant que les mots de passe doivent avoir non pas 7 mais 10 caractĂšres, quelle stratĂ©gie sera finalement appliquĂ©e et surtout, Ă  qui ?

Résultats :
La stratĂ©gie B sera appliquĂ©e pour les techniciens car c’est la plus proche de l’objet qui les contient, ils devront donc avoir un mot de passe de minimum 10 caractĂšres.
La stratégie A quant à elle sera appliquée pour tous les autres utilisateurs du domaine qui eux devront avoir un mot de passe de minimum 7 caractÚres.

Attention, cela ne signifie pas que seule la stratĂ©gie la plus proche de l’objet sera appliquĂ©e et toutes les autres ignorĂ©es. En effet, il existe une notion « d’hĂ©ritage » sur les GPO. Cette notion d’hĂ©ritage fait en sorte que toute stratĂ©gie dĂ©finie sur Active Directory, au-dessus de l’OU parent, donc par exemple au niveau du domaine, soit appliquĂ©e, si les paramĂštres ne sont pas dĂ©jĂ  configurĂ©s dans une autre stratĂ©gie plus proche de l’objet. Par « dĂ©jĂ  configuré », j’entend que le paramĂštre est soit en mode « activĂ© », soit en mode « dĂ©sactivĂ© », ce qui est diffĂ©rent de « non dĂ©fini ».

Voici un rĂ©capitulatif simplifiĂ© du fonctionnement de l’application des stratĂ©gies avec la notion d’hĂ©ritage :

  • La stratĂ©gie la plus proche de l’objet est “activĂ©e” = le paramĂštre est activĂ©
  • La stratĂ©gie la plus proche de l’objet est “dĂ©sactivĂ©e” = le paramĂštre est dĂ©sactivĂ©
  • La stratĂ©gie la plus proche de l’objet est “non dĂ©finie” = elle hĂ©rite de la stratĂ©gie situĂ©e au niveau supĂ©rieur.

 

A la crĂ©ation d’un domaine Active Directory, il existe dĂ©jĂ  2 GPO par dĂ©faut : la stratĂ©gie du domaine par dĂ©faut et la stratĂ©gie des contrĂŽleurs de domaine par dĂ©faut.

Les noms de ces stratĂ©gies sont assez “parlants” et il est important que chaque stratĂ©gie crĂ©Ă©e soit identifiable en un seul coup d’Ɠil. Il est prĂ©fĂ©rable de lui donner un nom qui reflĂšte son action comme par exemples « GPO_Firewall » ou « GPO_Wallpaper ».

Voici pour exemple quelques paramĂštre contenus dans la stratĂ©gie du domaine par dĂ©faut. Cette GPO va, entre autres, dĂ©finir la complexitĂ© et la durĂ©e de vie des mots de passe, le verrouillage des comptes ou encore le mode d’authentification.

Ces deux stratĂ©gies par dĂ©faut dĂ©finissent des paramĂštres qui seront appliquĂ©s sur des objets ordinateurs membres du domaine. Il faut savoir qu’une stratĂ©gie peut dĂ©finir soit des paramĂštres « ordinateurs », soit des paramĂštres « utilisateurs ». Certains de ces paramĂštres peuvent mĂȘme ĂȘtre communs.

 

Les paramĂštres sont diffĂ©rents selon ce que l’on veut appliquer. Une stratĂ©gie orientĂ©e ordinateur sera appliquĂ©e au dĂ©marrage de la machine et signifierai textuellement : « J’applique cette GPO quel que soit l’utilisateur connectĂ© sur cette machine ».

A l’inverse, une stratĂ©gie orientĂ©e utilisateur s’appliquera Ă  l’ouverture de session et se traduirai par : « J’applique cette GPO quel que soit l’ordinateur sur lequel l’utilisateur se connecte ».

Les paramĂštres disponibles pour les stratĂ©gies de groupe sont trĂšs nombreux et variĂ©s, il est difficile d’en dresser une liste, d’autant plus qu’ils Ă©voluent Ă  chaque nouvelle version de Windows. NĂ©anmoins, ils peuvent ĂȘtre divisĂ©s en 3 grandes catĂ©gories :

    • Les stratĂ©gies

Elles vont contenir tous les paramĂštres dits “logiciels” qui vont permettre le dĂ©ploiement de logiciels de façon centralisĂ©e, et les paramĂštres dits “Windows” qui eux seront plus orientĂ©s scripts, paramĂ©trage de pare-feu, stratĂ©gie de mot de passe

    • Les modĂšles d’administrations

Ils permettront de gĂ©rer la base de registre de Windows. Ils vont permettre de modifier un grand nombre de paramĂštre directement en lien avec les diffĂ©rentes zones du registre et pourront agir par exemple au niveau de l’environnement utilisateur en interdisant par exemple l’accĂšs au panneau de configuration, en forçant un fond d’Ă©cran spĂ©cifique ou en interdisant les stockages amovibles.

    • Les prĂ©fĂ©rences

Ce sont des paramĂštres un peu plus particuliers puisque les prĂ©fĂ©rences vont permettre de simplifier de nombreuses tĂąches en apportant une interface graphique proche de celle que l’on pourrait trouver sur un poste client. On peut par exemple configurer les propriĂ©tĂ©s d’Internet Explorer directement depuis les prĂ©fĂ©rences en mode graphique ou influer sur le comportement des services systĂšme.

Attention toutefois, une prĂ©fĂ©rence est modifiable par l’utilisateur, c’est un choix qu’on lui laisse et non une condition qu’on lui impose.

Pour reprendre l’exemple avec Internet Explorer, si on configure par prĂ©fĂ©rence que la page d’accueil sera le site de Google, l’utilisateur pourra tout Ă  fait lui-mĂȘme changer cela dans son navigateur par la page de Yahoo. Dans un cas comme celui-ci, il serait judicieux d’interdire l’accĂšs au paramĂštres du navigateur.

 

Nous avons donc dit qu’une stratĂ©gie peut s’appliquer Ă  un domaine, un site ou Ă  une UnitĂ© d’Organisation.

Dans les faits, et par dĂ©finition, une stratĂ©gie de groupe s’applique en rĂ©alitĂ©, Ă  un groupe
 En effet, quand on lie une GPO Ă  une UnitĂ© d’Organisation, un « filtrage de sĂ©curitĂ© » s’applique automatiquement. Ce filtrage est visible dans l’onglet « Étendue » de la stratĂ©gie.

On voit sur la stratĂ©gie Default Domain Controllers Policy que le filtrage de sĂ©curitĂ© actuel est dĂ©fini pour le groupe « Utilisateurs authentifiĂ©s ». Si vous regardez une autre stratĂ©gie, vous verrez qu’elle s’applique aussi Ă  ce mĂȘme groupe.

Le groupe « Utilisateurs authentifiĂ©s » est particulier dans l’Active Directory. C’est un groupe dynamique non modifiable, qui contient tous les utilisateurs authentifiĂ©s du domaine mais Ă©galement les comptes des ordinateurs du domaine. AppliquĂ© sur une GPO, il faut voir ce groupe comme « celui qui contient les utilisateurs et les machines oĂč la stratĂ©gie est liĂ©e ». Par exemple ici, les utilisateurs authentifiĂ©s reprĂ©sentent les serveurs qui sont contrĂŽleurs de domaine uniquement.

Il peut ĂȘtre utile dans certains cas de modifier le filtrage de sĂ©curitĂ© par dĂ©faut. Prenons un exemple pour illustrer ceci :

Disons qu’il existe dans notre Active Directory une UnitĂ© d’Organisation nommĂ©e « Direction » qui comprend 3 utilisateurs : le directeur, son adjoint et la secrĂ©taire de direction.

Nous appliquons, au niveau du domaine entier, une stratĂ©gie qui dĂ©finit le logo de la sociĂ©tĂ© comme fond d’écran pour tous les utilisateurs, donc le service Direction y compris. Mais le directeur, et seulement lui, dĂ©cide qu’il veut avoir une photo de sa Ferrari comme fond d’écran (oui bon c’est un peu tirĂ© par les cheveux mais ça arrive !). Comme c’est le big boss et que nous sommes un gentil administrateur qui tient beaucoup Ă  son travail, nous allons l’y autoriser. Deux solutions s’offrent Ă  nous :

  • Modifier l’arborescence d’Active Directory en crĂ©ant une OU ne contenant que le directeur et y appliquer une GPO spĂ©cifique
  • CrĂ©er une GPO sur l’OU existante « Direction » mais ne l’appliquer qu’au directeur grĂące au filtrage de sĂ©curitĂ©.

Nous allons retenir cette seconde option. On va crĂ©er une stratĂ©gie qui va permettre Ă  l’utilisateur de mettre le fond d’écran qu’il souhaite et ne dĂ©clarer que lui dans le filtrage de sĂ©curitĂ©.

Cette stratĂ©gie s’appliquera uniquement au directeur et les autres utilisateurs de l’OU Direction seront quant Ă  eux toujours soumis au fond d’écran officiel de la sociĂ©tĂ©.

 

Un autre point intĂ©ressant que l’on rencontre avec les stratĂ©gies de groupe sont les filtres WMI.

Un filtre WMI va permettre de filtrer la stratĂ©gie au niveau du systĂšme d’exploitation. Cela Ă©vitera d’appliquer une GPO sur un systĂšme qui n’en a pas besoin. Le filtre va agir comme une requĂȘte SQL et va permettre de dissocier quelle version de systĂšme d’exploitation est installĂ©e sur une machine.

Ce type de filtrage est trĂšs intĂ©ressant surtout dans le cas d’une stratĂ©gie d’installation ou de mise Ă  jour de logiciel par GPO. On pourra alors par exemple dĂ©finir un filtrage WMI sur une GPO qui va installer le pack Office en version 2013 uniquement sur des postes sous Windows 7.

 

Il y aurait encore beaucoup de parties Ă  explorer concernant les stratĂ©gies de groupes comme par exemple les GPO Starters, l’assistant de modĂ©lisation de stratĂ©gie (trĂšs utile pour tester l’impact d’une GPO), les fichiers ADMX, ou encore la notion de mode « Enforced » qui force l’application d’une GPO sans tenir compte de la notion d’hĂ©ritage. Pour en savoir plus sur ces notions, je vous conseille d’effectuer des recherches sur la Technet de Microsoft qui regorge d’informations sur ce vaste sujet !

 

En rĂ©sumĂ©, nous pouvons dire que les stratĂ©gies de groupe sont des objets Active Directory indispensables et qui offrent de multiples possibilitĂ©s pour administrer le parc informatique d’une entreprise. De dĂ©ploiement de logiciel Ă  la gestion trĂšs fine de l’environnement des postes de travail, la quasi-totalitĂ© des paramĂ©trages peut ĂȘtre se faire de façon centralisĂ©e directement depuis le serveur Active Directory. C’est un vĂ©ritable gain de temps pour les administrateurs systĂšme.

 

Attention cependant (oui encore un attention) ! La mise en place de stratĂ©gie de groupe dans un domaine doit ĂȘtre Ă©tudiĂ©e et dĂ©finie en amont. Il peut ĂȘtre difficilement concevable de crĂ©er une GPO qui dĂ©finit Ă  la fois des rĂšgles de pare-feu et qui applique un fond d’Ă©cran. Ou encore avoir tellement de stratĂ©gies en place que celles-ci se rĂ©pĂštent ou pire qu’elles finissent par se contredire les unes les autres !

Attribuer une fonction spĂ©cifique Ă  une GPO (gestion du wifi, environnement utilisateur, paramĂštres de sĂ©curitĂ©…) et lui donner un nom bien distinct va contribuer Ă  la conservation d’un environnement stable et correctement structurĂ©.

 

Vous ĂȘtes dĂ©sormais parĂ©s pour affronter les stratĂ©gies de groupe ! Go works ! good

Zoom sur les stratégies de groupes (GPO)

Articles pouvant vous intéresser