Le terme Stratégie désigne la configuration logicielle
du système par rapport aux utilisateurs. A la suite d’une installation de Windows,
aucune stratégie n'est configurée, et tout est permis (en fonction des droits
des groupes d'utilisateurs prédéfinis : Administrateurs, Utilisateurs, Utilisateurs
avec pouvoir...).
Les stratégies de groupe ou GPO (Group Policies Object) permettent
de configurer des restrictions d'utilisation de Windows où des paramètres à
appliquer soit sur un ordinateur donné soit sur un compte utilisateur donné.
Il est ainsi possible d’agir sur :
- La définition d’un environnement adapté : Il est possible par exemple de rediriger certains répertoires leurs contenus
- Le déploiement de logiciels : Une automatisation complète de l’installation des programmes sur les postes clients est possible en fonction du profil de l’utilisateur
- L’application des paramètres de sécurité : Le contexte de sécurité de l’environnement utilisateur peut être modifier
Voici un exemple de stratégie de groupe :
- Menu Démarrer et Barre des tâches
- Suppression du menu Documents dans le menu Démarrer
- Suppression des Connexions réseau et accès distant du menu Démarrer
- Suppression du menu Exécuter dans le menu Démarrer
- Désactivation de la fermeture de session dans le menu Démarrer
- Désactivation de la commande Arrêter
- Panneau de configuration
- Désactivation du Panneau de configuration
- Masque de certaines applications du Panneau de configuration
- Système
- Activation des quotas de disque
- Désactivation des outils de modifications du Registre
- Désactivation de l'invite de commandes
- Internet Explorer
- Désactivation de la modification des paramètres de la page de démarrage
Une stratégie de groupe et composée d’un objet Active Directory
et d’un dossier dont le nom est SID de la GPO et que l’on trouve dans le répertoire
SYSVOL disponible sur chaque contrôleur de domaine. Les GPO ne peuvent êtres
appliquées qu’à des conteneurs : site, domaine ou encore unité d’organisation
mais elles peuvent être assignées plusieurs fois à des conteneurs différents.
Le contenu d’une GPO sera donc appliqué sur les comptes utilisateurs et ordinateurs
contenus dans le conteneur et plusieurs GPO peuvent être liée à un même conteneur.
Scripting
Les GPO permettent en outre de spécifier des scripts de démarrage
(que l’ordinateur exécutera au lancement de Windows avant qu’un utilisateur
ne se soit loguer), ainsi que des scripts d’ouverture de session (exécutés quand
un utilisateur se logue). Grâce aux scripts d’ouverture de session il est possible
notamment de créer des lecteurs réseau (c’est à dire une lettre de lecteur que
l’on associe en réalité à un partage réseau) selon les groupes et les utilisateurs.
Les scripts de démarrage s’exécutent en mode synchrone ( les
uns après les autres sans que le login ne soit possible avant la fin de leur
exécution) et de façon invisible. D’un autre côté, les scripts d’ouverture de
session s’exécutent en mode asynchrone (tous en même temps au moment du login)
mais restent eux aussi invisibles.
Les scripts peuvent être placés sur n’importe quel DC (contrôleur
de domaine) du domaine ( et ce grâce au phénomène de réplication), dans le sous
répertoire du domaine destiné aux scripts et qui se situe dans le partage SYSVOL.
Voici un exemple de script :
Set objNetwork = Wscript.CreateObject(«WScript.Network») objNetwork.MapNetworkDrive«G:»,
«\\NomOrdinateur\NomOrdinateur Data» msgbox «Votre script a fonctionné ! »
Installation de la console de gestion des stratégies de groupe
La console de gestion des stratégies de groupe (GPMC, Group
Policy Management Console) Microsoft permet l’uniformisation de la gestion des
stratégies de groupe au sein d’une organisation. Avant que celle-ci ne fasse
son apparition, il était nécessaire d’utiliser plusieurs outils Microsoft pour
gérer les stratégies de groupe. La console GPMC réunit désormais dans une seule
console toutes les fonctionnalités nécessaires.
Grâce à la console GPMC, la gestion des stratégies de groupe
est facilitée : comprendre, déployer, gérer et résoudre des problèmes liés aux
implémentations de stratégie de groupe sont désormais des tâches qui ne posent
pas de soucis. La GPMC permet par ailleurs d’automatiser des opérations de stratégie
de groupe à l'aide de scripts.
La console GPMC contrôle les stratégies de groupe Windows 2000
et Windows Server 2003. Les fonctionnalités majeures proposées par la console
GPMC sont :
- une interface graphique utilisateur qui facilite l’utilisation des GPO
- l'importation et l'exportation ainsi que le copier/coller des objets de stratégie de groupe
- le filtrage par le langage WMI (Windows Management Instrumentation)
- la sauvegarde et la restauration des objets de stratégie de groupe
- la présence d’un module de vérification des stratégies résultantes (RSoP, resultant set of policy)
- l'utilisation de scripts pour les tâches associées aux stratégies de groupe
- la génération de rapports
- la gestion simplifiée de la sécurité liée aux stratégies de groupe
Pour télécharger la console de gestion des stratégies de groupe
Microsoft cliquez sur le lien GPMC
Celle-ci pourra s’exécuter sur Windows XP Pro SP1 ou encore sur Windows 2003
serveur, une fois installée elle sera disponible à travers l’invite de commande
en tapant «mmc ».
Configuration ordinateur
La console de gestion des stratégies de groupe se divise en
deux arborescences, la première étant Ordinateur. La configuration
ordinateur définit le comportement du système d’exploitation ou d’une partie
du bureau et la configuration de la sécurité. Elle intervient dans des opérations
comme l’installation des logiciels dès le démarrage de la machine…
Configuration utilisateur
Utilisateur est la seconde arborescence des stratégies
de groupe. La configuration utilisateur définit la configuration des applications,
les options d’applications affectées et publiées et enfin les paramètres de
bureau, elle intervient dans des opérations comme le déploiement de scripts
de démarrage…
Dans certains cas, il est nécessaire de modifier le fonctionnement
des GPO, par exemple dans le cas où la machine est en accès libre. Le paramètre
de GPO « Bouclage » permet à l’ordinateur de prendre lui-même en compte la partie
Utilisateur de la GPO qu’il utilise, ces paramètres éliminent les paramètres
de GPO normalement appliqués par le login de l’utilisateur. Ainsi un environnement
utilisateur très limité par exemple pourra être défini quel que soir l’utilisateur
logué.
Stockage des paramètres d'une GPO
Lorsqu’une GPO est définit, les paramétrages de cette dernière
sont stockés dans la base de registre dans les branches suivantes :
- HKEY_CURRENT_USER\Software\Policies\Microsoft
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
- HKEY_LOCAL_MACHINE\Software\Policies\Microsoft
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
