Apprenez ce que sont les GPO (Objets de Stratégie de Groupe) ou Directives de Groupe et à quoi elles servent, ainsi que les bases de cette technologie pour améliorer la gestion de ton infrastructure de serveur AD DS.
Première approche aux GPO
Lors de la configuration d’un ordinateur, des dizaines, voire des centaines de paramètres et d’options doivent être configurés. Il faut décider des accès de l’utilisateur, des dossiers auxquels il aura accès, des imprimantes qu’il pourra utiliser, de son fond d’écran, de sa page d’accueil, de la configuration du pare-feu, des programmes qu’il pourra utiliser, voire même s’il pourra installer des programmes. Une quantité énorme de configurations qui peut être fastidieuse sur un seul ordinateur, mais qui peut devenir une tâche titanesque si elle doit être réalisée sur des centaines, voire des milliers d’ordinateurs.
Depuis l’apparition de Windows Server 2000, la fonctionnalité des Directives de Groupe (ou Politiques de Groupe selon la source) a permis aux administrateurs système Microsoft de définir des configurations centralisées pour les déployer sur l’ensemble du parc de postes de travail et de serveurs.
Le principal avantage de ce modèle est que lorsqu’on développe les configurations de manière centralisée pour les déployer ultérieurement sur les ordinateurs, l’interaction de l’administrateur avec les ordinateurs finaux est minimale, ce qui permet de réaliser une économie de temps considérable en matière d’administration.
Mais ce n’est pas le seul avantage ; en établissant des configurations centralisées qui se propagent sur les ordinateurs et les serveurs sur demande, cela contribue également à éliminer les erreurs de déploiement, car il est beaucoup plus courant de commettre une erreur lorsqu’on déploie une configuration centaine de fois que lorsqu’on le fait une seule fois.
Un autre avantage est qu’en cas de modifications ultérieures, celles-ci seront effectuées une seule fois, les changements étant propagés dans l’ensemble de l’exploitation sans entraîner un volume de travail considérable ni un nouveau risque d’erreur.
Lorsqu’on décide d’appliquer des Directives de Groupe, ou Politiques de Groupe ou GPO, on peut également définir la portée dans laquelle ces configurations vont prendre effet. On peut décider que cela affecte toute l’entreprise, ou une partie de celle-ci, en atteignant un niveau de granularité élevé, par exemple en décidant que cela n’affecte que les utilisateurs d’un emplacement, d’un département ou même d’un seul utilisateur, et c’est là un autre point fort des GPO.
Tout au long de cet article, nous approfondirons les concepts, les utilisations et les outils des Directives de Groupe, en essayant de le faire de la manière la plus légère possible pour ne pas alourdir la lecture, mais il convient de garder à l’esprit qu’il y a une grande quantité de définitions et de concepts qui devront être expliqués.
NOTE : Dans cet article, nous nous concentrons principalement sur la partie théorique des Directives de Groupe, car il existe différents tutoriels sur Jotelulu qui peuvent être consultés pour effectuer différentes configurations.
Un outil pour la gestion des configurations.
Lorsque nous avons un seul ordinateur ou un petit ensemble d’entre eux, il est possible de configurer manuellement les paramètres, bien que la centralisation des configurations permette de déployer à nouveau les mêmes paramètres sur de nouveaux équipements ou même lorsqu’un des équipements existants est réinstallé pour une raison quelconque.
Pour résoudre ce problème, il existe la Gestion de la Configuration, une manière de gérer les équipements en donnant une approche centralisée à la gestion des changements sur les utilisateurs et les équipements. C’est de ce modèle de gestion que dépendent les GPO, bien qu’elles ne soient pas la seule façon de le mettre en œuvre.
Lorsque nous parlons de Gestion de la Configuration, nous devons penser qu’il existe essentiellement trois éléments clés : Réglage, Portée et Application :
- Réglage : c’est la définition de l’état souhaité pour un utilisateur, un équipement ou un ensemble d’entre eux.
- Portée : c’est l’ensemble des utilisateurs ou équipements sur lesquels les réglages s’appliquent.
- Application : c’est l’outil ou le mécanisme utilisé pour mettre en œuvre les réglages sur la portée.
Lorsque nous parlons de Politiques ou Directives de Groupe, nous devons savoir que l’élément le plus fondamental est la Configuration de Directive Individuelle, généralement appelée directive ou politique, qui est responsable de définir un changement de configuration spécifique. Par exemple, une politique qui empêche l’utilisateur d’ouvrir le Panneau de configuration, de voir le disque C:, d’utiliser des périphériques USB ou d’installer un programme.
Comme nous l’avons mentionné précédemment, les politiques s’appliquent aux utilisateurs ou aux équipements, nous devons donc garder à l’esprit qu’il existe deux types de directives en fonction de leur destinataire :
- Lorsqu’elles affectent un équipement, nous parlerons de Directives de Réglage de Configuration d’Équipement. Ces réglages sont appliqués lorsque la machine démarre ou se met à jour automatiquement toutes les 90 à 120 minutes, à compter du moment du démarrage de la machine.
- Lorsqu’elles affectent un utilisateur, nous parlerons de Directives de Configuration d’Utilisateur. Ces réglages sont appliqués lors du démarrage de la session ou se mettent à jour automatiquement toutes les 90 à 120 minutes, à compter du démarrage de la session.
REMARQUE : En plus de l’exécution au démarrage ou à la fermeture de session pour les utilisateurs, ou au démarrage ou à l’arrêt pour les machines, il est également possible de forcer l’exécution des politiques à l’aide de la commande « gpupdate /force », qui permet de réexaminer les GPO pour la machine sur laquelle elle est exécutée, constituant ainsi un bon moyen de faire des tests ou de résoudre des problèmes liés aux directives.
Mais qu’est-ce qu’une GPO exactement ?
Tout au long de cet article, nous parlons des GPO (Objets de Stratégie de Groupe), et en fait, dans le titre même de celui-ci, il est dit que nous allons expliquer ce qu’est une GPO et à quoi elle sert, mais nous n’avons encore rien dit sur ce qu’est exactement une GPO.
Eh bien, une GPO est essentiellement un objet qui stocke une ou plusieurs valeurs de configuration qui s’appliquent à un utilisateur ou à un équipement, pouvant également être provisionnée sur des ensembles de plusieurs utilisateurs ou équipements. La GPO est essentiellement un conteneur de configurations, de règles et d’états souhaités, mais attention, ce conteneur n’a rien à voir avec les conteneurs d’AD DS dont nous parlerons dans d’autres articles.
Le plus grand problème que peuvent présenter les GPO n’est pas la complexité de la planification et de la création, ni la complexité de l’administration et de la maintenance, mais l’utilisation de l’héritage des GPO, car elles peuvent être appliquées à différents niveaux et celles-ci peuvent « s’écraser » mutuellement si nous ne le planifions pas correctement.
Pour cette raison, il est très important de connaître les niveaux auxquels une GPO peut être liée et la manière dont elles interagissent les unes avec les autres, afin d’éviter les comportements indésirables. Lorsque nous liions une GPO, celle-ci sera appliquée au conteneur du niveau supérieur, mais elle se propagera vers les niveaux inférieurs.
Par exemple, si nous avons une structure comme celle de l’image et que nous lions une GPO à l’OU de Zaragoza, les OU des différents départements seront affectées par cette GPO. En prenant comme exemple l’utilisateur « Nacho Oller », qui se trouve dans le département technique de Zaragoza, celui-ci sera affecté par les GPO de mappage d’imprimantes qui sont liées à l’OU de Zaragoza.
Pour commencer, nous devons savoir que les GPO peuvent être déployées aux niveaux suivants :
- Niveau de Domaine.
- Niveau de Site.
- Niveau d’OU (Unité d’Organisation).
- Niveau local.
Cependant, l’ordre d’application est le suivant :
- GPO Locales.
- GPO au niveau du Site.
- GPO au niveau du Domaine.
- GPO au niveau de l’OU.
Quelle est l’utilisation des GPO dans une exploitation ?
Généralement, lorsque nous parlons des Directives de Groupe (GPO), nous pensons souvent aux configurations de base, aux mappages des lecteurs réseau ou des imprimantes, et dans certains cas, nous pouvons également penser aux déploiements de programmes de manière automatique. Cependant, l’application des Politiques et Préférences peut aller bien au-delà.
Tout d’abord, comme nous l’avons mentionné précédemment, elles nous permettent de standardiser les environnements de travail, en définissant par exemple le fond d’écran, le navigateur par défaut, la page d’accueil, etc. que les utilisateurs auront dans notre exploitation, tout en limitant également leurs accès et utilisations du système d’exploitation.
Les configurations réseau peuvent être provisionnées via les GPO, permettant de spécifier des restrictions telles que les ordinateurs portables ne pouvant pas se connecter à des réseaux sans fil non autorisés, ou ne pouvant se connecter qu’aux SSID figurant sur une liste blanche de réseaux autorisés par l’entreprise.
Bien sûr, cela nous permettra également de configurer le partage des lecteurs réseau, que ce soit pour des groupes, des départements, des emplacements ou même des lecteurs personnels, afin d’éviter les anciens scripts de mappage ou l’utilisation de partages manuels. La même chose se produira pour les imprimantes, qui pourront être mappées de manière beaucoup plus rapide et pratique en utilisant les GPO plutôt que des partages manuels.
Le déploiement de logiciels est également l’un des points importants des GPO, car cela nous permet d’installer automatiquement des programmes au format .msi, ou même de laisser à l’utilisateur le choix d’installer un logiciel spécifique ou non.
Comme il se doit, les Directives nous permettent d’appliquer différentes configurations de sécurité pour obtenir une infrastructure plus sûre. Des configurations telles que le pare-feu, les mises à jour, les paramètres d’audit, les sauvegardes, etc. peuvent être forcées via les GPO, permettant d’avoir des configurations homogènes et sécurisées.
Enfin, il est important de garder à l’esprit que tout cela ne se limite pas uniquement au déploiement de politiques, car on peut également déployer l’exécution de scripts PowerShell ou CMD dont la puissance est presque illimitée et dépend davantage de l’imagination du technicien qui les déploie que de limitations techniques en tant que telles.
Quels outils utilisons-nous pour la gestion des GPO ?
Il existe plusieurs outils pour la gestion des Directives de Groupe, allant des outils basés sur une interface graphique, typiques de l’environnement Windows, aux outils en ligne de commande basés sur le classique CMD (Command) ou les cmdlets PowerShell.
D’une part, nous avons la Console de gestion des stratégies de groupe, également connue sous le nom de « GPMC » pour « Group Policy Management Console » en anglais. C’est la console utilisée pour lancer et lier les directives.
Ensuite, nous avons l’Éditeur de gestion des stratégies de groupe qui permet de créer les politiques et auquel on accède généralement depuis le GPMC pour développer la politique elle-même.
D’autre part, il existe les commandes « GPUpdate » et « GPResult » utilisées dans CMD pour effectuer des tâches de mise à jour et de vérification des déploiements de Politiques de Groupe, dont la syntaxe peut être consultée dans les liens suivants : GPUpdate, GPResult.
Enfin, il est possible de travailler avec les politiques à l’aide des cmdlets PowerShell en utilisant le module Group Policy, dont nous ne parlerons pas dans cet article en raison de la profondeur de ce module, mais vous pouvez trouver des informations supplémentaires dans d’autres articles et tutoriels sur ce même site.
Où sont stockées les GPO ?
Les configurations des GPO sont principalement composées de deux éléments essentiels : d’une part, nous avons les conteneurs de stockage des politiques, et d’autre part, nous avons les modèles de configuration.
Un conteneur de politiques est l’un des objets qui composent AD DS (Active Directory Domain Services) et qui est essentiellement créé pour maintenir les GPO ciblées et organisées au sein d’un espace unique. Comme pour chaque élément qui constitue la structure d’AD DS, ce conteneur a un identifiant global unique qui l’identifie de manière unique au sein de l’annuaire.
Enfin, il convient de noter qu’un modèle de Directives de Groupe est constitué d’une série de fichiers qui se trouvent dans le dossier SYSVOL, qui est répliqué sur chaque contrôleur de domaine, stocké à l’intérieur de SYSVOL, plus précisément dans %SystemRoot%\SYSVOL\Domains\Policy\GPOGUID, où GPOGUID est le GUID du conteneur.
De même, pour maintenir l’ordre, chaque objet de GPO est marqué d’un numéro de version dans l’un de ses attributs de directive, qui sera automatiquement incrémenté à chaque modification. Cela établit un contrôle des versions qui nous aide à maintenir l’ordre et la cohérence des GPO stockées.
Conclusion :
Comme nous l’avons souligné dans l’article, les Directives de Groupe ou GPO sont l’un des principaux outils pour maintenir notre infrastructure d’entreprise bien gérée de manière rapide et efficace, surtout lorsque celle-ci comprend un grand nombre d’hôtes.
Grâce à elles, nous pouvons déployer des logiciels de manière automatique ou provisionner des configurations standard pour des ensembles d’hôtes que nous pouvons définir en fonction de leur emplacement dans la structure d’AD DS, c’est-à-dire en fonction de l’Unité Organisationnelle (OU) à laquelle ils appartiennent.
Leur fonctionnement est relativement simple à apprendre, mais nous devons prendre en compte certains points pour éviter les erreurs de configuration ou les comportements indésirables. À cet égard, nous devons toujours prendre en compte la manière dont les GPO s’exécutent et se propagent, c’est-à-dire l’héritage appliqué à ces éléments.
Nous espérons que cet article a été intéressant et qu’il vous a donné une petite idée de ce qu’est une GPO et de son fonctionnement.
Pour compléter ces informations, nous vous recommandons de visiter les liens suivants, où vous trouverez des informations supplémentaires et des exemples d’opérations que vous pouvez effectuer avec des directives de groupe, telles que :
- Commandes PowerShell pour gérer les GPO en script.
- Comment configurer une GPO pour le mappage de lecteurs partagés.
- Comment configurer une GPO pour le mappage d’imprimantes.
- Comment déployer un script GPO avec du code PowerShell.
- Comment configurer des lecteurs personnels à l’aide d’un script GPO.
- Comment configurer votre pare-feu à l’aide d’un script GPO.
- Comment masquer l’accès à un lecteur de disque sur votre serveur à l’aide de l’Éditeur de stratégies locales.