🔐 Active Directory - Stratégies de groupe (GPO)

📚 Concepts de base

Qu'est-ce qu'une GPO ?

Une GPO (Group Policy Object) est un ensemble de paramètres qui :

• Configure les ordinateurs et utilisateurs AD
• Applique des paramètres de sécurité
• Installe des logiciels
• Gère les scripts de connexion/déconnexion

Structure d'une GPO :

GPO
├── Configuration ordinateur
│   ├── Stratégies
│   └── Préférences
└── Configuration utilisateur
    ├── Stratégies
    └── Préférences

Stockage :

• SYSVOL : \\domaine\SYSVOL\domaine\Policies\{GUID}
• Active Directory : CN=Policies,CN=System,DC=domaine,DC=com

🔄 Ordre d'application

LSDOU - Ordre hiérarchique :

1. Local : Stratégies locales de l'ordinateur
2. Site : Stratégies liées au site AD
3. Domain : Stratégies du domaine
4. OU : Stratégies des unités organisationnelles

Options de liaison :

➕ Créer une GPO

Via GUI :

1. Ouvrir GPMC (Group Policy Management Console)
2. Clic droit sur l'OU → "Create a GPO in this domain, and Link it here"
3. Nommer la GPO
4. Modifier les paramètres

Via PowerShell :

# Créer une nouvelle GPO
New-GPO -Name "GPO_Test" -Comment "Test GPO"

# Lier la GPO à une OU
New-GPLink -Name "GPO_Test" -Target "OU=IT,DC=company,DC=com"

# Définir des paramètres
Set-GPRegistryValue -Name "GPO_Test" `
  -Key "HKEY_LOCAL_MACHINE\Software\MyApp" `
  -ValueName "Setting" `
  -Type String `
  -Value "Enabled"

⚙️ Paramètres communs

Configuration ordinateur :

# Installation de logiciel
Computer Configuration\Policies\Software Settings\Software Installation

# Scripts de démarrage/arrêt
Computer Configuration\Policies\Windows Settings\Scripts

# Paramètres de sécurité
Computer Configuration\Policies\Windows Settings\Security Settings

# Paramètres administratifs
Computer Configuration\Policies\Administrative Templates

Configuration utilisateur :

# Redirection de dossiers
User Configuration\Policies\Windows Settings\Folder Redirection

# Scripts de connexion/déconnexion
User Configuration\Policies\Windows Settings\Scripts

# Paramètres du Bureau
User Configuration\Policies\Administrative Templates\Desktop

Exemples pratiques :

# Désactiver l'accès au Panneau de configuration
User Configuration\Administrative Templates\Control Panel
"Prohibit access to Control Panel and PC settings" → Enabled

# Configurer la politique de mot de passe
Computer Configuration\Windows Settings\Security Settings\Account Policies
"Password Policy" → Configure settings

# Mapper un lecteur réseau
User Configuration\Preferences\Windows Settings\Drive Maps
Create → Map drive Z: to \\server\share

🔧 Dépannage GPO

Outils de diagnostic :

# GPResult - Afficher les GPO appliquées
gpresult /r                      # Résumé
gpresult /h report.html         # Rapport HTML détaillé
gpresult /user:jdupont /r       # Pour un utilisateur spécifique

# GPUpdate - Forcer l'application
gpupdate /force                 # Force la mise à jour
gpupdate /target:computer       # Uniquement ordinateur
gpupdate /target:user          # Uniquement utilisateur

# DCGPOFix - Réinitialiser les GPO par défaut
dcgpofix /ignoreschema         # Réinitialise Default Domain Policy

Problems courants :

⌨️ Commandes utiles

PowerShell pour GPO :

# Importer le module
Import-Module GroupPolicy

# Lister toutes les GPO
Get-GPO -All

# Obtenir les détails d'une GPO
Get-GPO -Name "Default Domain Policy"

# Sauvegarder une GPO
Backup-GPO -Name "GPO_Test" -Path "C:\GPOBackup"

# Restaurer une GPO
Restore-GPO -Name "GPO_Test" -Path "C:\GPOBackup"

# Créer un rapport GPO
Get-GPOReport -Name "Default Domain Policy" -ReportType HTML -Path "report.html"

# Copier une GPO
Copy-GPO -SourceName "GPO_Source" -TargetName "GPO_Copy"

Commandes système :

# Ouvrir GPMC
gpmc.msc

# Ouvrir l'éditeur GPO local
gpedit.msc

# RSoP (Resultant Set of Policy)
rsop.msc

# Tester la connexion GPO
gpotool /checkacl /verbose