Stratégies de groupes (Group Policies / GPO)
Présentation des stratégies de groupe
Les stratégies de groupe ou les stratégies systèmes permettent de configurer administrativement des restrictions ou des paramètres à appliquer sur tel ou tel ordinateur, sur tel ou tel compte utilisateur.
Sous Windows NT4, les stratégies systèmes étaient implémentées par le biais de l’outil POLEDIT, qui permettait de créer un fichier config.pol. Ce fonctionnement reste d’actualité pour les NT4 membres d’un domaine Active Directory (et ce fichier sera placé dans le répertoire partagé NETLOGON).
Les stratégies de groupe (GPO), quant à elles, n’ont un effet que sur les ordinateurs fonctionnant sous Windows 2000 ou ultérieur. Leur fonctionnement est tout à fait différent. Elles sont à la fois détaillées et souples et permettent de configurer les différents paramètres de façon très précise.
Les GPO ne peuvent être appliqués qu’à des conteneurs : un site, un domaine ou une OU. Leur contenu aura effet sur les comptes d’ordinateurs et d’utilisateurs contenus dans le conteneur concerné, et ses enfants par héritage.
L’ordre d’application, du moins prioritaire au plus prioritaire, est globalement du plus éloigné au plus proche, à l’exception de la stratégie locale présente sur chaque ordinateur, qui est la moins prioritaire :
Local –> Site –> Domaine du plus lointain au plus proche–> OU de la plus lointaine à la plus proche
Chacun des multiples paramètre d’une GPO peut être configuré ou pas. Si un paramètre n’est pas configuré, il ne provoque pas de conflit. Si des paramètres configurés entrent en conflit, l’échelle de priorité précédente détermine le paramètre à appliquer. Si vous appliquez directement plusieurs GPO sur une OU, la GPO la plus élevée (la première) est la plus prioritaire ; la dernière, la moins prioritaire.
Héritage des stratégies de groupe
Les GPO appliquées à des sites ne sont pas concernées puisque les sites ne sont pas organisés hiérarchiquement.
Par défaut : – Les GPO appliquées à un domaine sont héritées de domaine père en domaines fils. – Les GPO appliquées à une OU sont héritées d’OU mère en OU filles.
Exceptions : Elles sont deux, configurables pour chaque conteneur (Domaine ou OU) : – Bloquer l’héritage : Si cette case est cochée, aucune GPO supérieure ne sera héritée par ce conteneur. – Ne pas passer outre : Si une GPO dispose de ce paramètre, elle sera malgré tout obligatoirement héritable par les conteneurs inférieurs, même si ceux-ci sont configurés pour bloquer l’héritage.
Cas particulier : Certains paramètres font exception à l’ordre d’application et aux possibilités d’héritage. Les paramètres de mots de passe (longueur, complexité) et de verrouillage de compte sont définis une seule fois pour tout le domaine dans la première GPO du domaine. Pour ces paramètres, aucun blocage n’est possible dans le domaine. Si ces paramètres sont définis à un autre emplacement, ils n’ont aucun effet.