I) Introduction générale
Les Stratégies de groupe (Group Policy Objects - GPO) sont un pilier central de l’administration Windows Server. Elles permettent de définir et appliquer des paramètres de configuration aux utilisateurs et ordinateurs du domaine de manière centralisée. Plutôt que de configurer chaque poste un par un, vous appliquez une GPO et toutes les machines concernées recevront les mêmes règles.
Les GPO servent à sécuriser l’environnement (ex : mots de passe complexes, verrouillage automatique), à standardiser les configurations (fond d’écran, scripts, logiciels), et à simplifier la gestion (ajout de lecteurs réseau, configuration proxy).
II) Fonctionnement technique des GPO
- Chaque GPO est composée de deux parties :
- GPC (Group Policy Container) : stocké dans Active Directory, il contient les métadonnées (nom, version, informations de liens).
- GPT (Group Policy Template) : stocké dans le dossier SYSVOL sur les DC, il contient les fichiers et paramètres réels.
- Les GPO sont appliquées selon l’ordre : Local → Site → Domaine → OU.
- Une GPO appliquée à une OU est prioritaire sur celle du domaine si des paramètres se chevauchent.
- On peut filtrer l’application des GPO par permissions de sécurité ou par filtres WMI.
III) Création d’une GPO (GUI)
- Ouvrir Gestion de stratégie de groupe (
gpmc.msc). - Clic droit sur le domaine ou une OU → Créer un objet GPO et le lier ici.
- Donnez un nom explicite, ex :
GPO-Sécurité-MotsDePasse. - Double-cliquez pour éditer la GPO → paramétrez les options souhaitées.
IV) Exemples concrets de GPO
A. Politiques de mot de passe
Configuration dans : Configuration ordinateur → Paramètres Windows → Paramètres de sécurité → Stratégies de compte.
- Longueur minimale : 12 caractères.
- Complexité obligatoire (majuscules, minuscules, chiffres, symboles).
- Expiration : 90 jours.
B. Verrouillage automatique
Empêche les sessions inactives d’être utilisées.
- Chemin : Configuration utilisateur → Modèles d’administration → Panneau de configuration → Personnalisation → Délai d’attente de l’écran de veille.
- Exemple : verrouillage après 10 minutes d’inactivité.
C. Mappage de lecteurs réseau
Ajoute automatiquement des partages réseau aux utilisateurs.
- Chemin : Configuration utilisateur → Préférences → Paramètres Windows → Lecteurs mappés.
- Exemple : connecter
\\serveur\partagecomme lecteur Z:.
D. Déploiement logiciel
Installer automatiquement un MSI sur toutes les machines d’une OU.
- Partager le MSI avec droits lecture.
- Dans la GPO → Configuration ordinateur → Paramètres logiciels → Installation de logiciels.
- Ajouter le package MSI et l’assigner.
E. Scripts de connexion/déconnexion
- Chemin : Configuration utilisateur → Paramètres Windows → Scripts (ouverture/fermeture de session).
- Exemple : script PowerShell qui affiche un message de bienvenue.
V) Gestion via PowerShell
# Créer une nouvelle GPO
New-GPO -Name "GPO-Sécurité-MotsDePasse"
# Lier une GPO à une OU
New-GPLink -Name "GPO-Sécurité-MotsDePasse" -Target "OU=Utilisateurs-Paris,DC=miniverse,DC=local"
# Modifier une stratégie (ex : mot de passe min 12)
Set-ADDefaultDomainPasswordPolicy -MinPasswordLength 12 -ComplexityEnabled $true -MaxPasswordAge 90
# Générer un rapport GPO
Get-GPOReport -All -ReportType HTML -Path "C:\Rapport-GPO.html"
VI) Diagnostic et dépannage
gpresult /r: voir les GPO appliquées à un poste.gpupdate /force: forcer l’application immédiate.- Journaux : Observateur d’événements → Journaux Windows → Système et Applications et services → Microsoft → Windows → GroupPolicy.
VII) Bonnes pratiques
- Ne modifiez jamais la Default Domain Policy ou la Default Domain Controllers Policy.
- Créez des GPO séparées pour chaque besoin.
- Testez toujours sur une OU pilote avant déploiement global.
- Documentez les GPO (description, auteur, date).
VIII) Erreurs fréquentes
- Appliquer trop de GPO → ralentissements.
- Conflits entre GPO → vérifier l’ordre de priorité.
- Permissions mal configurées → GPO non appliquée.
- Filtres WMI trop complexes → impact sur les performances.