Tutoriel: Les joies des stratégies de groupe de Windows Server

Lorsque Microsoft a introduit les objets de stratégie de groupe (GPO) avec Windows Server 2000 il y a près de 17 ans, ils constituaient une nouvelle approche passionnante de la gestion des autorisations utilisateur et système. Aujourd'hui, ils font simplement partie du travail administratif, et par conséquent, certains administrateurs informatiques ont oublié à quel point ces paramètres peuvent être puissants et quand ils peuvent être utilisés pour résoudre des problèmes.

Lorsque Windows Server 2016 sortira plus tard cet automne, il conservera ces objets de stratégie de groupe si pratiques, les laissant inchangés à l'exception de l'ajout de certains paramètres spécifiques à Windows Server 2016 et Windows 10. S'il n'est pas cassé ...

Les outils de la console de gestion des stratégies de groupe sont installés avec Active Directory, mais vous avez besoin des services de domaine Active Directory (ADFS) pour que les stratégies de groupe fonctionnent réellement. Pour contrôler les serveurs ou les postes de travail, ils doivent être connectés (aka «joints») au domaine. Bien que les stratégies locales puissent être configurées pour des PC individuels (non joints à un domaine), il s'agit d'un scénario unique qui ne tire pas parti de la valeur fondamentale de la mise en œuvre d'une stratégie de groupe pour contrôler plusieurs systèmes et utilisateurs à la fois.

Il existe des milliers de paramètres et d'options de configuration potentiels pour les objets de stratégie de groupe. Le moyen le plus simple de trouver votre chemin vers un paramètre consiste à identifier son chemin d’emplacement dans l’outil Console de gestion des stratégies de groupe (GPMC), comme illustré à la figure 1. Le chemin d’emplacement vous montre le chemin complet vers les paramètres que vous recherchez, dans le de la même manière que vous pourriez rechercher un fichier qui est enterré dans plusieurs dossiers.

Trois utilisations des stratégies de groupe constituent un bon point de départ à la fois pour l'administrateur débutant et pour l'administrateur expérimenté qui a pris les stratégies de groupe pour acquises et a cessé de chercher des moyens de les utiliser pour de nouveaux besoins. (Lorsque vous êtes prêt à creuser plus profondément, Microsoft propose un bon didacticiel détaillé qui aborde les subtilités des stratégies de groupe.)

Exemple d'objet de stratégie de groupe 1: appliquer la complexité du mot de passe

Pour créer une stratégie de complexité des mots de passe qui s’applique à tous les utilisateurs d’un domaine, procédez comme suit:

  1. Ouvrez votre console de gestion des stratégies de groupe.
  2. Développez le conteneur Domaines et sélectionnez votre nom de domaine.
  3. Cliquez avec le bouton droit sur le nom de domaine et choisissez l'option Créer un objet de stratégie de groupe dans ce domaine et liez-le ici.
  4. Donnez un nom au nouvel objet de stratégie de groupe (par exemple, Stratégie de complexité des mots de passe) et cliquez sur OK.
  5. Une fois que la stratégie est visible dans votre domaine, cliquez avec le bouton droit sur la stratégie et choisissez Modifier. Cela ouvre l'éditeur de gestion des stratégies de groupe (GPME).
  6. Forer vers le bas à la trajectoire de localisation dans le GPME, comme représenté sur la figure 2: GPO_name\Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy.
  7. Cliquez avec le bouton droit sur l'option Le mot de passe doit répondre aux exigences de complexité et cliquez sur Propriétés, comme illustré à la figure 3.
  8. Cochez la case Définir ce paramètre de stratégie, cochez Activé, puis cliquez sur OK. Remarque: vous pouvez également cliquer sur l'onglet Expliquer pour une explication complète de ce que fait ce paramètre.

Il existe bien sûr d'autres paramètres que vous pouvez inclure dans ce GPO. Par exemple, vous pouvez activer les exigences de complexité et définir la longueur minimale du mot de passe à, disons, huit caractères.

Exemple d'objet de stratégie de groupe 2: désactiver les lecteurs USB

Certaines stratégies doivent être appliquées de manière situationnelle (à une unité d'organisation, alias une unité d'organisation), comme la désactivation des périphériques USB. Par exemple, vous pouvez avoir des guerriers de la route qui ont besoin d'un accès USB sur leurs ordinateurs portables, alors que vous voudrez peut-être verrouiller les ports USB des ordinateurs internes.

Voici comment créer une telle politique situationnelle:

  1. Dans la console de gestion des stratégies de groupe, développez le nom de domaine et recherchez le conteneur Objets de stratégie de groupe. En règle générale, il existe deux stratégies par défaut dans ce conteneur (contrôleur de domaine par défaut et stratégie de domaine par défaut), mais si vous avez configuré la stratégie de complexité de mot de passe, elle apparaîtra également.
  2. Cliquez avec le bouton droit sur le dossier Objets de stratégie de groupe et cliquez sur Nouveau.
  3. Donnez au nouveau GPO un nom tel que Restriction USB et cliquez sur OK.
  4. Sélectionnez la stratégie et cliquez sur Modifier pour ouvrir l'éditeur de gestion des stratégies de groupe.
  5. Accédez à GPO_name\Computer Configuration\Policies\Administrative Templates\System\Removable Storage Access, comme le montre la figure 4.
  6. Double-cliquez sur le paramètre, cochez Activé, puis cliquez sur OK ou Appliquer.

Comme le montre la figure 4, vous avez le choix entre plusieurs paramètres. Ici, j'ai choisi l'option Toutes les classes de stockage amovibles: Refuser tout accès à configurer. Vous pouvez voir une description d'un paramètre sélectionné dans le volet de description si vous cliquez sur l'onglet Étendu.

N'oubliez pas que vous n'avez créé que le paramètre de stratégie à ce stade; vous ne l'avez lié à rien. Pour le lier:

  1. Sélectionnez le domaine dans la console de gestion des stratégies de groupe ou l'unité organisationnelle que vous avez en place.
  2. Cliquez avec le bouton droit sur l'unité organisationnelle (comme illustré dans la figure 5) et sélectionnez Lier un objet de stratégie de groupe existant.
  3. Sélectionnez le GPO de restriction USB et cliquez sur OK.
  4. Cliquez avec le bouton droit sur l'objet de stratégie de groupe qui est maintenant lié et cochez l'option Appliqué pour l'appliquer sur cet objet de stratégie de groupe.

L'application des stratégies de groupe aux systèmes et aux utilisateurs prend un certain temps, mais vous pouvez forcer l'application des modifications en ouvrant une invite de commande et en tapant gpupdate /force.

Une fois cette stratégie appliquée, un utilisateur qui tente d'introduire un périphérique USB devrait recevoir un message «Accès refusé».

Exemple d'objet de stratégie de groupe 3: désactiver la création de fichier PST

Nous avons tous fait face au cauchemar de conformité lié à l'utilisation des fichiers de boîte aux lettres PST. Alors, comment empêcher les utilisateurs de les créer? Avec une politique de groupe, bien sûr. (Oui, il existe des modifications de configuration du registre que vous pouvez utiliser pour ce faire, mais une stratégie de groupe est beaucoup plus simple et plus rapide.)

Pour apporter les modifications, vous devez d'abord télécharger les modèles d'administration de stratégie de groupe pour la version d'Office sur laquelle vous imposez des paramètres. Une fois ces modèles installés (ce qui peut nécessiter des modifications), vous appliquez des paramètres supplémentaires (illustrés à la figure 6) pour contrôler cette version d'Office via la stratégie de groupe.

Une fois que vous avez choisi le site, le domaine ou le niveau de l'unité organisationnelle auquel appliquer la stratégie et que vous avez ouvert l'éditeur de gestion des stratégies de groupe, accédez à GPO_name\User Configuration\Policies\Administrative Templates\Microsoft Outlook 2016\Miscellaneous\PST Settings.

Vous voudrez peut-être configurer deux paramètres. Le premier est d'empêcher les utilisateurs d'ajouter du nouveau contenu aux fichiers PST existants, ce qui (comme son nom l'indique) empêche les utilisateurs d'ajouter plus de courrier électronique aux fichiers PST qu'ils possèdent déjà. Le deuxième paramètre est Empêcher les utilisateurs d'ajouter des fichiers PST aux profils Outlook et / ou Empêcher l'utilisation de PST exclusifs au partage, qui bloque la création de nouveaux fichiers PST par vos utilisateurs.