Administration
(Les stratégies de groupe)
 |
Les stratégie de groupe |
Une stratégie de groupe ou stratégie de sécurité est un ensemble d'éléments de configuration de Windows 2000 s'appliquant à un ordinateur, un utilisateur ou un groupe d'utilisateurs permettant d'autoriser ou d'interdire certaines actions. Les stratégies sont organisées avec une gestion de priorité entre stratégies et la possibilité de ne pas définir tel ou tel élément dans une stratégie pour que cet élément soit pris en compte dans une stratégie moins prioritaire.
Il existe par défaut une stratégie de sécurité locale sur chaque ordinateur Windows 2000 non contrôleur de domaine. Une stratégie de sécurité de contrôleur de domaine est aussi définie par défaut concernant l'ensemble des contrôleurs du domaine. Enfin, une stratégie de sécurité de domaine est définie par défaut à l'échelle du domaine concernant toutes les machines. Ces trois stratégies sont, dans cette ordre, de la moins prioritaire à la plus prioritaire.
Un administrateur pourra créer des stratégies de sécurité à destination d'ordinateurs, d'utilisateurs ou de groupes d'utilisateurs et les interclasser par ordre de priorité avec les stratégies par défaut.
Toutes les modifications réalisées sont automatiquement déployées sur le domaine en temps réel.
Stratégie de sécurité locale
Utilisée pour configurer les paramètres de sécurité pour l'ordinateur local. Ces paramètres comprennent la stratégie de mot de passe, la stratégie de verrouillage du compte, la stratégie d'audit, la stratégie de sécurité du protocole IP, les attributions des droits utilisateur, les agents de récupération pour les données cryptées et d'autres options de sécurité. La stratégie de sécurité locale est disponible uniquement sur les ordinateurs Windows 2000 qui ne sont pas contrôleurs de domaine. Si l'ordinateur est membre d'un domaine, ces paramètres peuvent être remplacés par les stratégies reçues du domaine.
Les paramètres locaux sont indiqués dans la deuxième colonne, les paramètres hérités du domaine (qui s'appliquent car prioritaires) sont indiqués dans la troisième colonne.
Stratégie de mot de passe
Définition des paramètres de validité
des comptes d'utilisateur:
gestion d'un historique des mots de passe
pour empêcher l'introduction du même
mot de passe à chaque changement,
durée maximale d'un mot de passe
avant changement obligatoire,
durée minimale du mot de passe,
complexité du mot de passe,
longueur minimale des mots de passe,
cryptage
Durée maximale d'un mot de passe
Complexité des mot de passe
Longueur minimale du mot de passe
Stratégie de verrouillage
verrouillage des comptes en cas de tentatives
de connexion infructueuses trop nombreuses
Stratégie Kerberos
Stratégie d'audit
Lancement de l'audit sur certains événements:
la gestion des utilisateurs et des groupes,
l'ouverture et la fermeture de session,
l'accès aux fichiers et objets,
l'ouverture et la fermeture de session,
l'utilisation de ses droits par un utilisateur,
les arrêt et démarrage du système,
l'utilisation de ses droits par un utilisateur,
...
Droits des utilisateurs
A l'installation du système,
droits par défaut attribués aux groupes d'utilisateurs
prédéfinis, leurs autorisant tel ou tel privilège.
Extension ou restriction possible de ces droits
Utilisateurs autorisés à ouvrir une session
Arrêt du système
Options de sécurité
Accès aux stratégies du domaine
Outre les accès proposés dans les outils d'administration, la MMC peut être utilisée et paramétrée pour créer d'autres points d'accès.
Dans l'outil MMC demander l'ajout
d'un composant logiciel enfichable.
Choisir un composant de type stratégie de groupe
Aucun composant présent. Demander ajouter
Demander Parcourir
Ajouter les deux stratégies par défaut du domaine
Pas de stratégie site
Ajouter la stratégie locale
Ajouter la stratégie locale
de l'autre machine du domaine
Résultat des sélections
Résultat dans la MMC
Création et affectation d'une stratégie de sécurité à l'échelle d'un domaine
Accès aux propriétés de l'entrée
portant le nom d'un domaine
Etat initial
Etat après création de la stratégie "Test Policy".
Stratégie la moins prioritaire
Nouvel ordre des stratégies de groupe
Options de cette stratégie
Menu contextuel associé à une stratégie
Propriétés générales d'une stratégie
Liaisons sur cette stratégie entre sites,
domaines et unité organisationnelles
Sécurité de cette stratégie (valeurs initiales)
Pour qu'une stratégie s'applique à un utilisateur,
un groupe d'utilisateurs ou un ordinateur,
les sécurités doivent être placées en "Lire"
et en "Appliquer la stratégie de groupe".
Ouverture de la stratégie dans la MMC
via un double-clic
Quelques manipulations utiles
- Création d'une stratégie de groupe pour l'administrateur du domaine et lui autorisant tout
- Autorisation d'ouverture de session de travail attribuée à tous les utilisateurs sur les machines Windows 2000 Server
- Limitation de la taille du profil des utilisateurs
- Limitation de l'accès à l'onglet paramètres du panneau de configuration Affichage
- Paramétrage de la stratégie de gestion des mots de passe