Administration
(Les stratégies de groupe)

Les stratégies
de groupe

Stratégie
  de sécurité
  locale
Stratégie
  de sécurité
  des contrôleurs
  de domaine
Stratégie
  de sécurité
  du domaine
Accès aux
  stratégies
  de groupe
  du domaine
Création et
  affectation
  d'une stratégie
  de sécurité
  à l'échelle
  d'un domaine

 

RETOUR

Les stratégies de groupe

Une stratégie de groupe est un ensemble d'éléments de configuration de Windows (sous différentes versions et service pack) et de logiciels s'appliquant à des ordinateurs, des utilisateurs ou des groupes d'utilisateurs permettant d'autoriser ou d'interdire certaines actions ou de configurer des paramètres d'utilisation.
Les stratégies sont organisées:
  - avec une gestion de priorité,
  - avec la possibilité de ne pas définir tel ou tel élément pour que cet élément soit pris en compte dans une stratégie moins prioritaire.

Il existe par défaut une stratégie de groupe locale sur chaque ordinateur Windows 2000, 2003 ou XP non contrôleur de domaine.
Une stratégie de groupe des contrôleurs de domaine par défaut est aussi définie concernant l'ensemble des contrôleurs Windows 2000 ou 2003 du domaine.
Enfin, une stratégie de groupe du domaine par défaut est définie à l'échelle du domaine concernant toutes les machines Windows 2000, 2003 ou XP Professionnel.
Ces trois stratégies sont définies, dans cette ordre, de la moins prioritaire à la plus prioritaire.

Un administrateur pourra créer des stratégies de groupe à destination d'ordinateurs, d'utilisateurs ou de groupes d'utilisateurs et les interclasser par ordre de priorité avec les stratégies par défaut.

Toutes les modifications réalisées sont automatiquement déployées sur le domaine en temps réel.

Les outils d'administration proposent un raccourcis vers un sous-ensemble de chacune des stratégies du domaine dédié à la gestion de la sécurité. Ces sous-ensemble sont appelés "stratégie de sécurité".

Les trois stratégies de sécurité du domaine

  Stratégie de sécurité locale

Utilisée pour configurer les paramètres de sécurité pour l'ordinateur local. Il s'agit d'un sous-ensemble de la stratégie de groupe locale.
Ces paramètres comprennent la stratégie de mot de passe, la stratégie de verrouillage du compte, la stratégie d'audit, la stratégie de sécurité du protocole IP, les attributions des droits utilisateur, les agents de récupération pour les données cryptées et d'autres options de sécurité.
La stratégie de sécurité locale est disponible uniquement sur les ordinateurs Windows 2003, 2000 ou XP Professionnel qui ne sont pas contrôleur de domaine. Si l'ordinateur est membre d'un domaine, ces paramètres peuvent être remplacés par les stratégies reçues du domaine.

La colonne paramétres de sécurité indique la valeur appliquée sur la machine. L'icone indique que cette valeur est issue de la stratégie locale et est donc modifiable localement. L'icone indique une valeur issue d'une stratégie déployée sur le domaine et n'est donc pas modifiable localement car les stratégies de domaine sont prioritaires.

Stratégie de mot de passe
Définition des paramètres de validité des comptes d'utilisateur:
gestion d'un historique des mots de passe pour empêcher la frappe
du même mot de passe à chaque changement,
durée maximale d'un mot de passe avant changement obligatoire,
durée minimale du mot de passe,
complexité du mot de passe,
longueur minimale des mots de passe,
cryptage

Historique de mémorisation des mots de passe
(non modifiable localement)

Durée maximale d'un mot de passe
(non modifiable localement)

Complexité des mot de passe
(non modifiable localement)

Longueur minimale du mot de passe
(non modifiable localement)

Stratégie de verrouillage
verrouillage des comptes en cas de tentatives
de connexion infructueuses trop nombreuses

Stratégie d'audit
Lancement de l'audit sur certains événements:
la gestion des utilisateurs et des groupes,
l'ouverture et la fermeture de session,
l'accès aux fichiers et objets,
l'ouverture et la fermeture de session,
l'utilisation de ses droits par un utilisateur,
les arrêt et démarrage du système,
l'utilisation de ses droits par un utilisateur,
...

Stratégie locale après modification

Droits des utilisateurs
Après l'installation du système,
droits par défaut attribués aux groupes d'utilisateurs prédéfinis,
leurs autorisant tel ou tel privilège.
Extension ou restriction possible de ces droits

Utilisateurs autorisés à arrêter le système

Changement de la liste des utilisateurs autorisés
à ouvrir une session localement sur cette machine

Options de sécurité

Ne pas afficher le nom du dernier utilisateur
ayant ouvert une session de travail

  Stratégie de sécurité des contrôleurs de domaine

Utilisée pour configurer les paramètres de sécurité pour les contrôleurs du domaine. Il s'agit d'un sous-ensemble de la stratégie de groupe des contrôleurs du domaine par défaut.

Contenu de la stratégie des contrôleurs de domaine

Stratégie Kerberos

  Stratégie de sécurité du domaine

Utilisée pour configurer les paramètres de sécurité du domaine. Il s'agit d'un sous-ensemble de la stratégie de groupe du domaine par défaut.

Contenu de la stratégie du domaine

Stratégie Kerberos

Accès aux stratégies de groupe du domaine

Outre les accès limités proposés dans les outils d'administration, la MMC peut être utilisée et paramétrée pour créer d'autres points d'accès aux stratégies de groupe du domaine.

Aucun composant présent. Demander ajouter

Dans l'outil MMC demander l'ajout d'un composant logiciel enfichable.
Choisir un composant de type "Editeur d'objets de stratégie de groupe"

Demander Parcourir

Ajout des deux stratégies par défaut du domaine

Pas de stratégie site

Ajout de la stratégie locale

Ajout des stratégies locales
des autres machines du domaine penelope et ulysse

Onglet "Tous" pour un accès directe à toutes les stratégies accessibles

Résultat des sélections

Résultat dans la MMC

Création et affectation d'une stratégie de sécurité à l'échelle d'un domaine

Lancement de l'outil d'administration "Utilisateurs et ordinateurs Active Directory"

Accès aux propriétés de l'entrée
portant le nom d'un domaine

Etat initial

Création d'une stratégie

Etat après création de la stratégie "Test Policy".
Stratégie la moins prioritaire

Nouvel ordre des stratégies de groupe obtenu après configuration
de la nouvelle stratégie en stratégie la plus prioritaire

Options de cette stratégie

Menu contextuel associé à une stratégie

Propriétés générales d'une stratégie
Désactivation possible des parties Ordinateur et/ou Utilisateur
de cette stratégie

Liaisons sur cette stratégie entre sites,
domaines et unité organisationnelles

Sécurité de cette stratégie (valeurs initiales)

Filtre WMI de cette stratégie

Pour qu'une stratégie s'applique à un utilisateur, un groupe d'utilisateurs ou un ordinateur, les sécurités doivent être placées en "Lire" et en "Appliquer la stratégie de groupe" sur ces entités et uniquement sur elles.

Suppression de l'entrée "Utilisateurs authentifiés"
Ajout des utilisateurs Einstein et Bohr

Préférable de travailler avec des groupes d'utilisateurs

Suppression de l'entrée "Utilisateurs authentifiés"
Ajout des ordinateurs ARGOS et ULYSSE

Préférable de travailler avec des groupes d'ordinateurs

Ouverture de la stratégie dans la MMC
via un double-clic

Quelques manipulations utiles

  • Création d'une stratégie de groupe pour l'administrateur du domaine lui autorisant toutes les actions
  • Autorisation d'ouverture de session de travail attribuée à tous les utilisateurs sur les machines Windows 2000 ou 2003 Server
  • Limitation de la taille du profil des utilisateurs
  • Limitation de l'accès à l'onglet paramètres du panneau de configuration Affichage
  • Paramétrage de la stratégie de gestion des mots de passe

Suite