Skip to content

Créer et configurer une GPO sous Windows Server

Objectif

Expliquer comment créer, modifier, appliquer et restaurer une GPO (stratégie de groupe) dans un environnement Active Directory.

Prérequis

  • Un serveur Active Directory fonctionnel.

  • Accès au gestionnaire de stratégies de groupe (gpmc.msc).

1. Comprendre les GPO

  • La console Gestion des stratégies de groupe (gpmc.msc) permet de créer et lier des GPO aux unités d'organisation (OU) ou au domaine.

  • Deux GPO par défaut sont présentes :

    • Default Domain Policy : liée au domaine.

    • Default Domain Controllers Policy : liée à l'OU Domain Controllers.

  • Chemin des GPO :

    %systemroot%/SYSVOL/domain/Policies

  • Les modèles d'administration ont l'extension .admx et sont centralisés dans SYSVOL\{domaine}\Policies\PolicyDefinitions.

2. Visualiser les GPO existantes

Utiliser la commande suivante :

gpresult /h chemin_du_rapport.html

3. Ordre d'application des GPO

  1. Stratégies de sécurité locale.

  2. GPO appliquées au site.

  3. GPO appliquées au domaine.

  4. GPO appliquées à l'OU.

La dernière GPO appliquée (la plus proche de l'objet) est prioritaire.

4. Créer une nouvelle GPO

  • Ouvrir la console Gestion des stratégies de groupe.

  • Clic droit sur Objets de stratégie de groupe > Nouveau.

  • Donner un nom à la GPO.

  • Pour modifier la GPO : clic droit > Modifier.

  • Utiliser le filtrage pour cibler les utilisateurs ou ordinateurs.

5. Lier une GPO à une OU

  • Clic droit sur l'OU cible > Créer un objet GPO dans ce domaine et le lier ici.

  • Sélectionner ou créer une GPO.

6. Utiliser un GPO Starter

  • Permet de créer des modèles de GPO préconfigurés.

  • Lors de la création d'une nouvelle GPO, il est possible de choisir une GPO Starter comme base.

7. Exemple : imposer un téléchargement de logiciel

  1. Télécharger un fichier MSI (ex : 7-Zip).

  2. Créer un dossier partagé et y placer le fichier MSI.

  3. Dans la GPMC :

    • Créer une nouvelle GPO.

    • Modifier la GPO > Configuration de l'ordinateur > Stratégies > Paramètres du logiciel > Installation de logiciels.

    • Ajouter un nouveau package via le chemin réseau (ex : \\serveur\partage\7zip.msi).

    • Choisir Attribué.

  4. Appliquer la GPO à l'OU souhaitée.

  5. Forcer la mise à jour des GPO sur les clients :

gpupdate /force

8. Autres exemples d'utilisation des GPO

  • Modifier la longueur minimale des mots de passe.

  • Imposer un fond d'écran.

  • **Configurer les délais de mise en veille.

  • Désactiver l'accès à l'invite de commande.

9. Restaurer les GPO par défaut

Utiliser dcgpofix dans PowerShell :

  • Restaurer les deux GPO par défaut :
dcgpofix /target:both
  • Restaurer uniquement la Default Domain Controllers Policy :
dcgpofix /target:dc
  • Restaurer uniquement la Default Domain Policy :
dcgpofix /target:domain