Comment créer sa première GPO ?
I. Présentation
Jusqu'ici nous avons vu différentes notions théoriques, et nous avons vu comment utiliser la console de gestion des stratégies de groupe (GPMC) et importer des modèles d'administration. Cela nous avait d'ailleurs donné l'occasion de créer une première GPO, sans aller vraiment plus loin.
Dans ce chapitre, nous allons voir comment créer une GPO, et surtout comment configurer les paramètres qui s'y trouvent, pour enfin l'appliquer sur des utilisateurs et ordinateurs. Cela va permettre de valider ce que l'on a vu jusqu'ici avant de passer à la suite.
II. Créer une stratégie de groupe
Sur votre contrôleur de domaine, ouvrez la console GPMC.
Sur "Objets de stratégie de groupe", effectuez un clic droit et cliquez sur "Nouveau".
Dans cet exemple, je vous propose de créer une stratégie de groupe pour bloquer l'utilisation de l'Invite de commande (console cmd) dans certaines sessions utilisateurs. Cette action simple est très répandue en entreprise.
Indiquez un nom pour cette GPO, par exemple "U_Bloquer_Console_CMD" mais vous pouvez mettre ce que vous voulez. Le "U" étant là en préfixe pour indiquer qu'il s'agit d'une GPO qui va agir au niveau Utilisateur. Cliquez sur "OK" pour valider.
La GPO va s'afficher dans la liste, effectuez un clic droit dessus pour "Modifier".
Une fenêtre "Éditeur de gestion des stratégies de groupe" va s'ouvrir, cela permet de configurer la GPO. Autrement dit, c'est ici que l'on va activer ou configurer certains paramètres à appliquer sur les utilisateurs (ou les ordinateurs).
L'objectif maintenant va être de trouver le paramètre qui permet de désactiver l'accès à l'invite de commandes. Pour cela, il n'y a pas d'autres solutions que de chercher... Mais une recherche rapide sur Internet est souvent efficace pour trouver le nom du paramètre au sein d'un tuto ou sur un forum...
Voici le chemin vers notre fameux paramètre : Configuration utilisateur > Stratégies > Modèles d'administration > Système > Désactiver l'accès à l'invite de commandes. Double-cliquez dessus.
Les fenêtres de configuration sont présentées de la même façon pour la majorité des paramètres. Nous retrouvons tout d'abord dans le haut, deux boutons : "Paramètre précédent" et "Paramètre suivant" pour naviguer entre les paramètres sans fermer et rouvrir une nouvelle fenêtre.
Nous avons également le champ "Pris en charge sur :" qui donne des indications (plus ou moins précises) sur la compatibilité de ce paramètre avec les différentes versions de Windows [1].
Juste à gauche, nous avons trois boutons, que vous retrouverez sur tous les paramètres que l'on pourrait qualifié de "booléen" : soit on active, soit on désactive, ou alors on ne configure pas et dans ce cas c'est le paramétrage par défaut de Windows qui s'appliquera (à moins que ce paramètre soit géré dans une autre GPO).
L'aide [2] indiquée en dessous à droite, va vous expliquer quel sera l'impact si ce paramètre est activé, désactivé ou si il n'est pas configuré (le comportement par défaut sera indiqué). Cette aide est vraiment très utile !
Enfin, certains paramètres proposent des options. C'est le cas de celui-ci. Si vous activez ce paramètre, il ne sera pas possible d'utiliser la console CMD avec les comptes utilisateurs ciblés. Néanmoins, l'option "Désactiver également le traitement des scripts d'invite de commande" est intéressante puisqu'elle permet (lorsqu'elle est définie sur "Non") d'autoriser l'exécution des scripts CMD.
Par exemple : si vos utilisateurs doivent exécuter un script de connexion qui va monter des lecteurs réseau, il ne faudra pas désactiver cette option.
Concernant, notre configuration, activez ce paramètre et validez.
Vous pouvez fermer ensuite la console de modification de cette GPO.
Vous revoilà dans la console GPMC : cliquez sur la GPO "U_Bloquer_Console_CMD", puis sur la droite cliquez sur l'onglet "Paramètres". Déroulez ensuite sous "Configuration utilisateur", vous verrez que cela offre la possibilité de voir rapidement la configuration contenue dans cette GPO.
III. Créer une liaison
En l'état, notre stratégie de groupe ne sert à rien puisqu'elle s'applique sur aucun objet. Il va falloir la positionner au niveau de l'annuaire Active Directory : soit sur le domaine pour bloquer CMD dans toutes les sessions (pas top pour les sessions Administrateurs), soit sur une ou plusieurs OU spécifiques.
Par exemple, si l'on a une OU "Personnel" qui contient différentes sous-OU (Comptabilité, Commercial, Secrétariat, etc.) cela s'avère pertinent. Pour créer une liaison entre une GPO et une unité d'organisation, effectuez un clic droit sur l'OU et cliquez sur "Lier un objet de stratégie de groupe existant".
Il y a plusieurs méthodes pour créer une liaison, un simple glisser-déposer pourrait fonctionner aussi.
Note : une GPO peut être liée à plusieurs unités d'organisation et si l'on supprime une liaison, cela n'affecte pas les autres liaisons. Par contre, si l'on supprime une GPO, cela va supprimer les liaisons et la stratégie de groupe en elle-même.
La liste des GPO de notre domaine va s'afficher, avec un classement par ordre alphabétique. Sélectionnez la GPO "U_Bloquer_Console_CMD" et cliquez sur "OK".
La liaison étant maintenant créée, on remarque qu'un raccourci s'est ajouté juste sous l'OU "Personnel".
Maintenant, il ne reste plus qu'à tester la GPO sur un compte utilisateur ?
IV. Tester la GPO
Sur un poste qui est dans le domaine, nous allons ouvrir une session d'un utilisateur dont le compte se situe dans l'OU "Personnel" ou dans l'une des sous-OU de "Personnel".
Une fois la session ouverte, je vous invite à lancer une invite de commandes. Et là, surprise : l'invite de commandes a été désactiver par votre administrateur.
Conclusion : notre stratégie de groupe fonctionne bien !
Il s'agissait de la première fois où cet utilisateur ouvrait la session sur ce poste de travail. Dans le cas où la session existerai déjà, il se peut que la GPO ne s'applique pas immédiatement. Il existe un temps de rafraîchissement pour les stratégies de groupe, ce qui est d'autant plus vrai pour les stratégies ordinateurs qui s'appliquent généralement au démarrage de la machine.
Pour forcer l'actualisation des stratégies de groupe sur un poste, que ce soit pour les paramètres ordinateurs ou utilisateurs, il y a une commande magique et qu'il est indispensable de connaître : gpupdate /force. Cette commande est associée à l'utilitaire Group Policy Update. Je vous invite à lire mon article à ce sujet, inutile que je me répète dans ce cours : gpupdate /force
Si vous êtes prêt, on passe à la suite, on va regarder plus en détail les options qui s'offrent à nous...