La console GPMC – Group Policy Management Console
Sommaire
I. Présentation
Dans ce chapitre, je vais vous présenter la console de gestion des stratégies de groupe, appelée également GPMC pour Group Policy Management Console. Cette console est disponible sur tous les serveurs contrôleurs de domaine, mais elle peut être également installée sur un poste client sous Windows 10 (et les versions plus anciennes) grâce aux outils d'administration à distance (RSAT).
La connaissance de cette console et sa maîtrise représente une étape importante puisque nous allons l'utiliser tout au long de ce cours. En effet, il s'agit de LA console de gestion centralisée des stratégies de groupe sous Windows.
Pour commencer, ouvrez la console sur votre contrôleur de domaine : à partir du Gestionnaire de serveur, cliquez sur "Outils" puis "Gestion des stratégies de groupe" pour ouvrir la console.
II. Charger le composant dans une console MMC
Sans passer par le Gestionnaire de serveur, il est intéressant de savoir qu'on peut charger le composant (snap-in) directement dans une console MMC (Microsoft Management Console) vierge.
Sur votre serveur, recherchez "mmc" pour ouvrir une console vierge.
Cliquez sur "Fichier" puis sur "Ajouter/supprimer un composant logiciel enfichable".
Dans la liste des composants, recherchez "Gestion des stratégies de groupe" ou en anglais "Group Policy Management" (à ne pas confondre avec les éléments encadrés en rouge ci-dessous), cliquez sur "Ajouter". Sélectionnez "Ordinateur local" ; qui est le choix par défaut et validez.
Après avoir cliqué sur "OK", la console s'ouvre et vous obtenez ceci :
Cette action simple permet d'ouvrir une console de gestion des GPO à partir d'une console MMC vierge. Ce qui est intéressant c'est d'ajouter d'autres composants dans la console que nous venons de créer afin de rassembler plusieurs consoles dans une console MMC globale. Par exemple, la console "Utilisateurs et ordinateurs Active Directory.
III. GPMC.MSC
Une autre façon d'ouvrir directement la console de Gestion des stratégies de groupe et d'appeler la console "gpmc.msc" directement, via une invite de commande, une console PowerShell, la zone de recherche ou le menu "Exécuter" de Windows.
Au niveau des possibilités de gestion à distance, il est possible d'installer la console GPMC sur un autre serveur ou un poste de travail, puis de se connecter à distance sur votre contrôleur de domaine.
Les outils d'administration à distance sont disponibles en téléchargement sur le site de Microsoft, mais d'une version à l'autre le processus d'installation peut varier.
? Télécharger RSAT sur le site Microsoft
IV. Présentation de la console GPMC
Maintenant que nous avons vu différentes façons d'accéder à cette fameuse console GPMC, je vais vous présenter les zones principales de la console. Il s'agit d'une étape importante puisque nous allons l'utiliser tout au long de ce cours.
La console suit la logique suivante : lorsque l'on sélectionne un élément sur la gauche, on accède à ses propriétés et sa configuration sur la droite.
Dans le cas d'une stratégie de groupe, cela nous donne :
[1] - Domaines : sous cette partie vous retrouvez l'ensemble des domaines de votre forêt, et pour chaque domaine l'ensemble des unités d'organisation. L'arborescence est identique à celle que vous avez définie en créant vos OU. La visualisation de cet arbre servira à venir positionner nos GPO sur les différentes OU.
Sous l'arborescence, nous apercevons notamment les deux stratégies de groupe intégrées par défaut à tout domaine Active Directory : Default Domain Policy et Default Domain Controllers Policy.
[2] - Sites : sous cette partie vous retrouvez vos différents sites Active Directory, à savoir par défaut uniquement l'élément "Default-First-Site-Name".
[3] - Résultats de stratégie de groupe : cette section est très importante, car elle permet d'exécuter une requête à distance sur un poste de travail pour visualiser quels sont les GPO appliquées sur ce poste et sur un utilisateur spécifique. Cela permet de récolter l'information à distance sans intervenir directement sur le poste.
[4] - Étendue, Détails, Paramètres et Délégation : ces différents onglets servent à accéder à la configuration de la GPO sélectionnée.
L'onglet "Étendue" sert à afficher les objets avec lesquels est liée la GPO sélectionnée, ainsi que le filtrage de sécurité et l'éventuel filtre WMI associé. Il est à noter qu'une GPO peut être liée à une OU, sans qu'elle s'applique forcément puisque le lien en lui-même peut être désactivé (d'où l'importance du champ "Lien activé").
L'onglet "Détails" affiche la date de création de la GPO, la date de dernière modification, le propriétaire, le numéro de version, l'état de la GPO et sa description si elle existe.
L'onglet "Paramètres" affiche tous les paramètres configurés au sein de la stratégie de groupe sélectionnée, ce qui est super pratique ! Enfin, l'onglet "Délégation" affiche les autorisations spécifiques sur cet objet GPO en matière d'administration.
[5] - Filtrage de sécurité : de base la stratégie de groupe s'applique uniquement sur les objets enfants en fonction de son positionnement sur l'Active Directory, par exemple tous les objets enfants d'une OU. Avec le filtrage de sécurité, vous allez pouvoir appliquer la GPO uniquement sur un groupe de sécurité spécifique alors que par défaut celle-ci s'applique à tous les utilisateurs grâce au filtre "Utilisateurs authentifiés".
La présentation de la console va nous permettre de rentrer dans le vif du sujet afin de manipuler les différentes zones de cette console.