Appliquer une GPO uniquement aux machines virtuelles
Tutoriel pour créer un filtre WMI basé sur Model pour appliquer une GPO uniquement aux machines virtuelles (Hyper-V ou VMware).
Lire cet article
Stratégie de groupe
GPO – Bloquer les fichiers RTF dans Office Word 2013
I. Présentation Cette semaine on apprenait qu’une vulnérabilité dans les versions d’Office jusqu’à la version 2013 permettait d’effectuer une exécution de code à distance, ceci à partir d’un fichier RTF préparé à cet effet. Pour protéger vos machines de ce type d’attaque, vous pouvez utiliser les GPO. Cela permettra de se protéger en attendant d’installer une mise à jour officielle prévue très prochainement. II. Fichiers d’administration Office 2013 Sur votre contrôleur de domaine, vous devez ajouter les fichiers d’administration ADMX si ce n’est pas déjà fait. Un tutoriel est disponible sur notre site : Ajouter les ADMX d’Office 2013 sur Windows Server Pour information, le paramètre qui nous intéresses est contenu dans le fichier « word15.admx ». III. Création de la GPO Ouvrez la console de gestion des stratégies de groupe sur votre contrôleur de domaine. Créez une nouvelle stratégie de groupe via un clic droit sur « Objets de stratégie de groupe » puis « Nouveau ». Parcourez l’arborescence comme ceci : Stratégie utilisateur >
Lire cet articleMot de passe dans une GPO, mauvaise idée !
Il est déconseillé de stocker des mots de passe dans une GPO, notamment au niveau des paramètres de préférences, pourquoi ? Suivez ce tutoriel pour en savoir plus.
Lire cet article
Désactiver SkyDrive sous Windows 8.1
I. Présentation SkyDrive, le service de stockage Cloud proposé par Microsoft, est intégré par défaut sous Windows 8.1 afin de vous inciter à utiliser ce service pour le stockage de vos données. Si vous ne souhaitez pas utiliser ce service, ce qui a de fortes chances d’être le cas en entreprise… Vous trouverez intéressant le fait de pouvoir le désactiver. Cela évitera également que vos utilisateurs utilisent le service contre votre gré. II. Procédure Pour cela, nous utiliserons les stratégies de groupe, sachez que le paramètre que je vous montre dans ce tutoriel est disponible aussi bien en domaine (par défaut sous Windows Server 2012 R2) qu’en local sous Windows 8.1. Exécuter la console de gestion des stratégies de groupe gpmc.msc : Dans l’arborescence, parcourez de cette façon : Configuration ordinateur > Stratégies > Modèles d’administration > Composants Windows > SkyDrive Ensuite, sur la partie de droite vous verrez le paramètre : Empêcher l’utilisation de SkyDrive pour le stockage des
Lire cet article
Définir le temps d’actualisation des GPO
Changer le temps de rafraîchissement des GPO qui par défaut est de 30 minutes pour les ordinateurs et 5 minutes pour les contrôleurs de domaine
Lire cet article
Windows 8 : Association de fichiers via GPO
I. Présentation Il est possible d’associer une extension de fichiers ou un protocole à un programme, notamment sous Windows 8, ceci dans le but de ne pas avoir le message « Ouvrir avec » et de devoir choisir une application. Cela peut se configurer très simplement en accédant au Panneau de configuration, Programmes par défaut puis Associer un type de fichier ou un protocole à un programme. Pour déployer la configuration rapidement sur plusieurs machines et plusieurs profils utilisateurs, il est possible d’utiliser un script ou une GPO (via les Préférences) qui édite le registre notamment au niveau de la clé HKEY_CLASSES_ROOT. Mais, et oui il en faut bien un… Windows 8 en a décidé autrement. En effet, les changements effectués dans le registre sont vérifiés par un hash qui est unique pour chaque application et pour chaque utilisateur, donc si l’on recopie la configuration d’un utilisateur sur un autre profil ou une autre machine cela pose problème. Dans le cas où
Lire cet article
Filtre WMI pour l’OS dans les GPO
I. Présentation Lorsque des stratégies de groupes doivent être déployées dans un domaine, il y a souvent plusieurs versions de GPO correspondantes chacune à un système d’exploitation bien ciblé. Il est possible alors de faire une OU pour chaque OS et ensuite d’appliquer sur chacune de ces unités d’organisation la GPO adaptées. Cependant, il y a une solution plus intéressante où vous pouvez garder tout vos objets dans une seule et unique unité d’organisation, et ensuite, grâce au filtre WMI on déterminera pour chaque GPO sur quel(s) OS elle doit s’appliquer. Dans le cas où l’OS ne correspond pas au filtre WMI, la GPO est refusée sur le poste client et ne s’applique donc pas. II. Versions et ProductType de Windows Pour créer notre filtre, nous avons besoin de connaître le numéro de Version de Windows et non son nom grand public. Par exemple, pour Windows 8 on trouvera une version 6.2.x, 6.2.9200 bien souvent. La valeur a retenir est
Lire cet article
WS 2012 – Forcer la mise à jour des GPO à distance
I. Présentation La commande « gpupdate /force » permettant de mettre à jour les paramètres de stratégies de groupe sur une machine Windows d’un domaine est très connue et très utilisée. Toutefois, l’arrivée de Windows Server 2012 a était accompagnée par une nouvelle fonctionnalité qui permet de faire une actualisation des GPO à distance sur une ou plusieurs machines du domaine. II. Utilisation de la fonctionnalité Voyons comment utiliser cette fonctionnalité sur un serveur Windows Server 2012 évidemment. Au sein du Gestionnaire de serveur, cliquez sur « Outils » puis « Gestion des stratégies de groupe » puisque c’est au sein de cette console que tout va se jouer. Ensuite, développez les parties « forêt » et « domaine » jusqu’à arriver sur vos différentes Unités d’organisation (OU). Une fois que vous y êtes, cliquez droit sur celle contenant les machines sur lesquelles vous souhaitez effectuer l’actualisation des GPO puis cliquez sur l’option « Mise à jour de la stratégie de groupe ». Note : Il n’est pas possible d’effectuer la mise
Lire cet article
GPO – Masquer les fichiers et dossiers cachés
I. Présentation Sur les postes clients liés à un domaine, il peut être utile de ne pas afficher les fichiers et dossiers cachés par défaut. Pour cela, l’utilisation des préférences s’impose car il n’y a pas de paramètres de stratégie spécifique pour masquer les fichiers cachés et les dossiers cachés. II. Procédure Accédez à la console de gestion des stratégies de groupe sur votre serveur Contrôleur de domaine, puis, créer une préférence pour le registre en accédant à « Préférences », « Paramètres Windows » et « Registre ». Clic droit dans la zone de droite puis « Nouveau » et « Élément Registre » La valeur existant déjà, nous allons la mettre à jour donc l’action sera « Mettre à jour » et la ruche c’est-à-dire l’arborescence à parcourir la suivante : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden Nous ne changerons pas le nom mais uniquement la valeur qui doit avoir une donnée différente selon ce qu’on souhaite : – 0 : Afficher tous
Lire cet article
Restreindre l’accès à la console PowerShell via GPO
I. Présentation Les stratégies de groupe contiennent des paramètres permettant de restreindre l’accès voir même l’utilisation à l’Invite de commandes. Toutefois, il n’y a pas de paramètres permettant d’empêcher l’accès à la console PowerShell qui est pourtant nettement plus puissante et donc dangereuse. De ce fait il faut s’adapter à la situation et trouver une solution annexe pour restreindre l’accès à cette console, c’est ce que nous allons voir dans ce tutoriel en utilisant les GPO, quand même. Dans le cadre de ce tutoriel, j’utilise un contrôleur de domaine sous Windows Server 2012 mais la procédure est applicable pour les anciennes versions, il n’y aura que les menus qui changeront. Le client quant à lui est un poste sous Windows 7. II. Accès à la console de gestion des GPO A partir de l’écran d’Accueil de votre contrôleur de domaine, accédez à « Gestion des stratégies de groupe » afin d’ouvrir la console d’administration des GPO. Ensuite, développez l’arborescence jusqu’arriver
Lire cet article
Désactiver le Pare-feu Windows par GPO
I. Présentation Dans les domaines Microsoft, les stratégies de groupe (GPO) sont omniprésentes puisqu’elles facilitent l’administration des postes clients du réseau en déployant des paramètres sur un ensemble de postes concernés. Dans un réseau d’entreprise, beaucoup d’administrateurs désactivent le Pare-feu Windows afin de ne pas être bloqués plutôt que de le configurer de façon à autoriser que certaines connexions afin de ne pas le désactiver purement et simplement. Il est possible via les GPO de désactiver le Pare-feu Windows, nous allons voir comment faire. Comme ça, vous pourrez mettre en place cette règle si vous souhaitez le désactiver. II. Procédure Éditez la stratégie de groupe dans laquelle vous souhaitez configurer cette règle. Ensuite, parcourez l’arborescence comme ceci : Configuration Ordinateur / Stratégies / Modèles d’administration / Réseau / Connexions réseau / Pare-feu Windows Une fois que vous y serez, vous verrez apparaître deux sous-dossiers : Profil du domaine / Profil standard. Ils correspondent aux profils de connexion de vos postes
Lire cet article
GPO – Renommer le compte Administrateur local
I. Présentation Les postes clients intégrés au domaine disposent tous dans un compte Administrateur local puisque ce dernier est créé par défaut à l’installation de Windows. Certes, il se peut qu’il soit désactivé mais parfois ce n’est pas le cas parce qu’il peut être utile. D’un point de vue sécurité, il est nécessaire de renommer ce compte Administrateur en lui donnant un nom non-significatif c’est à dire qu’on ne trouvera pas facilement ou alors qui ne fait pas penser à un compte Administrateur. Il est possible de configurer cela via les stratégies de groupe ce qui permet d’automatiser le renommage du compte et d’uniformiser le nouveau nom sur l’ensemble des postes clients. C’est ce que nous allons voir dans ce tutoriel. II. Configuration Nous allons renommer le compte Administrateur en compte « neoflow », pour cela accédez à la console de gestion des stratégies de groupe puis éditez une stratégie existante ou créez en une nouvelle selon votre configuration. Ensuite parcourez l’arborescence
Lire cet article
Intégrer les GPO Windows 8 à Windows Server 2008 R2
I. Présentation L’arrivée de Windows 8 est accompagnée par de nouveaux paramètres de configuration accessible dans la stratégie de groupe locale, ou éventuellement, à partir de votre contrôleur de domaine sous Windows Server 2012. Ceci dans le but de pouvoir appliquer des restrictions sur votre poste local sous Windows 8, ou, sur les postes de votre domaine dans le cas de la mise en place d’objets de stratégie de groupe (GPO – Group Object Policy) sur un contrôleur de domaine Windows Server 2012. Toutefois, si vous devez intégrer un ou plusieurs postes sous Windows 8 dans votre domaine et que vous utilisez des contrôleurs de domaine fonctionnant sur une version antérieure à Windows Server 2012 (jusqu’à Windows Server 2008), il est possible d’intégrer les GPO de Windows 8 au sein des anciennes versions de Windows. Ainsi, vous pouvez paramétrer et sécuriser les postes sous Windows 8 à partir de GPO sans devoir acquérir de licence Windows Server 2012. Pour effectuer
Lire cet article
Différence entre gpupdate et gpupdate /force
I. Présentation Si vous utilisez Windows Server, vous avez sûrement créé un domaine et votre réseau est composé de nombreuses machines sur lesquelles s’appliquent des stratégies de groupe afin de restreindre les accès à la configuration du système. Vous connaissez forcément la commande « gpupdate », qui peut se traduire par « Group Policy Update » et qui permet d’actualiser les paramètres de stratégies de groupes afin que les objets de stratégies de groupe configurés sur les contrôles de domaine soient appliqués. Toutefois, souvent on nous dit de saisir « gpupdate /force » afin de « forcer » la mise à jour, mais, qu’est-ce que ça fait exactement ? Pourquoi ne pas faire une simple mise à jour ? II. Explication En ce qui concerne l’option « force », elle permet d’actualiser à nouveau tous les paramètres de stratégies de groupes à partir du serveur, comme si c’était la première fois que ça devait être appliqué. De ce fait, si
Lire cet article
Obtenir un nouvel SID avec SYSPREP
I. Présentation Chaque machine fonctionnant sous un système d’exploitation Windows dispose d’un SID (Security Identifier) qui correspond à un Identifiant de sécurité qui se doit d’être unique au sein d’un domaine ou d’un groupe de travail. Mise à part les machines, un utilisateur ou un groupe d’utilisateurs dispose également de son propre SID. II. Un SID pour quoi faire ? Le SID sert à autoriser ou non l’accès à des ressources locales ou dans un annuaire Active Directory, ce qui explique pourquoi il se doit d’être unique. Derrière chaque nom d’utilisateur, chaque nom de machine, chaque groupe d’utilisateurs se cache un SID qui est beaucoup plus significatif pour le système que le nom de l’objet en lui-même. III. Obtenir un nouvel SID, pourquoi ? Lorsqu’on effectue de la duplication de machines, le SID se retrouve également dupliqué sur ces machines, il est donc nécessaire d’en obtenir un nouveau afin de rendre le SID de la machine unique au sein du
Lire cet article