Qu'est-ce que la stratégie de groupe?
La stratégie de groupe est un outil disponible pour les administrateurs qui exécutent un domaine Active Directory Windows 2000 ou version ultérieure . Il permet une gestion centralisée des paramètres sur les ordinateurs clients et les serveurs joints au domaine et fournit un moyen rudimentaire de distribuer les logiciels.
Les paramètres sont regroupés en objets appelés objets de stratégie de groupe (GPO). Les objets de stratégie de groupe sont liés à une unité d'organisation (OU) Active Directory et peuvent être appliqués aux utilisateurs et aux ordinateurs. Les objets de stratégie de groupe ne peuvent pas être appliqués directement à des groupes, mais vous pouvez utiliser le filtrage de sécurité ou le ciblage au niveau de l'élément pour filtrer l'application de stratégie en fonction de l'appartenance au groupe.
C'est cool, que peut-il faire?
N'importe quoi.
Sérieusement, vous pouvez faire tout ce que vous voulez aux utilisateurs ou aux ordinateurs de votre domaine. Il existe des centaines de paramètres prédéfinis pour des choses comme la redirection de dossiers, la complexité des mots de passe, les paramètres d'alimentation, les mappages de lecteurs, le chiffrement des lecteurs, Windows Update , etc. Tout ce que vous ne pouvez pas configurer via un paramètre prédéfini que vous pouvez contrôler via un script. Les scripts Batch et VBScript sont pris en charge sur tous les clients pris en charge et les scripts PowerShell peuvent être exécutés sur les hôtes Windows 7.
Astuce professionnelle: vous pouvez réellement exécuter des scripts de démarrage PowerShell sur des hôtes Windows XP et Windows Vista aussi longtemps qu'ils ont PowerShell 2.0 installé. Vous pouvez créer un fichier batch qui appelle le script avec cette syntaxe:
powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted
La première ligne permet d'exécuter des scripts non signés à partir de partages distants sur cet hôte et la deuxième ligne appelle le script à partir du fichier de commandes. Le troisième ensemble de lignes définit la politique sur restreint (par défaut) pour une sécurité maximale.
Comment les objets de stratégie de groupe sont-ils appliqués?
Les objets de stratégie de groupe sont appliqués dans un ordre prévisible. Les politiques locales sont appliquées en premier. Des stratégies sont définies sur la machine locale via gpedit.msc. Les politiques du site sont appliquées en second. Les stratégies de domaine sont appliquées en troisième et les stratégies d'unité d'organisation sont appliquées en quatrième. Si un objet est imbriqué dans plusieurs unités d'organisation, les objets de stratégie de groupe sont appliqués en premier sur les unités d'organisation les plus proches de la racine.
Gardez à l'esprit qu'en cas de conflit, le dernier GPO appliqué "gagne". Cela signifie, par exemple, que la stratégie liée à l'unité d'organisation dans laquelle un ordinateur réside gagnera s'il y a un conflit entre un paramètre dans cet objet de stratégie de groupe et celui lié dans une unité d'organisation parent.
Les scripts de connexion et de démarrage semblent cool, comment fonctionnent-ils?
Un script d'ouverture de session ou de démarrage peut vivre sur n'importe quel partage réseau tant que les groupes Domain Users
et Domain Computers
ont un accès en lecture au partage sur lequel ils se trouvent. Traditionnellement, ils résident \\domain.tld\sysvol
, mais ce n'est pas une exigence.
Les scripts de démarrage sont exécutés au démarrage de l'ordinateur. Ils sont exécutés en tant que compte SYSTEM sur la machine locale. Cela signifie qu'ils accèdent aux ressources réseau en tant que compte de l'ordinateur. Par exemple, si vous voulez un script de démarrage pour avoir accès à une ressource réseau sur une action qui a l' UNC de \\server01\share1
et le nom de l'ordinateur était que WORKSTATION01
vous devez vous assurer que WORKSTATION01$
avait accès à cette part. Comme ce script est exécuté en tant que système, il peut faire des choses comme installer un logiciel, modifier des sections privilégiées du registre et modifier la plupart des fichiers sur la machine locale.
Les scripts d'ouverture de session sont exécutés dans le contexte de sécurité de l'utilisateur connecté localement. J'espère que vos utilisateurs ne sont pas administrateurs, ce qui signifie que vous ne pourrez pas les utiliser pour installer des logiciels ou modifier les paramètres de registre protégés.
Les scripts de connexion et de démarrage étaient une pierre angulaire de Windows 2003 et des domaines antérieurs, mais leur utilité a été réduite dans les versions ultérieures de Windows Server. Les préférences de stratégie de groupe offrent aux administrateurs un bien meilleur moyen de gérer les mappages de lecteurs et d'imprimantes, les raccourcis, les fichiers, les entrées de registre, l'appartenance au groupe local et bien d'autres choses qui ne peuvent être effectuées que dans un script de démarrage ou de connexion. Si vous pensez que vous pourriez avoir besoin d'utiliser un script pour une tâche simple, il y a probablement une stratégie de groupe ou une préférence pour cela. De nos jours sur les domaines avec des clients Windows 7 (ou version ultérieure), seules les tâches complexes nécessitent des scripts de démarrage ou de connexion.
J'ai trouvé un GPO sympa, mais il s'applique aux utilisateurs, je veux qu'il s'applique aux ordinateurs!
Ouais je sais. J'ai été là. Cela est particulièrement répandu dans les laboratoires universitaires ou d'autres scénarios informatiques partagés où vous souhaitez que certaines des stratégies utilisateur pour les imprimantes ou les ressources similaires soient basées sur l'ordinateur, pas sur l'utilisateur. Devinez quoi, vous avez de la chance! Vous souhaitez activer le paramètre GPO pour le mode de bouclage de stratégie de groupe .
De rien.
Vous avez dit que je pouvais l'utiliser pour installer un logiciel, non?
Oui, vous le pouvez. Il y a cependant quelques mises en garde. Le logiciel doit être au format MSI et toute modification doit être dans un fichier MST . Vous pouvez créer un MST avec un logiciel comme ORCA ou tout autre éditeur MSI. Si vous ne faites pas de transformation, votre résultat final sera le même que celui de l'exécutionmsiexec /i <path to software> /q
Le logiciel n'est également installé qu'au démarrage, ce n'est donc pas un moyen très rapide de distribuer le logiciel, mais c'est gratuit. Dans un environnement de laboratoire à petit budget, j'ai créé une tâche planifiée (via GPO) qui redémarrera chaque ordinateur de laboratoire à minuit avec un décalage aléatoire de 30 minutes. Cela garantira que les logiciels sont, au maximum, périmés un jour dans ces laboratoires. Néanmoins, des logiciels comme SCCM , LANDesk , Altaris ou tout autre élément pouvant "pousser" des logiciels à la demande est préférable.
À quelle fréquence est-il appliqué?
Les clients actualisent leurs objets de stratégie de groupe toutes les 90 minutes avec une randomisation de 30 minutes. Cela signifie que, par défaut, il peut y avoir jusqu'à 120 minutes d'attente. En outre, certains paramètres, tels que les mappages de lecteurs, la redirection de dossiers et les préférences de fichier, ne sont appliqués qu'au démarrage ou à la connexion. La stratégie de groupe est destinée à la gestion planifiée à long terme, pas aux situations de réparation rapide instantanée.
Les contrôleurs de domaine actualisent leur stratégie toutes les cinq minutes.