Déterminer correctement la prévalence de l'objet de stratégie de groupe

La stratégie de groupe est la technologie de gestion de configuration incluse dans Microsoft Windows Server Active Directory. Si vous avez besoin de permettre un contrôle granulaire des paramètres de Windows et Windows Server, la stratégie de groupe est la solution idéale. Mais la stratégie de groupe peut rapidement devenir compliquée car chaque objet de stratégie de groupe (GPO) peut avoir des centaines de paramètres pour les utilisateurs et les ordinateurs, et plusieurs GPOs avec des paramètres potentiellement contradictoires peuvent être liés à un site Active Directory, domaine ou unité organisationnelle (OU) donnés.

Dans cet article, nous expliquerons comment déterminer la prévalence des stratégies de groupe, afin que vous puissiez appliquer correctement la stratégie de groupe et garantir que les politiques de sécurité requises sont appliquées.

Politique locale

Avant de commencer à parler de la stratégie de groupe, qui donne aux administrateurs système la capacité de gérer centralement les paramètres de Windows, il est bon de savoir que tous les appareils Windows ont une politique locale. La politique locale est toujours remplacée par les paramètres dans les objets de stratégie de groupe. Par conséquent, en général, la politique locale ne devrait être utilisée que pour configurer les paramètres des appareils qui ne sont pas joints à un domaine Active Directory.

Stratégie de groupe Active Directory

Les objets de stratégie de groupe doivent être liés à un site, domaine ou unité organisationnelle d'Active Directory avant d'être appliqués aux ordinateurs et utilisateurs. Les GPO sont appliqués à l'objet auquel ils sont liés ainsi qu'à tous ses objets enfants. Par exemple, un GPO lié à un site s'appliquera également aux objets dans les domaines et unités organisationnelles de ce site. Les GPO liés à une unité organisationnelle s'appliqueront à tous les objets dans cette OU et à toutes les sous-unités organisationnelles.

Pour afficher ou modifier les GPOs, utilisez la console Group Policy Management (GPMC) dans le menu Outils du Gestionnaire de serveur. Les paramètres des objets de stratégie de groupe sont organisés de la même manière que la politique locale, mais une catégorie supplémentaire, appelée Préférences de stratégie de groupe, fournit des paramètres supplémentaires qui permettent aux administrateurs de personnaliser l'environnement des utilisateurs.

Application de stratégie de groupe aux sites

Si vous liez un objet de stratégie de groupe (GPO) à un site, ses paramètres s'appliqueront à tous les objets de ce site ; on dit que les objets tombent dans le champ d'application de gestion du GPO. Plus d'un GPO peut être lié à un site donné, et ces GPO peuvent avoir des paramètres contradictoires. Dans ce cas, vous devez comprendre quels paramètres seront appliqués. Par exemple, si le même paramètre est configuré différemment dans deux GPO ou plus qui sont tous liés à un site donné, quel GPO aura la priorité ? La réponse est le GPO avec le numéro d'ordre de lien le plus petit. Les numéros d'ordre de lien indiquent la priorité de la stratégie de groupe et régissent l'ordre de traitement de la stratégie de groupe.

Pour voir le numéro d'ordre de lien des GPOs pour un site, ouvrez GPMC et déployez votre domaine Active Directory. Ensuite, suivez les étapes suivantes :

Étape n°1. Faites un clic droit sur Sites et cliquez sur Afficher les sites…

Étape n°2. Dans la boîte de dialogue Afficher les sites, cochez les sites que vous souhaitez voir dans GPMC et cliquez sur OK.

Étape #3. Développez Sites dans GPMC. Vous verrez tous les sites que vous avez configurés dans Active Directory. Le site par défaut s'appelle Default-First-Site-Name, bien qu'il soit possible de le renommer.

Étape #4. Cliquez sur l'un des sites.

Figure 1. Vérification de l'ordre des liens.

Étape n°5. Sous l'onglet Linked Group Policy Objects, vous verrez une liste de GPO qui sont liés au site. Il se peut qu'il n'y ait aucun GPO lié. Si des GPO sont liés, vous verrez leurs numéros d'ordre de lien, qui indiquent l'ordre de priorité. Plus le numéro est élevé, moins le GPO a de priorité. Par exemple, les paramètres d'un GPO avec un numéro d'ordre de lien de 2 auront toujours la priorité sur les paramètres d'un GPO avec un numéro d'ordre de lien de 3.

Étape n°6. Pour changer le numéro d'ordre de lien d'un GPO, cliquez sur le GPO et utilisez les flèches haut et bas à gauche pour le déplacer à la position souhaitée dans la liste.

Application de stratégie de groupe aux domaines et unités organisationnelles

Les GPO peuvent être liés aux domaines et aux UO de la même manière qu'ils peuvent être liés aux sites. La politique de domaine par défaut est liée à chaque domaine par défaut. Les GPO liés aux unités organisationnelles ont la plus haute priorité, suivis de ceux liés aux domaines. Les GPO liés aux sites ont toujours la moindre priorité.

Pour comprendre quels GPOs sont liés à un domaine ou à une UO, cliquez sur le domaine ou l'UO dans GPMC et sélectionnez l'onglet Linked Group Policy Objects. Pour une vue plus large, sélectionnez l'onglet Group Policy Inheritance, qui montrera également les GPOs liés aux domaines parents et aux UOs. Les GPOs avec un numéro de précédence plus petit sont traités en dernier et ont la priorité sur les GPOs avec des numéros plus élevés.

Figure 2. Vérification de la prééminence des GPO pour les GPO liés à un domaine ou une OU.

N'oubliez pas que les GPOs liés aux sites s'appliquent également aux objets enfants du site et sont appliqués dans le cadre de l'ordre de traitement. Cependant, les GPOs liés aux sites ne sont pas affichés dans l'onglet Héritage de stratégie de groupe car GPMC ne sait pas quels utilisateurs et objets ordinateur se trouvent dans un site AD donné à un moment particulier.