Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Guide ultime de la gestion des stratégies de groupe dans Active Directory

Guide ultime de la gestion des stratégies de groupe dans Active Directory

Apr 16, 2024

Introduction à la gestion des stratégies de groupe

Group Policy est une fonctionnalité des systèmes d'exploitation Microsoft Windows qui aide les administrateurs à gérer et sécuriser les utilisateurs et les ordinateurs dans les environnements Active Directory. Les paramètres de Group Policy sont regroupés dans des objets de stratégie de groupe (GPO) et appliqués aux objets ordinateur et utilisateur dans le cadre du GPO.

Par exemple, les objets de stratégie de groupe peuvent être utilisés pour gérer :

  • Configurations, telles que les paramètres du bureau, les scripts de démarrage et les scripts de connexion/déconnexion
  • Security, including Active Directory (AD) password policies, account lockout policies and firewall settings
  • Access to network resources like shared folders, printers and applications
  • Déploiement de logiciels, y compris l'installation de logiciels sur des machines sélectionnées et la planification des correctifs et mises à jour.

Ce guide explique les éléments clés de la gestion des Group Policy.

Outil de gestion de stratégie de groupe

Pour gérer les GPOs, les administrateurs utilisent la console de gestion de stratégie de groupe (GPMC). Vous pouvez accéder à cet éditeur de stratégie de groupe de domaine depuis le menu Outils du gestionnaire de serveur Windows.

Vous pouvez voir tous les GPOs dans un domaine en cliquant sur le conteneur Group Policy Objects dans le volet gauche de la Group Policy Management Console. Ci-dessous, vous pouvez voir que le domaine AD domain ad.contoso.com a juste un GPO, Default Domain Policy:

Image

La console de gestion de stratégie de groupe inclut un éditeur de stratégie de groupe, comme illustré ici :

Image

Types de paramètres de stratégie de groupe

Le panneau de gauche de la capture d'écran ci-dessous montre les types de paramètres dans un GPO :

Image

Comme vous pouvez le voir, il y a deux catégories principales : Computer Configuration et User Configuration.

Chacun de ces éléments a des Policies et des Preferences, que vous pouvez développer pour configurer :

  • Paramètres du logiciel
  • Paramètres Windows
  • Modèles d'administration

Politiques contre Préférences

Les politiques et les préférences peuvent tous deux être utilisés pour gérer les paramètres des objets ordinateur et utilisateur d'Active Directory. La principale différence est la suivante :

  • Les politiques ne peuvent pas être modifiées par les utilisateurs. Par conséquent, les paramètres liés à la sécurité et à la conformité réglementaire doivent être établis dans les politiques. Des exemples incluent les politiques de mot de passe, les politiques de verrouillage de compte, les politiques de pare-feu et les politiques de restriction de logiciels.
  • Les préférences peuvent être modifiées par les utilisateurs, elles doivent donc être utilisées uniquement pour les paramètres d'expérience utilisateur et d'environnement. Par exemple, vous pourriez fournir un ensemble standard de lecteurs réseau mappés, d'imprimantes ou de raccourcis de bureau, mais les établir via les préférences permettra aux utilisateurs de les ajuster selon leurs propres besoins.

Installation de la console de gestion de stratégie de groupe sur Windows Server

Pour installer la console de gestion de stratégie de groupe sur Windows Server, suivez ces étapes :

  • Lancez Server Manager en cliquant sur le menu Démarrer et en sélectionnant Server Manager.
  • Dans le Gestionnaire de serveur, cliquez sur Gérer dans le menu du haut, puis sélectionnez Ajouter des rôles et fonctionnalités.
Image
  • Choisissez l'installation Role-based or feature-based et cliquez sur Suivant.
Image
  • Sélectionnez le serveur où vous souhaitez installer GPMC et cliquez sur Suivant.
Image
  • Sur la page « Sélectionner les rôles de serveur », cliquez sur Suivant, car nous n'ajoutons pas de rôle.
  • Faites défiler vers le bas, trouvez « Group Policy Management » et cochez la case à côté.
Image
  • Cliquez sur « Suivant » à tout message de confirmation une fois l'installation terminée. Cliquez sur « Fermer » pour quitter l'assistant.
Image

Installer la console de gestion de stratégie de groupe sur Windows

Si vous utilisez Windows 10 version 1809 ou ultérieure, vous pouvez installer GPMC à l'aide de l'application Paramètres :

  1. Ouvrez les Paramètres en appuyant sur WIN+I.
  2. Recherchez les fonctionnalités optionnelles.
  3. Cliquez + Ajouter une fonctionnalité.
  4. Cliquez sur RSAT: Group Policy Management Tools et puis cliquez sur Installer.
Image

Si vous utilisez une version plus ancienne de Windows, vous devrez télécharger la version correcte de RSAT depuis le site web de Microsoft.

Comment créer un GPO

Pour créer un nouvel objet de stratégie de groupe :

• Ouvrez le Gestionnaire de serveur, cliquez sur Outils dans le coin supérieur droit et sélectionnez Gestion de stratégie de groupe dans le menu déroulant.

Image
  • Dans la console de gestion des stratégies de groupe, développez la forêt et le domaine où vous souhaitez lier l'objet de stratégie de groupe (GPO).
  • Cliquez avec le bouton droit sur l'OU, le domaine ou le site où vous souhaitez lier le GPO et sélectionnez l'option correspondante Créer, telle que Créer un GPO dans ce domaine et le lier ici…
Image

• Entrez un nom descriptif pour le nouveau GPO et cliquez sur OK.

Image

Comment modifier un GPO

Pour modifier la stratégie de groupe dans la console de gestion de stratégie de groupe, suivez les étapes suivantes :

  • Étendez la forêt et le domaine auxquels appartient l'objet de stratégie de groupe (GPO).
  • Naviguez jusqu'à l'unité d'organisation, le domaine ou le site où le GPO est lié.
  • Cliquez avec le bouton droit sur l'objet de stratégie de groupe (GPO) que vous souhaitez modifier et sélectionnez Modifier.
Image
  • Dans l'éditeur de gestion des stratégies de groupe, double-cliquez sur le paramètre de stratégie souhaité et modifiez-le selon vos besoins.

Les paramètres de l'ordinateur sont appliqués au démarrage de Windows, et les paramètres utilisateur sont utilisés lorsqu'un utilisateur se connecte. Le traitement en arrière-plan de la stratégie de groupe applique les paramètres périodiquement si un objet de stratégie de groupe a été modifié.

Comment lier un GPO

Pour prendre effet, un GPO doit être lié à au moins un conteneur Active Directory, tel qu'une OU, un domaine ou un site. Pour lier un GPO, suivez les étapes suivantes :

  • Dans la console de gestion des stratégies de groupe, déployez la forêt et le domaine où vous souhaitez lier l'objet de stratégie de groupe (GPO).
  • Cliquez avec le bouton droit sur l'OU, le domaine ou le site où vous souhaitez lier le GPO et sélectionnez Link an Existing GPO.
Image

• Choisissez le GPO que vous souhaitez lier dans la liste des GPO disponibles et cliquez sur OK.

Image

Comment activer ou désactiver un lien de GPO

Lorsqu'un lien de stratégie de groupe est désactivé, ses paramètres ne s'appliqueront pas aux objets dans le conteneur lié. Voici comment activer ou désactiver un lien de stratégie de groupe :

  • Dans la console de gestion des stratégies de groupe, développez la forêt et le domaine Active Directory auxquels appartient le GPO lié.
  • Développez le conteneur où le GPO est lié et faites un clic droit sur le GPO.
  • Dans le menu contextuel, cochez Link Enabled pour activer le lien ou décochez-le pour désactiver le lien.
Image

Comment importer les paramètres de GPO

Vous pouvez configurer un objet de stratégie de groupe (GPO) en important les paramètres depuis une sauvegarde de GPO ou un fichier modèle. Voici comment procéder :

  • Dans la console de gestion des stratégies de groupe, naviguez jusqu'à l'unité d'organisation, le domaine ou le site avec l'objet de stratégie de groupe auquel vous souhaitez importer les paramètres.
  • Cliquez avec le bouton droit sur l'objet de stratégie de groupe de destination et sélectionnez Importer les paramètres…
  • Choisissez le fichier de sauvegarde ou de modèle (.admx ou .adml) contenant les paramètres de GPO souhaités et cliquez sur Ouvrir.
  • Étant donné que les emplacements de sauvegarde peuvent contenir plusieurs GPO, sélectionnez celui à partir duquel vous souhaitez importer les paramètres.
Image
  • Cliquez Suivant deux fois, vérifiez le résumé, et cliquez Terminer pour achever le processus d'importation.
Image

Héritage et priorité des GPO

L'héritage et la priorité des stratégies de groupe déterminent comment les objets de stratégie de groupe sont appliqués aux objets.

Héritage

L'héritage des stratégies de groupe suit la structure hiérarchique des domaines AD et des unités organisationnelles (UO). Les politiques au niveau du domaine s'appliquent à tous les objets (utilisateurs, ordinateurs, groupes) dans le domaine. Les politiques au niveau des UO s'appliquent aux objets au sein d'une UO spécifique. Les politiques appliquées à un niveau supérieur dans la hiérarchie sont héritées par les objets enfants, donc les GPOs au niveau du domaine sont héritées par toutes les UO dans le domaine, et une politique liée à une UO est héritée par toutes les sous-UO qui sont imbriquées sous cette UO.

Toutefois, vous pouvez utiliser le paramètre Bloquer l'héritage sur un site, domaine ou UO pour empêcher l'application des stratégies de groupe liées aux objets parents sur les objets enfants. L'activation du drapeau Forcé sur des stratégies de groupe individuelles a préséance sur le paramètre Bloquer l'héritage.

Pour voir les GPOs qu'un objet hérite des objets parents, cliquez sur l'objet dans GPMC et allez à l'onglet Héritage de stratégie de groupe.

Précédence

Un domaine, site ou OU donné peut avoir plusieurs GPO liés, et ces politiques pourraient avoir des paramètres contradictoires. La prévalence de la stratégie de groupe contrôle l'ordre dans lequel les GPO sont appliqués et donc quel paramètre prend effet. Plus un GPO est appliqué tardivement dans la séquence, plus sa prévalence est élevée.

L'ordre d'application des politiques est le suivant :

  • Stratégie de groupe locale
  • Site-level GPOs
  • Stratégies de groupe au niveau du domaine
  • GPOs au niveau de l'OU

Pour afficher les GPOs liés à un objet, cliquez sur l'objet dans GPMC et allez à l'onglet Objets de stratégie de groupe liés. Les GPOs avec un numéro d'ordre de lien plus élevé sont prioritaires par rapport à ceux avec un numéro inférieur. Vous pouvez changer le numéro d'ordre de lien en cliquant sur un GPO et en utilisant les flèches à gauche pour le monter ou le descendre.

Image

Extensibilité des stratégies de groupe

Vous pouvez étendre les fonctionnalités de la stratégie de groupe en intégrant des fonctionnalités supplémentaires, des paramètres personnalisés ou des composants tiers. Voici plusieurs aspects de l'extensibilité de la stratégie de groupe :

  • Modèles d'administration (fichiers .admx) — Les administrateurs peuvent créer des modèles personnalisés pour gérer des paramètres supplémentaires ou configurer des politiques personnalisées.
  • Préférences de stratégie de groupe personnalisées — Vous pouvez créer des éléments de préférence personnalisés à l'aide de fichiers XML ou de scripts. Cela vous permet de gérer des éléments tels que les lecteurs réseau mappés, les imprimantes, les paramètres du registre, les fichiers et les raccourcis sur les ordinateurs clients.
  • Extensions côté client de stratégie de groupe (CSEs) — Vous pouvez créer des CSEs personnalisés pour ajouter des paramètres supplémentaires, des politiques ou des tâches de gestion.
  • Les filtres de stratégie de groupe et les filtres WMI — Vous pouvez créer des filtres pour cibler les paramètres de stratégie de groupe en fonction de critères spécifiques, tels que les attributs utilisateur ou ordinateur.
  • Outils de stratégie de groupe tiers — Les solutions tierces offrent des capacités de gestion supplémentaires, des fonctionnalités de reporting, des outils d'audit et des modèles de stratégie.

Sauvegarde des GPOs

Créez des sauvegardes régulières de vos GPOs pour vous assurer d'avoir une copie récente en cas de suppression accidentelle ou malveillante, de corruption ou de mauvaise configuration. Vous devriez également sauvegarder les GPOs après avoir effectué des changements importants ou avant de réaliser des tâches de maintenance qui pourraient affecter les paramètres de stratégie de groupe.

Mettez en place un emplacement centralisé pour stocker les sauvegardes de GPO afin de garantir un accès et une gestion faciles. Envisagez d'organiser les fichiers de sauvegarde par domaine, date ou finalité pour faciliter la récupération et la restauration. Utilisez des conventions de nommage descriptives ou des métadonnées pour identifier les versions de sauvegarde et les modifications associées. Mettez en œuvre des pratiques de contrôle de version pour suivre les modifications des GPO au fil du temps et maintenir un historique des sauvegardes.

Modélisation des modifications des paramètres de stratégie de groupe

La modélisation de stratégie de groupe est une fonctionnalité de GPMC qui permet aux administrateurs de simuler l'application des paramètres de stratégie de groupe pour les utilisateurs et les ordinateurs dans un environnement Active Directory. Elle offre un moyen de prédire le résultat de l'application de paramètres de stratégie de groupe spécifiques sans les mettre en œuvre.

Gestion avancée des stratégies de groupe

Advanced Group Policy Management (AGPM) est un composant de Microsoft Desktop Optimization Pack (MDOP) qui améliore la gestion, la délégation, le contrôle de version et l'audit des objets de stratégie de groupe.

Contrairement à GPMC, AGPM est une application client/serveur. Le composant serveur stocke les GPOs et leurs historiques hors ligne. Les GPOs gérés par AGPM sont appelés GPOs contrôlés. Les administrateurs peuvent les enregistrer et les sortir, de manière similaire à la gestion des fichiers ou du code sur GitHub ou un système de gestion de documents.

AGPM offre plus de contrôle sur les GPOs que GPMC. Outre le contrôle de version, vous pouvez attribuer des rôles tels que Réviseur, Éditeur et Approbateur aux administrateurs de stratégie de groupe. Cela facilite un contrôle strict des modifications tout au long du cycle de vie complet des GPO. L'audit AGPM fournit également une meilleure compréhension des changements dans la stratégie de groupe.

Comment Netwrix peut aider

Netwrix Auditor étend la gestion traditionnelle des stratégies de groupe avec des fonctionnalités améliorées de visibilité, d'audit, de contrôle des changements et de reporting qui renforcent la sécurité et la conformité. Par exemple, les administrateurs obtiennent une vue détaillée sur ce qui a été modifié, qui l'a modifié et quand l'action a eu lieu. Depuis une interface intuitive, ils peuvent facilement comparer différentes versions de GPO, identifier des modifications spécifiques et même revenir sur des modifications non désirées.

Cette transparence accrue permet aux administrateurs de s'assurer que les paramètres de stratégie de groupe sont conformes aux politiques organisationnelles, aux normes de sécurité et aux exigences réglementaires. En intégrant Netwrix Auditor dans leur stratégie de gestion de stratégie de groupe, les organisations peuvent atteindre une infrastructure informatique plus sécurisée, conforme et gérée efficacement.

Questions Fréquemment Posées

Qu'est-ce que la gestion de Active Directory Group Policy ?

La stratégie de groupe est une fonctionnalité d'Active Directory qui permet aux administrateurs de contrôler les paramètres de configuration des utilisateurs et des ordinateurs. La gestion de la stratégie de groupe est le processus de création et de maintien des paramètres de stratégie de groupe qui imposent la sécurité, déploient des logiciels, gèrent les configurations de bureau et plus encore.

Comment ouvrez-vous la console de gestion de stratégie de groupe ?

Pour ouvrir la console de gestion de stratégie de groupe Active Directory :

  1. Appuyez sur Windows Key + R sur votre clavier.
  2. Dans la boîte de dialogue Exécuter qui apparaît, tapez gpmc. msc et appuyez sur Entrée ou cliquez sur OK.

Comment puis-je installer la console de gestion de stratégie de groupe ?

Pour installer GPMC sur un serveur Windows, suivez ces étapes :

  1. Lancez le Gestionnaire de serveur. Vous pouvez généralement le trouver dans la barre des tâches, ou vous pouvez le localiser dans le menu Démarrer.
  2. Dans le Gestionnaire de serveur, cliquez sur Manage dans le coin supérieur droit, puis sélectionnez Ajouter des rôles et fonctionnalités.
  3. Sur l'écran « Avant de commencer », cliquez sur Suivant.
  4. Sur l'écran « Sélectionner le type d'installation », choisissez l'installation Role-based or feature-based installation puis cliquez sur Suivant.
  5. Sélectionnez le serveur où vous souhaitez installer la fonctionnalité GPMC et cliquez sur Suivant.
  6. Sur l'écran « Sélectionner les fonctionnalités », cochez la case à côté de Group Policy Management. Cliquez sur Suivant.
  7. Vérifiez vos sélections et cliquez sur Install.
  8. Attendez que le processus d'installation soit terminé. Une fois que vous voyez un message de confirmation, fermez le Gestionnaire de serveur.

Quels utilisateurs se voient automatiquement accorder des autorisations pour effectuer des tâches de gestion de stratégie de groupe ?

Le groupe Group Policy Creator Owners est automatiquement créé lorsqu'une forêt Active Directory est créée. Les membres du groupe peuvent créer, modifier et gérer les objets de stratégie de groupe au niveau du domaine. Ce groupe est généralement utilisé lorsque les administrateurs souhaitent déléguer le contrôle de la stratégie de groupe sans accorder des privilèges administratifs complets. Par défaut, seul l'administrateur du domaine est membre de ce groupe.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Russell Smith

Consultant en TI

Consultant en TI et auteur spécialisé dans les technologies de gestion et de sécurité. Russell possède plus de 15 ans d'expérience dans le domaine des TI, il a écrit un livre sur la sécurité Windows et a coécrit un texte pour la série de cours académiques officiels de Microsoft (MOAC).

En savoir plus sur ce sujet

Créez des utilisateurs AD en masse et envoyez leurs identifiants par e-mail à l'aide de PowerShell

Comment créer, modifier et tester des mots de passe en utilisant PowerShell

Comment ajouter et supprimer des groupes AD et des objets dans des groupes avec PowerShell

Confiances dans Active Directory

Attaques de rançongiciels sur Active Directory

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité