Group Policy Object


Group Policy Object

Stratégies de groupe

Les stratégies de groupe (ou GPO en anglais, Group Policy Object) sont des fonctions de gestion centralisée de la famille Windows. Elles permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory. Les stratégies de groupe font parties de la famille des technologies IntelliMirror, qui incluent la gestion des ordinateurs déconnectés, la gestion des utilisateurs itinérants ou la gestion de la redirection des dossiers ainsi que la gestion des fichiers en mode déconnecté.

Bien que les stratégies de groupe soient régulièrement utilisées dans les entreprises, elles sont également utilisées dans les écoles ou dans les petites organisations pour restreindre les actions et les risques potentiels comme par exemple : verrouillage du panneau de configuration, restriction d’accès à certains dossiers, désactivation de l’utilisation de certains exécutables, etc…

Sommaire

Présentation

Les stratégies de groupe peuvent contrôler des clés de registre, la sécurité NTFS, la politique de sécurité et d’audit, l’installation de logiciel, les scripts de connexion et de déconnexion, la redirection des dossiers, et les paramètres d’Internet Explorer. Les paramétrages sont stockés dans les stratégies de groupe. Chaque stratégie de groupe possède un identifiant unique appelé GUID (Globally Unique Identifier). Chaque stratégie de groupe peut être liée à un ou plusieurs Domaine, Site ou Unité d’Organisation Active Directory. Cela permet à plusieurs objets ordinateurs ou utilisateurs d’être contrôlés par une seule stratégie de groupe et donc de diminuer le coût d’administration globale de ces éléments.

Les stratégies de groupe utilisent des fichiers de modèle d’administration avec les extensions .ADM ou .ADMX qui décrivent les clés de registre modifiées par l’application des stratégies de groupe. Sur un ordinateur de travail, les modèles d’administration sont stockés dans le répertoire %WinDir%\Inf, alors que sur un contrôleur de domaine Active Directory, pour chaque domaine et pour chaque stratégie de groupe, ils sont stockés dans un répertoire individuel (Le Groupe Policy Template, ou GPT) au sein du répertoire Sysvol. Les fichiers ADMX sont des fichiers basés sur le format XML et introduits par Windows Vista pour la gestion des stratégies de groupe.

Les stratégies de groupe sont analysées et appliquées au démarrage de l’ordinateur et pendant l’ouverture de session de l’utilisateur. Les ordinateurs rafraîchissent les paramètres transmis par les stratégies de groupe de façon périodique, généralement toutes les 60 ou 120 minutes, ce paramètre étant ajustable par un paramètre de stratégie de groupe.

Les stratégies de groupe sont supportées sur Windows 2000, Windows XP Pro, Windows Vista, Windows 2003 et Windows 2008.

En juin 2006, la société Centrify annonce le support des stratégies de groupe pour Mac OS, Linux et Unix en utilisant leur logiciel DirectControl.

Les trois phases de l'utilisation des stratégies de groupe

Les stratégies de groupe peuvent être considérées en trois phases distinctes - Création de la stratégie de groupe, Liaison des stratégies de groupe et application des stratégies de groupe.

Création et édition des stratégies de groupe

Les stratégies de groupe peuvent être éditées au travers de deux outils – le Group Policy Object Editor (Gpedit.msc) et la Group Policy Management Console (GPMC). GPEdit est utilisé pour créer et éditer une stratégie de groupe de façon unitaire. La GPMC simplifie grandement la gestion des stratégies de groupe en fournissant un outil permettant une gestion centralisé et collective des objets. La GPMC inclut de nombreuses fonctionnalités telles que la gestion des paramètres, un panneau pour la gestion du filtrage par groupe de sécurité, des outils de sauvegarde et de restauration et d’autres outils graphiques intégrés à la MMC. Le nom d’une stratégie de groupe peut être déterminé en utilisant l’outil GPOTool.exe.

Liaison des stratégies de groupe

Après avoir créé une stratégie de groupe, elle peut être liée à un site Active Directory, à un domaine ou à une unité d'organisation (UO).

Application des stratégies de groupe

Le client de stratégie de groupe du poste récupère la configuration (de base dans un intervalle aléatoire compris entre 60 et 120 minutes, mais cela est configurable via les stratégies de groupe) qui est applicable à l’ordinateur et à l’utilisateur connecté et l’applique en tenant compte des différents critères de filtre, de sécurité et d’héritage.

Les stratégies de groupe locales

Les stratégies de groupe locales sont une version plus basique des stratégies de groupe utilisées avec Active Directory. Dans les versions antérieures à Windows Vista, les stratégies de groupe locales peuvent être utilisées sur un ordinateur local, mais ne peuvent pas être utilisées pour des comptes utilisateur ou des groupes. La limitation liée aux utilisateurs peut être contournée en utilisant l’éditeur de base de registre pour modifier les clés sous HKCU ou HKU. Les stratégies de groupe locales réalisent des modifications sous la clé HKLM, ce qui affecte tous les utilisateurs ; les mêmes changements peuvent être effectués sous HKCU ou HKU pour affecter uniquement certains utilisateurs. Microsoft fournit des informations complémentaires sur le site Technet.

Windows Vista supporte les stratégies de groupe locales multiples, qui permettent de positionner les paramètres pour les utilisateurs individuels.

Quelques commandes

Il est possible de vérifier l'application des GPO manuellement avec les commandes

GPResult

Il est possible de forcer l'application des GPO manuellement avec les commandes

GPUpdate /Force
Secedit /RefreshPolicy machine_policy /ENFORCE pour les GPO s'appliquant aux ordinateurs
Secedit /RefreshPolicy user_policy /ENFORCE pour les GPO s'appliquant aux utilisateurs

Les GPO sont supportées sur Windows 2008, Vista, Windows 2003, Windows XP Professionnel, Windows 2000.

Voir aussi

Liens externes
  • Portail de la sécurité informatique Portail de la sécurité informatique
Ce document provient de « Strat%C3%A9gies de groupe ».

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Group Policy Object de Wikipédia en français (auteurs)

Regardez d'autres dictionnaires:

  • Group Policy Object — Das Group Policy Object (GPO), auf deutsch Gruppenrichtlinienobjekt, ist ein Begriff aus der EDV. Damit werden in einer Windows Active Directory Domain die Richtlinien gesetzt: Einerseits für einzelne Nutzer bis zu ganzen Nutzergruppen… …   Deutsch Wikipedia

  • group policy object —    Abbreviated GPO. In Microsoft Windows 2000 Server, a collection of group policy settings defined at the local machine, site, domain, or organizational unit level …   Dictionary of networking

  • Group Policy — Local Security Policy editor in Windows 7 Group Policy is a feature of the Microsoft Windows NT family of operating systems. Group Policy is a set of rules that control the working environment of user accounts and computer accounts. Group Policy… …   Wikipedia

  • Group Policy — Stratégies de groupe Les stratégies de groupe (ou GPO en anglais, Group Policy Object) sont des fonctions de gestion centralisée de la famille Windows. Elles permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active… …   Wikipédia en Français

  • Object Manager (Windows) — Object Manager in Windows, categorized hierarchically using namespaces Object Manager (internally called Ob) is a subsystem implemented as part of the Windows Executive which manages Windows resources. Each resource, which are surfaced as logical …   Wikipedia

  • Object 279 — Object 279, Kubinka tank museum (2008) Type Heavy tank Place of origin …   Wikipedia

  • Group method of data handling — (GMDH) is a family of inductive algorithms for computer based mathematical modeling of multi parametric datasets that features fully automatic structural and parametric optimization of models. GMDH is used in such fields as data mining, knowledge …   Wikipedia

  • Object-oriented programming — Programming paradigms Agent oriented Automata based Component based Flow based Pipelined Concatenative Concurrent computing …   Wikipedia

  • policy — The general principles by which a government is guided in its management of public affairs, or the legislature in its measures. A general term used to describe all contracts of insurance. See policy of insurance. This term, as applied to a law,… …   Black's law dictionary

  • object — ob|ject1 W2S3 [ˈɔbdʒıkt US ˈa:b ] n ▬▬▬▬▬▬▬ 1¦(thing)¦ 2¦(aim)¦ 3 an object of pity/desire/ridicule etc 4 money/expense is no object 5 object lesson 6¦(grammar)¦ 7¦(computer)¦ ▬▬▬▬▬▬▬ [Date: 1300 1400; : Medieval Latin; Origin: objectum, from …   Dictionary of contemporary English