GPO

De Justine's wiki
Aller à la navigation Aller à la recherche

Généralités

Les GPO (Group Policy Object) permettent de configurer des restrictions d'utilisation de Windows ou des paramètres à appliquer soit sur un ordinateur donné soit sur un compte utilisateur donné.

Avec une GPO, on peut :

  • Configurer un ordinateur : Modifier la politique de mots de passe, Définir une politique de mise à jour, configurer le firewall...
  • Configurer un compte utilisateur : Installer des imprimantes, Ajouter des connecteurs réseau...
  • Les deux à la fois.

Une GPO passe par une arborescence de paramètres, qui permet modifier de nombreuses choses. Une GPO s'exécute au démarrage d'un ordinateur, après un intervalle d'actualisation,  ou à l'ouverture d'une session. On peut aussi utiliser la commande gpudate.

Quelques commandes :

gpupdate : applique une GPO sur un client. À faire en tant qu'administrateur si c'est une configuration ordinateur; on peut utiliser l'argument /force

gpresult -H C:/chemin/rapport.html : Affiche le rapport des GPO appliquées au client. À faire en tant qu'admin pour afficher le rapport d'une GPO ordinateur.

Ressources externes

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-7/hh147307(v=ws.10)

Utilisation des GPO

Liaison et application des GPO

On peut lier une GPO à :

  • Un domaine : Par exemple, la "default domain policy" qui définit le mot de passe
  • Une OU : ce sont les liaisons les plus courantes
  • Un site : Exemple : déploiement des imprimantes en fonction du site où se trouve l'utilisateur (assez pratique)
  • On peut même lier une GPO plusieurs fois

Il est très important de comprendre qu'une configuration ordinateur est liée à un/des compte ordinateur, et une configuration utilisateur est liée à un/des compte utilisateurs.

RTENOTITLE

Si je fais une GPO ayant uniquement des paramètres utilisateurs et que je la lie à une OU contenant uniquement des paramètres ordinateur, je n'aurais aucun effet !

Ordre d'application d'une GPO

C'est utile à savoir pour débuguer une GPO :

RTENOTITLE

 

On a la possibilité, à la création d'une GPO, de bloquer l'héritage de stratégies :

  • On va bloquer les objets GPO appliqués au niveau plus haut dans la hiérarchie
  • Cela s'applique au niveau d'une GPO

...sauf si l'on souhaite ne pas passer outre (paramètre "Appliqué")

  • S'applique au niveau d'une GPO

TP (Jamais fait)

<pdf>Fichier:Tpgpo1.pdf</pdf>

<pdf>Fichier:Tpgpo2.pdf</pdf>

 

 

Récupérée de « https://wiki.squi.fr/index.php?title=GPO&oldid=2156 »