« GPO » : différence entre les versions
(Page créée avec « = Généralités = Les GPO (Group Policy Object) permettent de configurer des restrictions d'utilisation de Windows ou des paramètres à appliquer soit sur un ordinateu... ») |
Aucun résumé des modifications |
||
| Ligne 4 : | Ligne 4 : | ||
Les GPO (Group Policy Object) permettent de configurer des restrictions d'utilisation de Windows ou des paramètres à appliquer soit sur un ordinateur donné soit sur un compte utilisateur donné. | Les GPO (Group Policy Object) permettent de configurer des restrictions d'utilisation de Windows ou des paramètres à appliquer soit sur un ordinateur donné soit sur un compte utilisateur donné. | ||
Avec une GPO, on peut : | Avec une GPO, on peut : | ||
*Configurer un ordinateur : Modifier la politique de mots de passe, Définir une politique de mise à jour, configurer le firewall... | *Configurer un ordinateur : Modifier la politique de mots de passe, Définir une politique de mise à jour, configurer le firewall... | ||
*Configurer un compte utilisateur : Installer des imprimantes, Ajouter des connecteurs réseau... | *Configurer un compte utilisateur : Installer des imprimantes, Ajouter des connecteurs réseau... | ||
*Les deux à la fois. | *Les deux à la fois. | ||
Une GPO passe par une arborescence de paramètres, qui permet modifier de nombreuses choses. Une GPO s'exécute au démarrage d'un ordinateur, après un intervalle d'actualisation, ou à l'ouverture d'une session. On peut aussi utiliser la commande gpudate. | Une GPO passe par une arborescence de paramètres, qui permet modifier de nombreuses choses. Une GPO s'exécute au démarrage d'un ordinateur, après un intervalle d'actualisation, ou à l'ouverture d'une session. On peut aussi utiliser la commande gpudate. | ||
== Quelques commandes : == | == Quelques commandes : == | ||
gpupdate : applique une GPO sur un client. À faire en tant qu'administrateur si c'est une configuration ordinateur; on peut utiliser l'argument /force | gpupdate : applique une GPO sur un client. À faire en tant qu'administrateur si c'est une configuration ordinateur; on peut utiliser l'argument /force | ||
gpresult -H C:/chemin/rapport.html : Affiche le rapport des GPO appliquées au client. À faire en tant qu'admin pour afficher le rapport d'une GPO ordinateur. | gpresult -H C:/chemin/rapport.html : Affiche le rapport des GPO appliquées au client. À faire en tant qu'admin pour afficher le rapport d'une GPO ordinateur. | ||
== Ressources externes == | == Ressources externes == | ||
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-7/hh147307(v=ws.10) | [https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-7/hh147307(v=ws.10) https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-7/hh147307(v=ws.10)] | ||
= Utilisation des GPO = | = Utilisation des GPO = | ||
| Ligne 26 : | Ligne 26 : | ||
== Liaison et application des GPO == | == Liaison et application des GPO == | ||
On peut lier une GPO à : | On peut lier une GPO à : | ||
*Un domaine : Par exemple, la "default domain policy" qui définit le mot de passe | *Un domaine : Par exemple, la "default domain policy" qui définit le mot de passe | ||
*Une OU : ce sont les liaisons les plus courantes | *Une OU : ce sont les liaisons les plus courantes | ||
*Un site : Exemple : déploiement des imprimantes en fonction du site où se trouve l'utilisateur (assez pratique) | *Un site : Exemple : déploiement des imprimantes en fonction du site où se trouve l'utilisateur (assez pratique) | ||
*On peut même lier une GPO plusieurs fois | *On peut même lier une GPO plusieurs fois | ||
Il est très important de comprendre qu'une configuration ordinateur est liée à un/des compte ordinateur, et une configuration utilisateur est liée à un/des compte utilisateurs. | Il est très important de comprendre qu'une configuration ordinateur est liée à un/des compte ordinateur, et une configuration utilisateur est liée à un/des compte utilisateurs. | ||
[[File:Gpo.png]] | [[File:Gpo.png|RTENOTITLE]] | ||
Si je fais une GPO ayant uniquement des paramètres utilisateurs et que je la lie à une OU contenant uniquement des paramètres ordinateur, je n'aurais aucun effet ! | Si je fais une GPO ayant uniquement des paramètres utilisateurs et que je la lie à une OU contenant uniquement des paramètres ordinateur, je n'aurais aucun effet ! | ||
== Ordre d'application d'une GPO == | == Ordre d'application d'une GPO == | ||
C'est utile à savoir pour débuguer une GPO : | C'est utile à savoir pour débuguer une GPO : | ||
[[File:Gpo2.png]] | [[File:Gpo2.png|RTENOTITLE]] | ||
| | ||
On a la possibilité, à la création d'une GPO, de bloquer l'héritage de stratégies : | On a la possibilité, à la création d'une GPO, de bloquer l'héritage de stratégies : | ||
*On va bloquer les objets GPO appliqués au niveau plus haut dans la hiérarchie | *On va bloquer les objets GPO appliqués au niveau plus haut dans la hiérarchie | ||
| Ligne 55 : | Ligne 55 : | ||
*S'applique au niveau d'une GPO | *S'applique au niveau d'une GPO | ||
= TP (Jamais fait) = | |||
<pdf>Fichier:Tpgpo1.pdf</pdf> | |||
<pdf>Fichier:Tpgpo2.pdf</pdf> | |||
| | ||
| | ||
Version du 18 mars 2019 à 14:41
Généralités
Les GPO (Group Policy Object) permettent de configurer des restrictions d'utilisation de Windows ou des paramètres à appliquer soit sur un ordinateur donné soit sur un compte utilisateur donné.
Avec une GPO, on peut :
- Configurer un ordinateur : Modifier la politique de mots de passe, Définir une politique de mise à jour, configurer le firewall...
- Configurer un compte utilisateur : Installer des imprimantes, Ajouter des connecteurs réseau...
- Les deux à la fois.
Une GPO passe par une arborescence de paramètres, qui permet modifier de nombreuses choses. Une GPO s'exécute au démarrage d'un ordinateur, après un intervalle d'actualisation, ou à l'ouverture d'une session. On peut aussi utiliser la commande gpudate.
Quelques commandes :
gpupdate : applique une GPO sur un client. À faire en tant qu'administrateur si c'est une configuration ordinateur; on peut utiliser l'argument /force
gpresult -H C:/chemin/rapport.html : Affiche le rapport des GPO appliquées au client. À faire en tant qu'admin pour afficher le rapport d'une GPO ordinateur.
Ressources externes
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-7/hh147307(v=ws.10)
Utilisation des GPO
Liaison et application des GPO
On peut lier une GPO à :
- Un domaine : Par exemple, la "default domain policy" qui définit le mot de passe
- Une OU : ce sont les liaisons les plus courantes
- Un site : Exemple : déploiement des imprimantes en fonction du site où se trouve l'utilisateur (assez pratique)
- On peut même lier une GPO plusieurs fois
Il est très important de comprendre qu'une configuration ordinateur est liée à un/des compte ordinateur, et une configuration utilisateur est liée à un/des compte utilisateurs.
Si je fais une GPO ayant uniquement des paramètres utilisateurs et que je la lie à une OU contenant uniquement des paramètres ordinateur, je n'aurais aucun effet !
Ordre d'application d'une GPO
C'est utile à savoir pour débuguer une GPO :
On a la possibilité, à la création d'une GPO, de bloquer l'héritage de stratégies :
- On va bloquer les objets GPO appliqués au niveau plus haut dans la hiérarchie
- Cela s'applique au niveau d'une GPO
...sauf si l'on souhaite ne pas passer outre (paramètre "Appliqué")
- S'applique au niveau d'une GPO
TP (Jamais fait)
<pdf>Fichier:Tpgpo1.pdf</pdf>
<pdf>Fichier:Tpgpo2.pdf</pdf>