Implémentez la portée et l’héritage des objets de stratégie de groupe

7 minutes

Les paramètres de stratégie des objets de stratégie de groupe définissent la configuration. Toutefois, vous devez spécifier les ordinateurs ou les utilisateurs auxquels s’applique l’objet de stratégie de groupe pour que les modifications de configuration dans un objet de stratégie de groupe affectent les ordinateurs ou les utilisateurs de votre organisation. On appelle cette opération définir la portée d’un objet de stratégie de groupe. La portée d’un objet de stratégie de groupe est la collection d’utilisateurs et d’ordinateurs qui appliqueront les paramètres dans l’objet de stratégie de groupe.

Important

Pour définir la portée d’un objet de stratégie de groupe, vous devez le lier à une unité d’organisation qui contient les utilisateurs et les ordinateurs cibles.

Définir la portée d’un objet de stratégie de groupe

Vous pouvez utiliser plusieurs méthodes pour gérer la portée des objets de stratégie de groupe basés sur un domaine. La première méthode réside dans le lien de l’objet de stratégie de groupe. Dans Active Directory DS, vous pouvez lier des GPO à :

Sites
Domaines
Unités d’organisation

Le site, le domaine ou l’unité d’organisation devient alors la portée maximale de l’objet de stratégie de groupe. Les configurations spécifiées par les paramètres de stratégie de l’objet de stratégie de groupe affectent tous les ordinateurs et utilisateurs du site, du domaine ou de l’unité d’organisation, y compris ceux des unités d’organisation enfants. Vous pouvez lier un objet de stratégie de groupe à plusieurs domaines, unités d’organisation ou sites.

Avertissement

Lier des objets de stratégie de groupe à plusieurs sites dans une forêt à plusieurs domaines peut entraîner des problèmes de performances lors de l’application de la stratégie, et, dans cette situation, vous devez éviter de lier des objets de stratégie de groupe à plusieurs sites. En effet, dans un réseau multisite à plusieurs forêts, les objets de stratégie de groupe sont stockés sur les contrôleurs de domaine du domaine dans lequel ils ont été créés. De ce fait, les ordinateurs dans d’autres domaines peuvent devoir traverser un lien de réseau étendu (WAN) lent pour obtenir les objets de stratégie de groupe.

Vous pouvez affiner davantage la portée de l’objet de stratégie de groupe avec l’un des deux types de filtres décrits dans le tableau suivant.

Filtre

Description

Sécurité

Ces filtres spécifient des groupes de sécurité ou des objets d’utilisateur ou d’ordinateur individuels qui se rapportent à la portée d’un objet de stratégie de groupe, mais auxquels l’objet de stratégie de groupe doit explicitement s’appliquer ou ne pas s’appliquer.

WMI

Ce filtre spécifie une portée à l’aide des caractéristiques d’un système, telles que la version du système d’exploitation ou l’espace disque disponible.

Capture d’écran de la console de gestion des stratégies de groupe. L’administrateur a sélectionné un objet de stratégie de groupe lié à l’Unité d’Organisation (OU) Marketing. Dans le volet de détails s'affichent un filtre WMI appelé Périphériques Windows 10 et un filtre de sécurité appliqué au groupe Marketing.

Utilisez les filtres de sécurité et les filtres WMI pour limiter ou spécifier la portée au sein de la portée initiale créée par le lien de l’objet de stratégie de groupe. Voici un exemple de filtre WMI qui produit une liste d’ordinateurs exécutant Windows 10.

select * from Win32_OperatingSystem where Version like "10.%"

Ordre de traitement des objets de stratégie de groupe

Les objets de stratégie de groupe qui s’appliquent à un utilisateur, un ordinateur, ou les deux, ne s’appliquent pas tous en même temps. Les objets de stratégie de groupe s’appliquent dans un ordre particulier. Les paramètres en conflit traités ultérieurement peuvent remplacer les paramètres traités en premier.

La stratégie de groupe suit l’ordre de traitement hiérarchique suivant :

Objets de stratégie de groupe locaux.
Objets de stratégie de groupe liés à un site.
Objets de stratégie de groupe liés à un domaine.
Objets de stratégie de groupe liés à une unité d'organisation.
Objets de stratégie de groupe liés à une unité d’organisation enfant.

Important

Dans la stratégie de groupe, la règle par défaut est que la dernière stratégie (la stratégie la plus spécifique) appliquée prévaut.

Par exemple, une stratégie qui restreint l’accès au panneau de configuration appliquée au niveau du domaine peut être inversée par une stratégie appliquée au niveau de l’unité d’organisation pour les objets contenus dans cette unité d’organisation particulière.

Si vous liez plusieurs objets de stratégie de groupe à une unité d’organisation, leur traitement s’effectue dans l’ordre que l’administrateur spécifie dans l’onglet Objets de stratégie de groupe liés de l’unité d’organisation de la console de gestion des stratégies de groupe. Par défaut, le traitement est activé pour tous les liens de l’objet de stratégie de groupe. Vous pouvez désactiver le lien de l’objet de stratégie de groupe d’un conteneur pour bloquer entièrement l’application d’un objet de stratégie de groupe à un domaine ou une unité d’organisation spécifique. Par exemple, si vous avez apporté une modification récente à un objet de stratégie de groupe et que cela entraîne des problèmes de production, vous pouvez désactiver le lien ou les liens jusqu’à ce que le problème soit résolu.

Remarque

Notez que si l’objet de stratégie de groupe est lié à d’autres conteneurs, ceux-ci continueront à traiter l’objet de stratégie de groupe si leurs liens sont activés.

Vous pouvez également désactiver la configuration de l’utilisateur ou de l’ordinateur d’un objet de stratégie de groupe particulier indépendamment de l’utilisateur ou de l’ordinateur. Si une section d’une stratégie est vide, désactiver l’autre section peut légèrement accélérer le traitement de la stratégie. Par exemple, si vous avez une stratégie qui ne fournit que la configuration de bureau de l’utilisateur, vous pouvez désactiver la section ordinateur de la stratégie.

Héritage des objets de stratégie de groupe

Vous pouvez configurer un paramètre de stratégie dans plusieurs objets de stratégie de groupe, ce qui peut entraîner des conflits entre les objets de stratégie de groupe. Dans ce cas, la précédence des objets de stratégie de groupe détermine le paramètre de stratégie appliqué par le client. Un objet de stratégie de groupe présentant une précédence plus élevée prévaut sur un objet de stratégie de groupe présentant une précédence plus faible. La précédence est déterminée de manière numérique. Chaque objet de stratégie de groupe comporte une valeur de précédence. Plus le numéro est faible, plus la précédence est élevée. Par conséquent, un objet de stratégie de groupe dont la précédence est égale à un prévaut sur tous les autres objets de stratégie de groupe.

Le comportement par défaut de la stratégie de groupe est que les objets de stratégie de groupe liés à un conteneur de niveau supérieur sont hérités par les conteneurs de niveau inférieur. Lorsqu’un ordinateur démarre ou qu’un utilisateur se connecte, les extensions clientes de stratégie de groupe examinent l’emplacement de l’ordinateur ou de l’objet utilisateur dans AD DS et évaluent les objets de stratégie de groupe avec des étendues qui incluent l’ordinateur ou l’utilisateur. Ensuite, les extensions côté client appliquent des paramètres de stratégie à partir de ces objets de stratégie de groupe. Les stratégies s’appliquent de manière séquentielle, en commençant par les stratégies liées au site, suivies de celles qui sont liées au domaine, suivies de celles qui sont liées à des unités d’organisation. Cette application séquentielle des objets de stratégie de groupe crée un effet appelé héritage de stratégie. Les stratégies sont héritées, ce qui signifie que le jeu de stratégies résultant (RSoPs) pour un utilisateur ou un ordinateur est l’effet cumulatif des stratégies de site, de domaine et d’unité d’organisation.

Bloquer l’héritage

Vous pouvez configurer un domaine ou une unité d’organisation pour empêcher l’héritage des paramètres de stratégie. On appelle cette opération blocage de l’héritage. Pour bloquer l’héritage, cliquez avec le bouton droit ou accédez au menu contextuel du domaine ou de l’unité d’organisation dans l’arborescence de la console GPMC, puis sélectionnez Bloquer l’héritage.

Capture d’écran du menu contextuel de l'unité d'organisation 'Marketing' dans la console de gestion des stratégies de groupe. L’administrateur a sélectionné Bloquer l’héritage.

L’option Bloquer l’héritage étant une propriété d’un conteneur, elle bloque tous les paramètres de stratégie de groupe des objets de stratégie de groupe qui sont liés aux parents dans la hiérarchie de stratégie de groupe.

Avertissement

Utilisez l’option Bloquer l’héritage avec modération, car bloquer l’héritage rend plus difficile l’évaluation de la précédence et de l’héritage de la stratégie de groupe.

Conseil / Astuce

Avec le filtrage de groupe de sécurité, vous pouvez définir avec soin la portée d’un objet de stratégie de groupe afin qu’il ne s’applique qu’aux utilisateurs et ordinateurs appropriés en premier lieu, ce qui rend inutile l’utilisation de l’option Bloquer l’héritage.

Appliquer un lien d’objet de stratégie de groupe

En outre, vous pouvez définir un lien d’objet de stratégie de groupe à appliquer. Pour appliquer un lien d’objet de stratégie de groupe, cliquez avec le bouton droit ou accédez au menu contextuel du lien de l’objet de stratégie de groupe dans l’arborescence de la console, puis sélectionnez Appliqué dans le menu contextuel.

Capture d’écran du menu contextuel de l’objet de stratégie de groupe Paramètres de sécurité du domaine par défaut de Contoso dans la console de gestion des stratégies de groupe. L’administrateur a sélectionné Appliqué.

Lorsque vous définissez un lien d’objet de stratégie de groupe sur Appliqué, l’objet de stratégie de groupe adopte la précédence de niveau le plus élevé. Les paramètres de stratégie de cet objet de stratégie de groupe prévalent sur les paramètres de stratégie en conflit dans d’autres objets de stratégie de groupe.

Important

Un lien appliqué s’applique aux conteneurs enfants, même lorsque ces conteneurs sont définis sur Bloquer l’héritage. L’option Appliqué entraîne l’application de la stratégie à tous les objets dans sa portée.

L’option Appliqué est utile lorsque vous devez configurer un objet de stratégie de groupe qui définit une configuration exigée par les stratégies d’utilisation et de sécurité informatiques de votre entreprise. Par conséquent, assurez-vous que les autres objets de stratégie de groupe liés au même niveau ou à des niveaux inférieurs ne remplacent pas ces paramètres. Pour ce faire, vous pouvez appliquer le lien de l’objet de stratégie de groupe.

Évaluation de la précédence

Pour évaluer la précédence d’un GPO, vous pouvez simplement sélectionner une unité d’organisation ou un domaine, puis sélectionner l’onglet Héritage de stratégie de groupe. Cet onglet affiche la précédence résultante des GPO, prenant en compte le lien de GPO, l’ordre des liens, le blocage d’héritage et l’application des liens.

Capture d’écran de la console gestion des stratégies de groupe. L’administrateur a sélectionné l’onglet Héritage de stratégie de groupe pour l’unité d’organisation Marketing. Quatre stratégies sont affichées, dont deux sont appliquées à partir du domaine.

Important

Cet onglet ne prend pas en compte les stratégies liées à un site, pour la sécurité des objets de stratégie de groupe ou le filtrage WMI.

Commentaires

Cette page a-t-elle été utile ?