Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La stratégie de groupe permet la configuration et la gestion des paramètres des paramètres utilisateur et ordinateur sur les ordinateurs exécutant des systèmes d’exploitation Windows Server et Client Windows. Outre l’utilisation de la stratégie de groupe pour définir des configurations pour des groupes d’utilisateurs et d’ordinateurs clients, vous pouvez également utiliser la stratégie de groupe pour gérer les ordinateurs serveur, en configurant de nombreux paramètres opérationnels et de sécurité spécifiques au serveur.
Qu’est-ce qu’une stratégie de groupe
La stratégie de groupe peut représenter les paramètres de stratégie localement dans le système de fichiers ou dans les services de domaine Active Directory (AD DS). Lorsqu’ils sont utilisés avec Active Directory (AD), les paramètres de stratégie de groupe sont contenus dans un objet de stratégie de groupe (GPO). Un objet de stratégie de groupe (GPO) est un ensemble virtuel de paramètres de stratégie, de permissions de sécurité et d’étendue de gestion (SOM) que vous pouvez appliquer aux utilisateurs et aux ordinateurs dans AD. Un GPO se compose de deux éléments principaux : le conteneur de stratégie de groupe et le modèle de stratégie de groupe. Le conteneur de stratégie de groupe est stocké dans la partition de domaine d’Active Directory, tandis que le modèle de stratégie de groupe se trouve dans le dossier SYSVOL sur chaque contrôleur de domaine (DC).
Ces composants sont répliqués sur les contrôleurs de domaine via la réplication AD et le service de réplication de fichiers (FRS) ou la réplication du système de fichiers distribués (DFSR).
Les objets de stratégie de groupe incluent des configurations pour les paramètres de l’ordinateur et de l’utilisateur. Les configurations ordinateur appliquent des paramètres à l’échelle du système et gèrent des paramètres tels que la gestion de l’alimentation et les règles de pare-feu. Les configurations utilisateur affectent uniquement l’utilisateur actuel, avec des options telles que les paramètres Internet Explorer et la redirection de dossiers. Les GPOs peuvent être liées à différents niveaux au sein de la hiérarchie Active Directory, tels que les sites, les domaines et les unités organisationnelles (UO), qui définissent leur étendue d’application.
Les paramètres de stratégie sont appliqués au démarrage de l’ordinateur et à la connexion de l’utilisateur. Le service de stratégie de groupe détermine les GPO applicables en interrogeant l'AD en fonction de l’appartenance au site, au domaine et à l'OU. Une extension côté client (CSE) applique les paramètres spécifiques dictés par les objets de stratégie de groupe, en gérant les tâches telles que les mises à jour du Registre et les configurations de sécurité. Les paramètres de stratégie sont appliqués aux ordinateurs lorsqu’ils démarrent et aux utilisateurs lorsqu’ils se connectent. Lorsqu’un ordinateur démarre, le service de stratégie de groupe vérifie AD pour déterminer quels objets de stratégie de groupe sont liés et applicables à l’objet ordinateur, notamment :
Site dans lequel réside l’ordinateur.
Domaine dans lequel l’ordinateur est membre.
Unité d’organisation parente à laquelle l’ordinateur est membre direct et toutes les autres unités organisationnelles au-dessus de l’unité d’organisation parente.
Les préférences de stratégie de groupe offrent des fonctionnalités de gestion similaires à celles des stratégies de groupe standard et sont gérées de la même façon. Les administrateurs peuvent créer et gérer des objets de stratégie de groupe à l’aide de l’éditeur de stratégie de groupe local (gpedit.msc) pour les paramètres locaux ou l’éditeur d’objets de stratégie de groupe dans un composant logiciel enfichable MMC associé à AD pour les paramètres à l’échelle du domaine. Chaque objet de stratégie de groupe possède un identifiant unique global (GUID) et suit la structure hiérarchique de l’AD pour l’évaluation des stratégies. Une compréhension approfondie de la création, de la modification et de la liaison des objets de stratégie de groupe (GPO) au sein d'Active Directory est essentielle pour une gestion efficace des stratégies. Les GPO sont stockés à la fois dans Active Directory et dans le dossier SYSVOL sur chaque contrôleur de domaine, ce qui facilite l'administration centralisée et l'application des stratégies.
Extensions côté client
Un CSE de stratégie de groupe est un composant isolé responsable du traitement des paramètres de stratégie spécifiques fournis par l’infrastructure de stratégie de groupe. Chaque CSE gère et stocke ses données de stratégie dans son propre format, indépendamment de l’infrastructure de stratégie de groupe, qui n’interprète pas ni ne gère les détails de ces données. La fonction principale de la stratégie de groupe consiste à fournir des paramètres à un ordinateur, où chaque CSE applique sa partie des paramètres de stratégie à partir de plusieurs objets de stratégie de groupe.
Imaginez l’infrastructure de stratégie de groupe en tant que système de bibliothèque. Le système de bibliothèque gère et distribue des livres (ou des données) à différentes branches (les ordinateurs). La bibliothèque n’a pas besoin de comprendre le contenu de chaque livre ; il s’assure simplement que le livre correct arrive à la bonne branche. Dans cette analogie, le service de stratégie de groupe est semblable au système de bibliothèque, fournissant des livres sans connaître leur contenu. Les différents paramètres de stratégie sont comme des genres ou des collections de livres différents. Le CSE de stratégie de groupe représente un bibliothécaire dans chaque branche, qui sait comment gérer sa collection spécifique. Tout comme chaque bibliothécaire est équipé pour gérer sa collection, chaque CSE lit ses informations de paramètre de stratégie spécifiques et effectue des actions en fonction de ce qu’il trouve dans ces paramètres.
Fonctionnement de la stratégie de groupe
Pour les ordinateurs, la stratégie de groupe est appliquée au démarrage de l’ordinateur. Pour les utilisateurs, la stratégie de groupe est appliquée lors de la connexion. Ce traitement initial de la stratégie peut également être appelé application de stratégie de premier plan.
L’application de premier plan de la stratégie de groupe peut être synchrone ou asynchrone. En mode synchrone, l’ordinateur ne termine pas le démarrage du système tant que la stratégie d’ordinateur n’est pas appliquée correctement. Le processus de connexion de l’utilisateur ne se termine pas tant que la stratégie utilisateur n’est pas appliquée correctement. En mode asynchrone, s’il n’existe aucune modification de stratégie nécessitant un traitement synchrone, l’ordinateur peut terminer la séquence de démarrage avant la fin de l’application de la stratégie d’ordinateur. Le shell peut être disponible pour l’utilisateur avant que l’application de la stratégie utilisateur soit effective. Le système applique ensuite régulièrement (actualise) la stratégie de groupe en arrière-plan. Pendant une actualisation, les paramètres de stratégie sont appliqués de manière asynchrone.
Pour en savoir plus sur le fonctionnement des stratégies de groupe, consultez Traitement des stratégies de groupe.
Qu’est-ce qu’une unité d’organisation ?
Une unité d’organisation est le conteneur AD de niveau le plus bas auquel vous pouvez attribuer des paramètres de stratégie de groupe. En règle générale, vous affectez la plupart des objets de stratégie de groupe au niveau de l’unité d’organisation : veillez donc à ce que la structure de votre unité d’organisation prenne en charge votre stratégie de gestion des clients basée sur une stratégie de groupe. Vous pouvez également appliquer certains paramètres de stratégie de groupe au niveau du domaine, en particulier les stratégies de mot de passe. Peu de paramètres de stratégie sont appliqués au niveau du site. Une structure OU bien conçue, qui reflète la structure administrative de votre organisation et utilise l'héritage des stratégies de groupe, simplifie l'application de ces stratégies. Par exemple, une structure d’unité d’organisation bien conçue peut empêcher la duplication de certains objets de stratégie de groupe afin de pouvoir appliquer ces objets de stratégie de groupe à différentes parties de l’organisation. Si possible, créez des unités d’organisation pour déléguer l’autorité administrative et aider à implémenter la stratégie de groupe.
La conception des unités d'organisation nécessite de trouver un équilibre entre la délégation des droits d'administration de manière indépendante des besoins liés à la stratégie de groupe et la nécessité de définir l'application de la stratégie de groupe. Vous pouvez créer des unités d’organisation au sein d’un domaine et déléguer un contrôle administratif pour des unités d’organisation spécifiques à des utilisateurs ou groupes particuliers. En utilisant une structure dans laquelle les unités d’organisation contiennent des objets homogènes, tels que des objets utilisateur ou ordinateur, mais pas les deux, vous pouvez facilement désactiver ces sections d'un GPO qui ne s'appliquent pas à un type d’objet particulier. Cette approche de la conception de l’unité d’organisation réduit la complexité et améliore la vitesse à laquelle la stratégie de groupe est appliquée. Les objets de stratégie de groupe liés aux couches supérieures de la structure d’unité d’organisation sont hérités par défaut pour les unités d’organisation au niveau de la couche inférieure, ce qui réduit la nécessité de dupliquer des objets de stratégie de groupe ou de lier un objet de stratégie de groupe à plusieurs conteneurs.
Contenu connexe
- Traitement des stratégies de groupe
- Sauvegarde, restauration, migration et copie d’objets de stratégie de groupe (GPO)
- Résultats de la modélisation des stratégies de groupe et de la stratégie de groupe
- Console de gestion des stratégies de groupe (GPMC)
- Paramètres de stratégie de groupe utilisés dans l’authentification Windows