System
Difficulte: Intermediate
5 min de lecture

GPO sur Windows Server : Gestion centralisée

Guide pour configurer les Group Policy Objects (GPO) sur Windows Server afin de gérer les configurations des postes de travail et des utilisateurs.

Retour aux tutoriels
Qu'est-ce qu'une GPO ?
Un Objet de Stratégie de Groupe (GPO - Group Policy Object) est un ensemble de paramètres de configuration qui peut être appliqué à des utilisateurs et/ou des ordinateurs dans un environnement Active Directory. C'est l'outil principal de Microsoft pour imposer une configuration standardisée et des règles de sécurité sur un parc informatique.

Pourquoi utiliser les GPO ?

  • Gestion centralisée : Configurez des milliers de machines depuis une seule console.
  • Sécurité : Appliquez des politiques de sécurité cohérentes (complexité des mots de passe, règles de pare-feu, restrictions logicielles...).
  • Standardisation : Assurez-vous que tous les postes de travail ont la même configuration de base (fond d'écran, imprimantes, raccourcis...).
  • Automatisation : Déployez des logiciels, des scripts de connexion, ou des mappages de lecteurs réseau automatiquement.

Prérequis

  • Un environnement Active Directory fonctionnel (au moins un Contrôleur de Domaine).
  • Des droits d'Administrateur de Domaine ou une délégation de permissions appropriée.
  • Des postes clients joints au domaine.

Les bases de la gestion des GPO

La gestion se fait via la console "Gestion de la stratégie de groupe" (Group Policy Management Console - GPMC), accessible depuis les Outils d'administration sur un contrôleur de domaine.

Structure et héritage

Les GPO peuvent être liées à différents niveaux de la hiérarchie Active Directory :

  1. Domaine : Appliqué à tous les utilisateurs et ordinateurs du domaine.
  2. Unité d'Organisation (OU - Organizational Unit) : Appliqué uniquement aux objets contenus dans cette OU et ses sous-OU. C'est la méthode la plus courante et la plus flexible.
  3. Site : Basé sur la topologie réseau (plus rare).

Par défaut, les paramètres s'appliquent de manière hiérarchique (Domaine -> OU parente -> OU enfant). Une GPO liée à un niveau plus bas écrase les paramètres d'une GPO de niveau supérieur.

Créer et lier une GPO

Étape 1 : Créer l'objet GPO

  1. Ouvrez la console "Gestion de la stratégie de groupe".
  2. Développez votre forêt et votre domaine.
  3. Faites un clic droit sur "Objets de stratégie de groupe" et sélectionnez "Nouveau".
  4. Donnez un nom explicite à votre GPO, par exemple "Securite-Postes-Travail".

Étape 2 : Lier la GPO à une OU

  1. Naviguez jusqu'à l'OU où vous souhaitez appliquer la politique (ex: une OU contenant vos ordinateurs de bureau).
  2. Faites un clic droit sur l'OU et sélectionnez "Lier un objet de stratégie de groupe existant...".
  3. Choisissez la GPO que vous venez de créer dans la liste.

Étape 3 : Modifier la GPO

  1. Dans la console, sous l'OU, faites un clic droit sur votre nouvelle GPO et sélectionnez "Modifier...".
  2. L'"Éditeur de gestion des stratégies de groupe" s'ouvre. C'est ici que vous configurez les paramètres.

Configuration Ordinateur vs Configuration Utilisateur

  • Configuration ordinateur : S'applique à l'ordinateur, quel que soit l'utilisateur qui s'y connecte. Les paramètres sont appliqués au démarrage de la machine. Ex: installation de logiciels, règles de pare-feu.
  • Configuration utilisateur : S'applique à l'utilisateur, quel que soit l'ordinateur sur lequel il se connecte. Les paramètres sont appliqués à l'ouverture de session. Ex: mappage de lecteurs réseau, fond d'écran.

Exemple : Forcer un fond d'écran

  1. Dans l'éditeur de GPO, allez à : Configuration utilisateur -> Stratégies -> Modèles d'administration -> Bureau -> Bureau.
  2. Double-cliquez sur le paramètre "Papier peint du Bureau".
  3. Cochez "Activé", spécifiez le chemin d'accès à une image sur un partage réseau accessible par tous (ex: `\serveur\partage\fond-ecran.jpg`), et choisissez un style (ex: "Etirer").
  4. Cliquez sur OK.

Application et dépannage

Forcer la mise à jour des GPO

Par défaut, les clients rafraîchissent les GPO toutes les 90 à 120 minutes. Pour tester immédiatement, vous pouvez forcer la mise à jour sur un poste client avec la commande :

gpupdate /force

Vérifier les GPO appliquées

L'outil gpresult est votre meilleur ami pour le dépannage.

# Générer un rapport HTML détaillé des GPO appliquées à l'utilisateur et l'ordinateur actuels
gpresult /h C:\temp\rapport_gpo.html

Ouvrez ce rapport dans un navigateur pour voir exactement quelles GPO ont été appliquées et quels paramètres en résultent.

Le filtrage de sécurité
Par défaut, une GPO s'applique à tous les "Utilisateurs authentifiés". Vous pouvez affiner cela en utilisant le "Filtrage de sécurité" dans la console GPMC pour ne cibler qu'un groupe de sécurité spécifique (ex: un groupe "Comptabilité" ou "PC-Portables").
GPO de domaine par défaut
Soyez très prudent en modifiant les deux GPO créées par défaut : "Default Domain Policy" et "Default Domain Controllers Policy". La "Default Domain Policy" devrait idéalement ne contenir que les paramètres de politique de mot de passe pour le domaine.

Conclusion

Les GPO sont le pilier de la gestion d'un parc Windows en entreprise. Leur maîtrise est une compétence fondamentale pour tout administrateur système. En structurant correctement vos Unités d'Organisation et en créant des GPO modulaires et bien documentées, vous pouvez gérer un environnement complexe de manière efficace, cohérente et sécurisée.