# Stratégies de groupe (GPO) Objectif : créer et lier quelques GPO représentatives d'un cas réel. ## Ce qu'est une GPO Une stratégie de groupe (Group Policy Object) est un ensemble de paramètres qui s'appliquent aux utilisateurs ou aux ordinateurs. Elle s'écrit dans `SYSVOL` (stocké sur les DC) et se synchronise sur toutes les machines jointes au domaine. Deux portées principales : - `Configuration ordinateur` : s'applique quand la machine démarre - `Configuration utilisateur` : s'applique quand un utilisateur ouvre session Une GPO est **liée** à un conteneur (site, domaine, OU). Les objets situés dans ce conteneur et ses descendants héritent de la GPO. On utilise donc les OU pour cibler : tu peux lier une GPO à l'OU `Etudiants` et elle ne s'appliquera qu'aux utilisateurs de cette OU. ## Scénarios à mettre en place Pour ce lab, on va créer trois GPO typiques : 1. Durcir la politique de mot de passe du domaine 2. Imposer un fond d'écran aux étudiants 3. Restreindre l'accès au Panneau de configuration pour les étudiants ## Politique de mot de passe Stockée dans la `Default Domain Policy`, elle s'applique à tout le domaine. ### Approche graphique 1. Ouvrir la console `Gestion des stratégies de groupe` (`gpmc.msc`) 2. Domaine > `Default Domain Policy` > clic droit > `Modifier` 3. `Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de compte > Stratégie de mot de passe` 4. Ajuste les paramètres : longueur minimale, complexité, historique, durée ### Approche PowerShell Cmdlet clé : `Set-ADDefaultDomainPasswordPolicy`. ``` Set-ADDefaultDomainPasswordPolicy -Identity corp.lab ` -MinPasswordLength 10 ` -ComplexityEnabled $true ` -PasswordHistoryCount 5 ` -MaxPasswordAge (New-TimeSpan -Days 90) ` -LockoutThreshold 5 ` -LockoutDuration (New-TimeSpan -Minutes 15) ``` ## GPO "fond d'écran imposé" ### Approche graphique 1. `gpmc.msc` > Domaine > clic droit sur `OU=Etudiants,OU=Utilisateurs,OU=CORP` > `Créer un objet GPO dans ce domaine et le lier ici` 2. Nomme la GPO (ex : `GPO_Etudiants_FondEcran`) 3. Clic droit sur la GPO > `Modifier` 4. `Configuration utilisateur > Stratégies > Modèles d'administration > Bureau > Bureau` 5. Paramètre `Papier peint du bureau` > `Activé`, renseigne le chemin de l'image (ex: `C:\Windows\Web\Wallpaper\Windows\img0.jpg`) et le style ### Approche PowerShell Cmdlets clés : `New-GPO`, `New-GPLink`, `Set-GPRegistryValue`. ``` New-GPO -Name "GPO_Etudiants_FondEcran" Set-GPRegistryValue -Name "GPO_Etudiants_FondEcran" ` -Key "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" ` -ValueName "Wallpaper" -Type String -Value "C:\Windows\Web\Wallpaper\Windows\img0.jpg" New-GPLink -Name "GPO_Etudiants_FondEcran" ` -Target "OU=Etudiants,OU=Utilisateurs,OU=CORP,DC=corp,DC=lab" ``` ## GPO "restriction du Panneau de configuration" ### Approche graphique Même démarche que ci-dessus, paramètre : `Configuration utilisateur > Stratégies > Modèles d'administration > Panneau de configuration > Interdire l'accès au Panneau de configuration et aux paramètres du PC > Activé` ### Approche PowerShell ``` New-GPO -Name "GPO_Etudiants_RestrictionsPC" Set-GPRegistryValue -Name "GPO_Etudiants_RestrictionsPC" ` -Key "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" ` -ValueName "NoControlPanel" -Type DWord -Value 1 New-GPLink -Name "GPO_Etudiants_RestrictionsPC" ` -Target "OU=Etudiants,OU=Utilisateurs,OU=CORP,DC=corp,DC=lab" ``` ## Tester l'application Sur un poste client où un étudiant est connecté : ``` gpupdate /force gpresult /r ``` `gpresult` liste les GPO effectivement appliquées. Si ta GPO n'apparaît pas, vérifie : - l'utilisateur est bien dans la bonne OU ? - la GPO est liée à la bonne OU ? - l'utilisateur a `ApplyGroupPolicy` comme droit (filtrage de sécurité) ? - la GPO n'est pas filtrée par WMI ? ## Points d'attention - Évite de modifier la `Default Domain Policy` au-delà de la politique de mot de passe. Pour le reste, crée toujours une GPO dédiée. - L'ordre d'application des GPO est : Local > Site > Domaine > OU (la plus proche l'emporte en cas de conflit). - Le blocage d'héritage (`Block Inheritance`) sur une OU fille casse la chaîne. Utilise-le avec parcimonie. ## Étape suivante `05-partages-ntfs.md` pour les partages SMB et les permissions NTFS.