AcadeNice/Lab_AD_Complet
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
Lab_AD_Complet/docs/etudiant/fr/04-gpo.md
Corentin 8e1b06e090 Initial lab release: Docker-based Active Directory lab 
Complete Active Directory teaching environment based on dockurr/windows:
- Windows Server domain controller, Windows 11 client, Debian 12 client
- docker-compose orchestration, env-driven configuration
- Bilingual documentation (FR + EN) for students
- Dual approach (GUI + PowerShell) in every procedure
- Instructor course plan and reference scripts
- RDP launcher scripts for Linux, macOS and Windows

Made by AcadéNice - https://acadenice.fr/
2026-04-17 11:29:49 +02:00

4.4 KiB
Raw Permalink Blame History

Stratégies de groupe (GPO)

Objectif : créer et lier quelques GPO représentatives d'un cas réel.

Ce qu'est une GPO

Une stratégie de groupe (Group Policy Object) est un ensemble de paramètres qui s'appliquent aux utilisateurs ou aux ordinateurs. Elle s'écrit dans SYSVOL (stocké sur les DC) et se synchronise sur toutes les machines jointes au domaine.

Deux portées principales :

  • Configuration ordinateur : s'applique quand la machine démarre
  • Configuration utilisateur : s'applique quand un utilisateur ouvre session

Une GPO est liée à un conteneur (site, domaine, OU). Les objets situés dans ce conteneur et ses descendants héritent de la GPO. On utilise donc les OU pour cibler : tu peux lier une GPO à l'OU Etudiants et elle ne s'appliquera qu'aux utilisateurs de cette OU.

Scénarios à mettre en place

Pour ce lab, on va créer trois GPO typiques :

  1. Durcir la politique de mot de passe du domaine
  2. Imposer un fond d'écran aux étudiants
  3. Restreindre l'accès au Panneau de configuration pour les étudiants

Politique de mot de passe

Stockée dans la Default Domain Policy, elle s'applique à tout le domaine.

Approche graphique

  1. Ouvrir la console Gestion des stratégies de groupe (gpmc.msc)
  2. Domaine > Default Domain Policy > clic droit > Modifier
  3. Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de compte > Stratégie de mot de passe
  4. Ajuste les paramètres : longueur minimale, complexité, historique, durée

Approche PowerShell

Cmdlet clé : Set-ADDefaultDomainPasswordPolicy.

Set-ADDefaultDomainPasswordPolicy -Identity corp.lab `
    -MinPasswordLength 10 `
    -ComplexityEnabled $true `
    -PasswordHistoryCount 5 `
    -MaxPasswordAge (New-TimeSpan -Days 90) `
    -LockoutThreshold 5 `
    -LockoutDuration (New-TimeSpan -Minutes 15)

GPO "fond d'écran imposé"

Approche graphique

  1. gpmc.msc > Domaine > clic droit sur OU=Etudiants,OU=Utilisateurs,OU=CORP > Créer un objet GPO dans ce domaine et le lier ici
  2. Nomme la GPO (ex : GPO_Etudiants_FondEcran)
  3. Clic droit sur la GPO > Modifier
  4. Configuration utilisateur > Stratégies > Modèles d'administration > Bureau > Bureau
  5. Paramètre Papier peint du bureau > Activé, renseigne le chemin de l'image (ex: C:\Windows\Web\Wallpaper\Windows\img0.jpg) et le style

Approche PowerShell

Cmdlets clés : New-GPO, New-GPLink, Set-GPRegistryValue.

New-GPO -Name "GPO_Etudiants_FondEcran"

Set-GPRegistryValue -Name "GPO_Etudiants_FondEcran" `
    -Key "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" `
    -ValueName "Wallpaper" -Type String -Value "C:\Windows\Web\Wallpaper\Windows\img0.jpg"

New-GPLink -Name "GPO_Etudiants_FondEcran" `
    -Target "OU=Etudiants,OU=Utilisateurs,OU=CORP,DC=corp,DC=lab"

GPO "restriction du Panneau de configuration"

Approche graphique

Même démarche que ci-dessus, paramètre :

Configuration utilisateur > Stratégies > Modèles d'administration > Panneau de configuration > Interdire l'accès au Panneau de configuration et aux paramètres du PC > Activé

Approche PowerShell

New-GPO -Name "GPO_Etudiants_RestrictionsPC"

Set-GPRegistryValue -Name "GPO_Etudiants_RestrictionsPC" `
    -Key "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" `
    -ValueName "NoControlPanel" -Type DWord -Value 1

New-GPLink -Name "GPO_Etudiants_RestrictionsPC" `
    -Target "OU=Etudiants,OU=Utilisateurs,OU=CORP,DC=corp,DC=lab"

Tester l'application

Sur un poste client où un étudiant est connecté :

gpupdate /force
gpresult /r

gpresult liste les GPO effectivement appliquées. Si ta GPO n'apparaît pas, vérifie :

  • l'utilisateur est bien dans la bonne OU ?
  • la GPO est liée à la bonne OU ?
  • l'utilisateur a ApplyGroupPolicy comme droit (filtrage de sécurité) ?
  • la GPO n'est pas filtrée par WMI ?

Points d'attention

  • Évite de modifier la Default Domain Policy au-delà de la politique de mot de passe. Pour le reste, crée toujours une GPO dédiée.
  • L'ordre d'application des GPO est : Local > Site > Domaine > OU (la plus proche l'emporte en cas de conflit).
  • Le blocage d'héritage (Block Inheritance) sur une OU fille casse la chaîne. Utilise-le avec parcimonie.

Étape suivante

05-partages-ntfs.md pour les partages SMB et les permissions NTFS.