AcadeNice/Lab_AD_Complet
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
Lab_AD_Complet/docs/etudiant/fr/04-gpo.md
Corentin 8e1b06e090 Initial lab release: Docker-based Active Directory lab 
Complete Active Directory teaching environment based on dockurr/windows:
- Windows Server domain controller, Windows 11 client, Debian 12 client
- docker-compose orchestration, env-driven configuration
- Bilingual documentation (FR + EN) for students
- Dual approach (GUI + PowerShell) in every procedure
- Instructor course plan and reference scripts
- RDP launcher scripts for Linux, macOS and Windows

Made by AcadéNice - https://acadenice.fr/
2026-04-17 11:29:49 +02:00

130 lines
4.4 KiB
Markdown
Raw Permalink Blame History

# Stratégies de groupe (GPO)
Objectif : créer et lier quelques GPO représentatives d'un cas réel.
## Ce qu'est une GPO
Une stratégie de groupe (Group Policy Object) est un ensemble de paramètres
qui s'appliquent aux utilisateurs ou aux ordinateurs. Elle s'écrit dans
`SYSVOL` (stocké sur les DC) et se synchronise sur toutes les machines jointes
au domaine.
Deux portées principales :
- `Configuration ordinateur` : s'applique quand la machine démarre
- `Configuration utilisateur` : s'applique quand un utilisateur ouvre session
Une GPO est **liée** à un conteneur (site, domaine, OU). Les objets situés dans
ce conteneur et ses descendants héritent de la GPO. On utilise donc les OU
pour cibler : tu peux lier une GPO à l'OU `Etudiants` et elle ne s'appliquera
qu'aux utilisateurs de cette OU.
## Scénarios à mettre en place
Pour ce lab, on va créer trois GPO typiques :
1. Durcir la politique de mot de passe du domaine
2. Imposer un fond d'écran aux étudiants
3. Restreindre l'accès au Panneau de configuration pour les étudiants
## Politique de mot de passe
Stockée dans la `Default Domain Policy`, elle s'applique à tout le domaine.
### Approche graphique
1. Ouvrir la console `Gestion des stratégies de groupe` (`gpmc.msc`)
2. Domaine > `Default Domain Policy` > clic droit > `Modifier`
3. `Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de compte > Stratégie de mot de passe`
4. Ajuste les paramètres : longueur minimale, complexité, historique, durée
### Approche PowerShell
Cmdlet clé : `Set-ADDefaultDomainPasswordPolicy`.
```
Set-ADDefaultDomainPasswordPolicy -Identity corp.lab `
-MinPasswordLength 10 `
-ComplexityEnabled $true `
-PasswordHistoryCount 5 `
-MaxPasswordAge (New-TimeSpan -Days 90) `
-LockoutThreshold 5 `
-LockoutDuration (New-TimeSpan -Minutes 15)
```
## GPO "fond d'écran imposé"
### Approche graphique
1. `gpmc.msc` > Domaine > clic droit sur `OU=Etudiants,OU=Utilisateurs,OU=CORP` > `Créer un objet GPO dans ce domaine et le lier ici`
2. Nomme la GPO (ex : `GPO_Etudiants_FondEcran`)
3. Clic droit sur la GPO > `Modifier`
4. `Configuration utilisateur > Stratégies > Modèles d'administration > Bureau > Bureau`
5. Paramètre `Papier peint du bureau` > `Activé`, renseigne le chemin de
l'image (ex: `C:\Windows\Web\Wallpaper\Windows\img0.jpg`) et le style
### Approche PowerShell
Cmdlets clés : `New-GPO`, `New-GPLink`, `Set-GPRegistryValue`.
```
New-GPO -Name "GPO_Etudiants_FondEcran"
Set-GPRegistryValue -Name "GPO_Etudiants_FondEcran" `
-Key "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" `
-ValueName "Wallpaper" -Type String -Value "C:\Windows\Web\Wallpaper\Windows\img0.jpg"
New-GPLink -Name "GPO_Etudiants_FondEcran" `
-Target "OU=Etudiants,OU=Utilisateurs,OU=CORP,DC=corp,DC=lab"
```
## GPO "restriction du Panneau de configuration"
### Approche graphique
Même démarche que ci-dessus, paramètre :
`Configuration utilisateur > Stratégies > Modèles d'administration > Panneau de configuration > Interdire l'accès au Panneau de configuration et aux paramètres du PC > Activé`
### Approche PowerShell
```
New-GPO -Name "GPO_Etudiants_RestrictionsPC"
Set-GPRegistryValue -Name "GPO_Etudiants_RestrictionsPC" `
-Key "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" `
-ValueName "NoControlPanel" -Type DWord -Value 1
New-GPLink -Name "GPO_Etudiants_RestrictionsPC" `
-Target "OU=Etudiants,OU=Utilisateurs,OU=CORP,DC=corp,DC=lab"
```
## Tester l'application
Sur un poste client où un étudiant est connecté :
```
gpupdate /force
gpresult /r
```
`gpresult` liste les GPO effectivement appliquées. Si ta GPO n'apparaît pas,
vérifie :
- l'utilisateur est bien dans la bonne OU ?
- la GPO est liée à la bonne OU ?
- l'utilisateur a `ApplyGroupPolicy` comme droit (filtrage de sécurité) ?
- la GPO n'est pas filtrée par WMI ?
## Points d'attention
- Évite de modifier la `Default Domain Policy` au-delà de la politique de mot
de passe. Pour le reste, crée toujours une GPO dédiée.
- L'ordre d'application des GPO est : Local > Site > Domaine > OU
(la plus proche l'emporte en cas de conflit).
- Le blocage d'héritage (`Block Inheritance`) sur une OU fille casse la chaîne.
Utilise-le avec parcimonie.
## Étape suivante
`05-partages-ntfs.md` pour les partages SMB et les permissions NTFS.
Reference in a new issue View git blame Copy permalink