Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Active Directory et Windows PowerShell en action
  3. La gestion des stratégies de groupe
Extrait - Active Directory et Windows PowerShell en action
Extraits du livre
Active Directory et Windows PowerShell en action
5 avis
Revenir à la page d'achat du livre

La gestion des stratégies de groupe

Introduction

Nous voici arrivés à un des points nodaux de la technologie Active Directory : les stratégies de groupe, ou GPO (Group Policy Object). En effet, Active Directory est un service d’annuaire globalement distribué, mais présentant aussi des dispositifs de centralisation tout à fait puissants. Et cet aspect duel représente un atout majeur de la technologie Active Directory, car il s’agit là de la mise en pratique d’une philosophie consistant à permettre l’accès aux ressources d’une infrastructure à partir de multiples points d’un même réseau, tout en centralisant la gestion et l’administration de ces ressources. 

Ce principe de fonctionnement de l’Active Directory est générateur d’autres principes dont les stratégies de groupe sont l’un des éléments centraux. Il est donc essentiel de comprendre ce que revêt ce principe, dont les contours seront tracés dans la première partie de ce chapitre. Après avoir saisi le fonctionnement des stratégies de groupe dans l’écosystème Active Directory, nous tenterons de mieux les analyser avec Windows PowerShell en effectuant des manipulations comme l’obtention ou la création d’objets représentant des stratégies de groupe. PowerShell nous offre aussi...

Qu’est-ce qu’une stratégie de groupe ?

Le principe fondateur des stratégies de groupe réside finalement dans deux termes : « centralisation » et « configuration ». Par centralisation, nous entendons une gestion centralisée de deux grandes catégories de paramètres :

  • Les paramètres liés aux utilisateurs : ce sont des paramètres s’appliquant aux utilisateurs dits « authentifiés » et prenant effet lors de l’ouverture de session ;

  • Les paramètres liés aux ordinateurs : ce sont des paramètres s’appliquant aux ordinateurs existant dans un environnement Active Directory et s’appliquant lors du démarrage et du cycle de rafraîchissement (en cas de session fermée).

Active Directory centralise une foultitude de paramètres influant directement sur ces deux catégories, et évitant aux administrateurs de perdre un temps précieux, car une situation inverse, dans des infrastructures constituées de milliers de comptes d’utilisateurs et d’ordinateurs, reviendrait à montrer des processus de gestion catastrophiques et dénués de tout sens pratique.

Le terme de centralisation nous amène à celui de configuration. Par configuration, nous entendons une prise en charge presque intégrale...

Lister les GPO existant au sein d’un domaine

Au même titre que les unités d’organisation, les stratégies de groupe existant au sein d’un domaine Active Directory doivent être connues des administrateurs dans le but de mieux apprécier l’infrastructure dont il est question. Il est un fait que dans beaucoup d’infrastructures les administrateurs, même s’ils ne peuvent pas gérer l’ensemble des éléments d’une organisation Active Directory, ont cependant une vue qui leur en est proposée.

Cette vue est, comme son nom l’indique, un moyen d’analyser l’existant d’un point de vue organisationnel. Et cela est une donnée majeure parce que dans de grandes infrastructures où tout est segmenté, il est important de relier la partie dont nous avons la responsabilité au tout qui englobe cette partie. De cette façon, les administrateurs seront mieux à même de comprendre une organisation Active Directory dans sa globalité.

1. La cmdlet Get-GPO

Windows PowerShell, en proposant la commande Get-GPO, permet d’avoir une vision concrète des stratégies de groupe. Son principe est d’interroger un domaine spécifié, ou celui par défaut, pour lister une ou plusieurs stratégies de groupe en sortie. Cette cmdlet ayant un angle de recherche très précis, elle dispose de paramètres ayant une portée à l’échelle d’un domaine visé :

Le paramètre -Name

Ce paramètre spécifie un nom de stratégie de groupe par son nom d’affichage. Cette valeur ne garantit pas l’unicité de l’objet recherché.

Le paramètre -Guid

Ce paramètre spécifie une stratégie de groupe par sa valeur GUID, ce qui garantit l’unicité de l’objet recherché.

Le paramètre -Domain

Ce paramètre spécifie un nom de domaine Active Directory par sa valeur FQDN (Fully Qualified Domain Name).

Le paramètre -Server

Ce paramètre spécifie une instance AD DS à laquelle se connecter pour effectuer une opération de recherche de stratégies...

Créer une GPO

La création d’une stratégie de groupe nécessite d’abord de définir un certain nombre de caractéristiques du point de vue de l’organisation d’une infrastructure. En effet, une stratégie de groupe est un objet ayant des propriétés propres, comme d’autres objets existant dans l’environnement Active Directory, mais avec un poids cette fois-ci plus important qu’un objet représentant par exemple un compte d’utilisateur dans la mesure où une stratégie de groupe est intimement liée à la notion d’architecture de l’infrastructure Active Directory. Donc, mettre en place une stratégie de groupe exige des prérequis avant de passer au processus de création en tant que tel. Lorsque les contours de la stratégie de groupe sont clairement définis, alors l’étape suivante sera sa création, et ce quel que soit l’outil utilisé. Dans notre cas, nous utiliserons très exactement trois commandes nous permettant de créer une GPO : New-GPO, Set-GPPrefRegistryValue et New-GPLink.

1. La cmdlet New-GPO

La commande New-GPO est la première cmdlet à utiliser pour la création d’une stratégie de groupe avec la technologie Windows PowerShell. New-GPO a la particularité de créer un objet représentant une stratégie de groupe sans réaliser de liens possibles. Une GPO peut en effet être liée à plusieurs autres objets comme des unités d’organisation, des domaines, ou des sites. Voici ses paramètres les plus importants :

Le paramètre -Comment

Ce paramètre spécifie un commentaire décrivant la stratégie de groupe créée.

Le paramètre -Domain

Ce paramètre spécifie le nom du domaine où la stratégie de groupe sera créée.

Le paramètre -Name

Ce paramètre spécifie le nom de la GPO.

Le paramètre -StarterGpoGuid

Ce paramètre spécifie une valeur GUID d’une GPO servant de modèle structurel à la création d’une nouvelle GPO.

Le paramètre -StarterGpoName

Identique au paramètre précédent, à la différence que la valeur spécifiée...

Générer un rapport HTML affichant les données d’une GPO

Lorsque plusieurs stratégies de groupe existent à l’échelle d’un domaine, il devient de plus en plus difficile d’étudier chacune d’entre elles, tout simplement parce que le nombre de données de configuration qu’une stratégie de groupe contient peut potentiellement être important. Si une trentaine de stratégies de groupe sont appliquées dans un domaine Active Directory, alors toutes les étudier par le mécanisme fourni via une arborescence de domaine se révélera très vite inefficace. Heureusement, la console GPMC dispose déjà d’un mécanisme proposant l’étude des stratégies de groupe par le biais de rapports HTML, mais qu’en est-il de Windows PowerShell ? Propose-t-il lui aussi des facilités en la matière ? La réponse est évidemment oui, et la commande Get-GPOReport en est la preuve.

1. La cmdlet Get-GPOReport

Avec PowerShell, la cmdlet Get-GPOReport nous donne la possibilité de créer des rapports HTML... et même XML. Un rapport produit par cette commande énumère la configuration d’une stratégie de groupe comme les préférences liées à la partie utilisateur, mais aussi celles liées à la partie ordinateur. En outre, d’autres informations comme les filtres de sécurité ou les filtres WMI y figurent aussi. Get-GPOReport...

Sauvegarder une GPO

Le maintien d’une infrastructure Active Directory passe notamment par la sauvegarde de ses éléments importants. Parmi ces éléments figurent évidemment les stratégies de groupe. La sauvegarde d’une stratégie de groupe autorise le phénomène de « photographie » à un instant T, et permet une restauration dans le futur si les circonstances l’exigent.

1. La cmdlet Backup-GPO

L’opération consistant à sauvegarder une stratégie de groupe avec Windows PowerShell nous est proposée par Backup-GPO. En effet, cette cmdlet effectue une sauvegarde de tout ou partie des stratégies de groupe existant au sein d’un domaine Active Directory. Du point de vue de l’automatisation des processus de sauvegardes de GPO, Backup-GPO est un atout majeur que les administrateurs Active Directory pourront utiliser dans les scripts qu’ils écriront.

En outre, la manipulation de cette commande est tout à fait aisée, vu le nombre réduit de paramètres dont elle dispose :

Le paramètre -All

Ce paramètre spécifie que toutes les stratégies de groupe d’un domaine doivent être sauvegardées.

Le paramètre -Domain

Ce paramètre spécifie le nom de domaine où l’opération de sauvegarde aura lieu.

Le paramètre...