Il s'agit d'une question canonique sur les bases de la stratégie de groupe Active Directory

Qu'est-ce que la stratégie de groupe? Comment ça marche et pourquoi devrais-je l'utiliser?

_{Remarque: Il s'agit d'une question et réponse à un nouvel administrateur qui ne connaît peut-être pas son fonctionnement et sa puissance.}

Qu'est-ce que la stratégie de groupe?

La stratégie de groupe est un outil disponible pour les administrateurs qui exécutent un domaine Active Directory Windows 2000 ou version ultérieure . Il permet une gestion centralisée des paramètres sur les ordinateurs clients et les serveurs joints au domaine et fournit un moyen rudimentaire de distribuer les logiciels.

Les paramètres sont regroupés en objets appelés objets de stratégie de groupe (GPO). Les objets de stratégie de groupe sont liés à une unité d'organisation (OU) Active Directory et peuvent être appliqués aux utilisateurs et aux ordinateurs. Les objets de stratégie de groupe ne peuvent pas être appliqués directement à des groupes, mais vous pouvez utiliser le filtrage de sécurité ou le ciblage au niveau de l'élément pour filtrer l'application de stratégie en fonction de l'appartenance au groupe.

C'est cool, que peut-il faire?

N'importe quoi.

Sérieusement, vous pouvez faire tout ce que vous voulez aux utilisateurs ou aux ordinateurs de votre domaine. Il existe des centaines de paramètres prédéfinis pour des choses comme la redirection de dossiers, la complexité des mots de passe, les paramètres d'alimentation, les mappages de lecteurs, le chiffrement des lecteurs, Windows Update , etc. Tout ce que vous ne pouvez pas configurer via un paramètre prédéfini que vous pouvez contrôler via un script. Les scripts Batch et VBScript sont pris en charge sur tous les clients pris en charge et les scripts PowerShell peuvent être exécutés sur les hôtes Windows 7.

Astuce professionnelle: vous pouvez réellement exécuter des scripts de démarrage PowerShell sur des hôtes Windows XP et Windows Vista aussi longtemps qu'ils ont PowerShell 2.0 installé. Vous pouvez créer un fichier batch qui appelle le script avec cette syntaxe:

powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted

La première ligne permet d'exécuter des scripts non signés à partir de partages distants sur cet hôte et la deuxième ligne appelle le script à partir du fichier de commandes. Le troisième ensemble de lignes définit la politique sur restreint (par défaut) pour une sécurité maximale.

Comment les objets de stratégie de groupe sont-ils appliqués?

Les objets de stratégie de groupe sont appliqués dans un ordre prévisible. Les politiques locales sont appliquées en premier. Des stratégies sont définies sur la machine locale via gpedit.msc. Les politiques du site sont appliquées en second. Les stratégies de domaine sont appliquées en troisième et les stratégies d'unité d'organisation sont appliquées en quatrième. Si un objet est imbriqué dans plusieurs unités d'organisation, les objets de stratégie de groupe sont appliqués en premier sur les unités d'organisation les plus proches de la racine.

Gardez à l'esprit qu'en cas de conflit, le dernier GPO appliqué "gagne". Cela signifie, par exemple, que la stratégie liée à l'unité d'organisation dans laquelle un ordinateur réside gagnera s'il y a un conflit entre un paramètre dans cet objet de stratégie de groupe et celui lié dans une unité d'organisation parent.

Les scripts de connexion et de démarrage semblent cool, comment fonctionnent-ils?

Un script d'ouverture de session ou de démarrage peut vivre sur n'importe quel partage réseau tant que les groupes Domain Userset Domain Computersont un accès en lecture au partage sur lequel ils se trouvent. Traditionnellement, ils résident \\domain.tld\sysvol, mais ce n'est pas une exigence.

Les scripts de démarrage sont exécutés au démarrage de l'ordinateur. Ils sont exécutés en tant que compte SYSTEM sur la machine locale. Cela signifie qu'ils accèdent aux ressources réseau en tant que compte de l'ordinateur. Par exemple, si vous voulez un script de démarrage pour avoir accès à une ressource réseau sur une action qui a l' UNC de \\server01\share1et le nom de l'ordinateur était que WORKSTATION01vous devez vous assurer que WORKSTATION01$avait accès à cette part. Comme ce script est exécuté en tant que système, il peut faire des choses comme installer un logiciel, modifier des sections privilégiées du registre et modifier la plupart des fichiers sur la machine locale.

Les scripts d'ouverture de session sont exécutés dans le contexte de sécurité de l'utilisateur connecté localement. J'espère que vos utilisateurs ne sont pas administrateurs, ce qui signifie que vous ne pourrez pas les utiliser pour installer des logiciels ou modifier les paramètres de registre protégés.

Les scripts de connexion et de démarrage étaient une pierre angulaire de Windows 2003 et des domaines antérieurs, mais leur utilité a été réduite dans les versions ultérieures de Windows Server. Les préférences de stratégie de groupe offrent aux administrateurs un bien meilleur moyen de gérer les mappages de lecteurs et d'imprimantes, les raccourcis, les fichiers, les entrées de registre, l'appartenance au groupe local et bien d'autres choses qui ne peuvent être effectuées que dans un script de démarrage ou de connexion. Si vous pensez que vous pourriez avoir besoin d'utiliser un script pour une tâche simple, il y a probablement une stratégie de groupe ou une préférence pour cela. De nos jours sur les domaines avec des clients Windows 7 (ou version ultérieure), seules les tâches complexes nécessitent des scripts de démarrage ou de connexion.

J'ai trouvé un GPO sympa, mais il s'applique aux utilisateurs, je veux qu'il s'applique aux ordinateurs!

Ouais je sais. J'ai été là. Cela est particulièrement répandu dans les laboratoires universitaires ou d'autres scénarios informatiques partagés où vous souhaitez que certaines des stratégies utilisateur pour les imprimantes ou les ressources similaires soient basées sur l'ordinateur, pas sur l'utilisateur. Devinez quoi, vous avez de la chance! Vous souhaitez activer le paramètre GPO pour le mode de bouclage de stratégie de groupe .

De rien.

Vous avez dit que je pouvais l'utiliser pour installer un logiciel, non?

Oui, vous le pouvez. Il y a cependant quelques mises en garde. Le logiciel doit être au format MSI et toute modification doit être dans un fichier MST . Vous pouvez créer un MST avec un logiciel comme ORCA ou tout autre éditeur MSI. Si vous ne faites pas de transformation, votre résultat final sera le même que celui de l'exécutionmsiexec /i <path to software> /q

Le logiciel n'est également installé qu'au démarrage, ce n'est donc pas un moyen très rapide de distribuer le logiciel, mais c'est gratuit. Dans un environnement de laboratoire à petit budget, j'ai créé une tâche planifiée (via GPO) qui redémarrera chaque ordinateur de laboratoire à minuit avec un décalage aléatoire de 30 minutes. Cela garantira que les logiciels sont, au maximum, périmés un jour dans ces laboratoires. Néanmoins, des logiciels comme SCCM , LANDesk , Altaris ou tout autre élément pouvant "pousser" des logiciels à la demande est préférable.

À quelle fréquence est-il appliqué?

Les clients actualisent leurs objets de stratégie de groupe toutes les 90 minutes avec une randomisation de 30 minutes. Cela signifie que, par défaut, il peut y avoir jusqu'à 120 minutes d'attente. En outre, certains paramètres, tels que les mappages de lecteurs, la redirection de dossiers et les préférences de fichier, ne sont appliqués qu'au démarrage ou à la connexion. La stratégie de groupe est destinée à la gestion planifiée à long terme, pas aux situations de réparation rapide instantanée.

Les contrôleurs de domaine actualisent leur stratégie toutes les cinq minutes.

Remarque rapide sur les préférences de stratégie de groupe: si vous souhaitez utiliser ces paramètres mais que vous disposez de postes de travail Windows XP SP2 ou Windows XP SP3, ceux-ci devront d'abord installer les extensions côté client de préférence de stratégie de groupe pour Windows XP (KB943729) .

Conteneur d'ordinateurs vs OU d'ordinateurs

Il existe une valeur Computers containerpar défaut sous la racine du domaine dans Active Directory (AD), qui est souvent confondue avec une unité d'organisation (OU) Active Directory. C'est en fait un Container, et ce n'est PAS un OU. Étant donné qu'il ne s'agit pas réellement d'une unité d'organisation, les stratégies de groupe ne s'appliquent pas aux objets de ce conteneur. Les exceptions à cette règle sont les stratégies de groupe appliquées au domain level. Ce seront les seules politiques appliquées aux objets dans le Computers container.

Par défaut, les objets informatiques joints au domaine, qui ne sont pas pré-transférés, vont dans le Computers container.

Donc, si vous vous demandez pourquoi votre stratégie ne s'applique pas, vérifiez que l'objet en question est au bon endroit dans AD.

Sauvegarde des GPO

Vous pouvez sauvegarder des objets de stratégie de groupe à l'aide de la console de gestion des stratégies de groupe (GPMC).

1. Ouvrez la gestion des stratégies de groupe et double-cliquez Group Policy Objectsdans la forêt et le domaine contenant l'objet de stratégie de groupe (GPO) que vous souhaitez sauvegarder.
2. Pour sauvegarder un seul objet de stratégie de groupe, cliquez avec le bouton droit sur l'objet de stratégie de groupe, puis cliquez sur Sauvegarder. Pour sauvegarder tous les objets de stratégie de groupe du domaine, cliquez Group Policy Objectsavec le bouton droit et cliquez sur Back Up All.
3. Dans la boîte de dialogue Objet de stratégie de groupe de sauvegarde, dans la zone Emplacement, entrez le chemin d'accès à l'emplacement où vous souhaitez stocker la ou les sauvegardes GPO, ou cliquez sur Parcourir, recherchez le dossier dans lequel vous souhaitez stocker la sauvegarde GPO ( s), puis cliquez sur OK.
4. Dans la zone Description, tapez une description pour les objets de stratégie de groupe que vous souhaitez sauvegarder, puis cliquez sur Backup. Si vous sauvegardez plusieurs GPO, la description s'appliquera à tous les GPO que vous sauvegardez.
5. Une fois l'opération terminée, cliquez sur OK.

La grande chose à propos de la sauvegarde des stratégies de groupe, c'est qu'il a un contrôle de version intégré. Cela signifie que vous pouvez utiliser cette procédure plusieurs fois et qu'elle suivra les changements entre les stratégies. Vous pouvez ensuite restaurer vers une version spécifique d'une stratégie.

Vous pouvez même configurer une tâche planifiée pour exécuter un script PowerShell qui utilise la commande Backup-GPO pour automatiser les sauvegardes.

Vous souhaitez toujours sauvegarder (en utilisant une méthode de sauvegarde conventionnelle) le dossier dans lequel vous sauvegardez les GPO.

Vous êtes venu ici à la recherche d'un script Powershell simple que vous pouvez ajouter aux tâches planifiées pour sauvegarder vos objets de stratégie de groupe? Vous n'avez pas AGPM du pack MDOP?

Voici.

Le premier effectue une sauvegarde quotidienne rotative pour le jour de la semaine. Vous devrez créer le chemin du dossier à l'avance pour chaque dossier (dimanche / lundi / etc.) Je n'ai pas utilisé New-Item car j'ai compris pourquoi traiter un Test-Item et un New-Item chaque fois que ceux-ci sont dossiers vraiment statiques après le jour 1. Vous aurez besoin des modules AD Powershell disponibles sur le serveur sur lequel vous l'exécutez.

# GPOBackupScriptDayOfWeek.PS1
# This script Backup all GPOs and save it to a folder based on the day of the week
# It runs as an automated task on SERVER and we keep a one week rotation on disk


Import-Module grouppolicy 
$date = get-date
$dayofweek = $date.DayofWeek
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$dayofweek\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$dayofweek

Même chose ici, mais cette fois c'est pour un mensuel. Encore une fois, créez les dossiers à l'avance comme janvier, février, etc.

# GPOBackupScript.PS1
# This script Backup all GPOs and save it to a folder each month on the first of the month
# It runs as an automated task on SERVER and we keep a one year rotation

Import-Module grouppolicy 
$month = get-date -Format MMMM
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$month\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$month