Les stratégies de groupe
Transcription
Les stratégies de groupe
Les stratégies de groupe Les entreprises ont toutes des besoins différents en termes de stratégies de mot de passe, de connexion de dossiers partagés, etc. Les stratégies de groupe proposent des milliers de paramètres à configurer et à mettre en place pour des domaines, des UO, des ordinateurs ou des utilisateurs. Avant de commencer, vérifiez que vos postes client communiquent correctement avec l'AD. Vérifiez aussi la valeur de votre serveur DNS sur vos postes client. I I.1 CONFIGURATION D'ORDINATEURS CONFIGURATION DU PARE-FEU DES POSTES SEVEN DU DOMAINE Objectif : Activer le pare-feu sur tous les postes client du domaine (flux entrants interdits, flux sortants autorisés). I.1.1 SUR LE POSTE SEVEN Vérifiez que le poste est rattaché au domaine, puis désactivez le pare-feu. I.1.2 SUR LE CONTRÔLEUR DE DOMAINE : Pour configurer le pare-feu pour les postes de travail, ouvrez la console de gestion des stratégies de groupe et créez une nouvelle stratégie appelée Configuration du pare-feu Windows. Éditez la stratégie et placez-vous dans le conteneur Configuration ordinateur - Stratégies Paramètres Windows - Paramètres de sécurité. Puis Pare-feu Windows avec fonctions avancées de sécurité, et enfin faîtes un clic droit sur Pare-feu Windows avec fonctions avancées de sécurité et choisissez Propriétés. 1 Marie-pascale Delamare à partir de Windows server R2 Installation Configuration Gestion et Dépannage Le pare-feu est maintenant activé pour les postes de travail du domaine. Les connexions entrantes sont bloquées par défaut. Dans ce cas, le pare-feu est configuré pour bloquer toute connexion qui ne correspond pas à une règle définie. Les connexions sortantes sont activées par défaut. Dans ce cas, le pare-feu autorise toutes les connexions sortantes à l'exception de celles pour lesquelles une règle est en cours. Dans les options de personnalisation, nous avons activé l'option d'affichage des notifications lorsqu'une connexion entrante est bloquée. La dernière option de personnalisation (zone Fusion de règle) permet de bloquer l'application des paramètres du pare-feu local. Nous avons choisi d'activer cette option pour éviter un conflit entre la configuration du pare-feu de domaine et celle sur le poste de travail. Il reste à lier cette stratégie avec un conteneur contenant les postes "Seven" du domaine. Créez un nouveau conteneur dans l'arborescence Active Directory (par exemple "Seven") et déplacezy votre poste "Seven". Ensuite faites un clic droit pour lui lier la stratégie précédente. I.1.3 VÉRIFICATION SUR LE POSTE SEVEN (RATTACHÉ AU DOMAINE) Activez la stratégie par la commande "gpudate /force". Dans quel état est le pare-feu ? II CONFIGURATION UTILISATEUR Objectif : Restreindre l'accès d'un groupe d'utilisateur au panneau de configuration II.1 SUR L'ACTIVE DIRECTORY Pour gérer les options du panneau de configuration, ouvrez la console de gestion des stratégies de groupe, et créez une nouvelle stratégie appelée Configuration du panneau de configuration. Dans l'Éditeur de gestion des stratégies de groupe, placez -vous dans le conteneur Configuration utilisateur - Stratégies - Modèles d'administration - Panneau de configuration. Nous allons nous concentrer sur un paramètre unique mais très intéressant. Il est possible de supprimer des éléments du panneau de configuration pour les rendre inaccessibles aux utilisateurs. http://msdn.microsoft.com/fr-FR/library/ee330741%28v=vs.85%29.aspx 2 Marie-pascale Delamare à partir de Windows server R2 Installation Configuration Gestion et Dépannage Éditez le paramètre Masquer les éléments du Panneau de configuration (Vous masquerez "Programmes par défaut", "Centre de réseau et partage"). Dans un premier temps, définissez le paramètre à Activé. Cliquez sur Appliquer pour valider temporairement votre choix de configuration. Maintenant, cliquez sur Afficher pour renseigner les éléments que Windows n'affichera pas sur le panneau de configuration. Une fois la liste terminée, cliquez sur OK pour valider vos souhaits. Cliquez sur OK à la fenêtre suivante. Appliquez votre nouvelle stratégie à OU "Artistes". II.2 VÉRIFICATION SUR LE POSTE SEVEN Vous savez faire désormais. III STRATÉGIES DE PRÉFÉRENCES Les stratégies de préférences sont l'une des nouveautés les plus intéressantes de la gestion des stratégies de groupe dans Windows Server 2008 et 2008 R2. En effet, les stratégies de préférences facilitent les tâches d'administration en remplaçant les scripts utilisés jusqu'à maintenant. Objectif : Mapper un lecteur réseau par équipe Commencez par créer un répertoire partagé sur votre serveur AD et donnez les droits à tout le monde. Vérifiez votre partage depuis le poste Seven. Ensuite, pour mapper les lecteurs, ouvrez la console de gestion des stratégies de groupe et créez une nouvelle stratégie appelée Configuration des mappages réseau. Dans l'Éditeur de gestion des stratégies de groupe, placez-vous dans le conteneur Configuration utilisateur - Préférences - Paramètres Windows - Mappages de lecteur. L'action à mener est la création d'un nouveau lecteur qui se réfère à l'emplacement du dossier partagé pour tout le monde localisé sur le contrôleur de domaine. La lettre de lecteur utilisée doit être libre sur tous les postes et l'authentification n'est pas renseignée. Les identifiants de connexion de l'utilisateur suffiront à authentifier celui-ci auprès du contrôleur de domaine. Il pourra ainsi bénéficier des accès qui lui sont destinés. 3 Marie-pascale Delamare à partir de Windows server R2 Installation Configuration Gestion et Dépannage Il reste à lier votre stratégie au domaine et à activer le mappage sur votre poste Seven. IV INSTALLER UN PACKAGE ( EN AUTONOMIE) Rechercher un package .MSI et tenter de l'installer pour un groupe d'ordinateurs, puis pour un utilisateur en utilisant les stratégies de sécurité. 4 Marie-pascale Delamare à partir de Windows server R2 Installation Configuration Gestion et Dépannage