Les stratégies de groupe (ou GP pour group Policy) sont des fonctions de gestion centralisée de la famille Microsoft windows. Le terme Stratégie désigne la configuration logicielle du système par rapport aux utilisateurs. A la suite d’une installation de Windows, aucune stratégie n'est configurée, et tout est permis (en fonction des droits des groupes d'utilisateurs prédéfinis : Administrateurs, Utilisateurs, Utilisateurs avec pouvoir...).
Les stratégies de groupe ou GPO (Group Policies Object) permettent de configurer des restrictions d'utilisation de Windows où des paramètres à appliquer soit sur un ordinateur donné soit sur un compte utilisateur donné. Il est ainsi possible d’agir sur :
•La définition d’un environnement adapté : Il est possible par exemple de rediriger certains répertoires leurs contenus
•Le déploiement de logiciels : Une automatisation complète de l’installation des programmes sur les postes clients est possible en fonction du profil de l’utilisateur
•L’application des paramètres de sécurité : Le contexte de sécurité de l’environnement utilisateur peut être modifier
Lorsque l’on déploie des stratégies de groupe au sein d’un domaine, il peut arriver que les choses ne se passent pas comme prévu… Surtout lorsque l’on commence à avoir beaucoup de GPO et que l’on utilise des paramètres spécifiques comme les filtres WMI…
Pour « débugger » la GPO et faire en sorte qu’elle fonctionne comme on a envie qu’elle fonctionne, il faudra vérifier sa configuration.
Si un paramètre ne s’applique pas, vérifier l’unité d’organisation sur laquelle s’applique la GPO. S’il s’agit d’un paramètre Ordinateur, la GPO doit s’appliquer sur l’OU qui contient l’objet ordinateur ciblé. Sur le même principe s’il s’agit d’un paramètre Utilisateur, la GPO doit s’appliquer sur l’OU qui contient cet utilisateur.
En fait, il faut surtout que l’objet cible soit dans l’étendue de la GPO (l’étendue est aussi appelée scope), c’est-à-dire qu’il soit dans la sous-arborescence sur laquelle s’applique la GPO.
Si vous avez décidé de modifier ce filtre de sécurité, assurez-vous que l’objet cible de la GPO dispose des autorisations nécessaires. Dans les autorisations NTFS de la GPO, vous retrouverez « Utilisateurs authentifiés » avec le droit « Appliquer la stratégie de groupe » sur « Accepter », ce type d’autorisation est ajouté automatiquement lorsque vous ajoutez un utilisateur ou un groupe dans la zone « Filtrage de sécurité ». Si vous avez défini un filtre WMI, vérifiez qu’il est correct et qu’il ne pénalise pas votre cible. Autrement dit, vérifiez qu’il n’exclut pas votre cible plutôt que de la prendre en compte.
En sélectionnant une GPO et en cliquant sur l’objet « Détails », il est possible de donner différents états à la GPO (notamment des états de désactivation). Vérifiez que l’état est bien sûr « Activé » pour activer l’ensemble des paramètres (ordinateurs et utilisateurs) définis dans cette GPO.
Il existe des notions d’héritages pour les stratégies de groupe. Par exemple, si l’on souhaite que la GPO « Default Domain Policy » ne s’applique pas sur une OU en particulier, il suffira de faire clic droit sur l’OU concernée puis « Bloquer l’héritage ».
L’observateur d’événements fournit bien souvent des informations intéressantes sur l’erreur rencontrée (tout dépend de son origine…).
De ce fait, n’hésitez pas à consulter l’observateur d’événements sur un ordinateur cible sur lequel la GPO ne s’applique pas, mais aussi sur votre contrôleur de domaine.
Une fois dans l’observateur d’événements, au sein du journal créez une nouvelle vue et sélectionnez en source « GroupPolicy (Microsoft-Windows-GroupPolicy) ». Ceci permettra d’afficher tous les événements liés au GPO et provenant de l’ensemble des journaux (Système, Application, etc.).
En conclusion, lorsque vous mettez en place des GPOs faites le plus simple possible, il ne faut pas que ça devienne « une usine à gaz » et limitez également le nombre d’objets de stratégie de groupe. Il y a des chances pour que ça limite les ennuis… Pensez également à adopter un système de nommage clair et parlant, par exemple pour différencier facilement une GPO Utilisateur d’une GPO Ordinateur.