GPO

Déf et fonctionnement :

Les GPOs sont des policies qui sont appliquées sur des élément d'une forest d'AD. Initialement, les paramètres étaient définis dans le registry, ajd les GPOs remplissent les même fonctions mais permettent de le faire pour des groupes d'utilisateurs de manière bien plus simple.

Utilisation :

IMPORTANT : Pour forcer les changements de configuration :

gpupdate /force

La modification des GPO est disponible dans Group Policy Management d'un domain controller.
Pasted image 20240409100419.png
Dans la capture ci dessus on peut voir :

Default Domain Policy :

La DDP affecte toutes les machines et utilisateurs du domaine ce qui peut le rendre très utile pour mettre en place des action par défaut pour tous les utilisateurs.

GPO pour OU

Au lieu de devoir modifier le Registry pour toutes les machines et utilisateurs manuellement, il est possible de créer des GPOs pour appliquer ces policies sur une OU.
Les GPO peuvent s'appliquer dans la foret, dans le domaine ou bien pour des utilisateurs/servers
Pasted image 20240409103258.png
Il est aussi possible de lier une GPO existante d'une autre OU pour l'appliquer dans une autre.
Une fois une GPO créée, il faut la modifier en l'éditant :
Pasted image 20240409103623.png
On peut distinguer deux sections :

Computer Configuration : affecte tous les utilsateurs qui se log on sur le PC
User Configuration : suit l'utilisateur sur n'importe qu'elle machine
Il est donc important de choisir le bon type, puisque la GPO ne s'appliquera qu'aux utilisateurs ou bien aux PC
Dans ces deux sections on retrouve :
Policies : hard coded : cela implémente les policies sur le registry
Preferences : soft : un utilisateur peut modifier ces policies mais elles reviennent à chaque session
Dans les deux cas, si on clique sur Policies on a :

On retrouve 3 options :
Software settings : sert pour déployer des soft
Windows settings : scripts pour les utilisateurs, rediriger les fichiers (documents peut par exemple être mis sur le réseau)
Administrative Templates : tous les paramètres importants (changer la configuration de windows de manière générale.)

Fonctions avancées :

Enforcement Actions :

Group Policy Inheritance : cet onglet des OUs permettent de voir quelles sont les GPOs qui s'appliquent dessus.
Il est possible de bloquer cet héritage : click droit sur une OU -> Block inheritance
Pasted image 20240409120028.png
Il est possible de faire en sorte que certaines GPOs ne peuvent pas être désactivé par héritage :
click droit sur la GPO -> enforce

Group Policy Modeling :

Permet de faire des simulations. Peut utile, puisqu'il est possible de se mettre dans les GPOs et de voir les détails.