Editions ENI

Les stratgies de groupe (GPO)

sous Windows Server 2008
et 2008 R2
Implmentation, fonctionnalits, dpannage
(2ime dition)

Collection
Expert IT

Extrait

216

Les stratgies de groupe (GPO)

sous Windows Server 2008 et 2008 R2

Lister et dtailler toutes les options de scurit et leur impact n'est pas l'objet
de cet ouvrage. Nous allons plutt nous concentrer sur les lments principaux inhrents la scurit de Windows grce aux stratgies de groupe.
Dans ce chapitre, nous prsenterons les paramtres de scurit considrs
comme les plus importants. Nous expliquerons leurs actions et explorerons les
diffrents niveaux des stratgies de scurit.

2. Cration du domaine et stratgies par dfaut

Dans un domaine existant, les administrateurs habilits sont seuls responsables de la cration de nouvelles stratgies de groupe, de leurs liaisons aux
sites, aux domaines ou aux units d'organisations et des paramtres qu'elles
modifient.
Lors de la cration d'un nouveau domaine, certaines oprations sont excutes
automatiquement dont la cration des stratgies de groupe par dfaut.
Initialement, lors de la promotion d'un serveur en contrleur de domaine,
l'unit d'organisation Domain Controllers est cre dans Active Directory.
C'est dans cette unit d'organisation que seront hbergs les objets contrleurs de domaine par dfaut.

Pour finir, la stratgie de groupe Default Domain Controllers Policy est cre
et lie l'unit d'organisation Domain Controllers. Cette GPO dfinit les paramtres de stratgies qui s'appliquent aux contrleurs de domaine de l'entreprise.
Microsoft recommande de modifier uniquement les paramtres de scurit de
ces stratgies de groupe. Pour toute modification n'ayant aucun lien avec la
scurit, il est prfrable de crer des GPO exclusives. Il est ensuite possible de
les lier au niveau du domaine si ncessaire.

Editions ENI - All rights reserved

La stratgie de groupe Default Domain Policy est ensuite cre et lie au

niveau du domaine. Cette GPO est la stratgie de domaine par dfaut. Les
paramtres dfinis s'appliquent tous les objets contenus dans Active Directory.

Stratgies de groupe et scurit

Chapitre 6
Remarque
Attention : si l'intgrit des stratgies de groupe Default Domain Policy et
Domain Controllers Policy est altre, il est trs difficile de revenir en arrire !

2.1 La stratgie Default Domain Policy

La stratgie Default Domain Policy est lie au domaine Active Directory par
dfaut.
Le but principal de cette stratgie est de dfinir les politiques utilises pour les
comptes utilisateurs du domaine.
Voici les trois paramtres de stratgie qui nous intressent :
Politiques de mot de passe
Stratgies de verrouillage du compte
Stratgies des comptes Kerberos
Ces trois paramtres dfinissent la faon dont les comptes utilisateurs vont
fonctionner dans le rseau. Vous pouvez modifier directement la stratgie de
groupe Default Domain Policy ou crer une nouvelle GPO pour configurer les
paramtres de comptes utilisateurs de votre organisation. Une fois la GPO termine, il suffit de la lier au domaine pour qu'elle fonctionne de la mme faon
que la stratgie par dfaut Default Domain Policy.
L'utilisation de cette option garantit l'intgrit de la stratgie Default Domain
Policy et ne prend pas plus de temps configurer. Dans ce cas, il est impratif
de prendre en compte les principes de prcdence des GPO.
2.1.1 Les paramtres de stratgie du domaine
Il existe cinq paramtres de stratgie qui, une fois modifis, ne prennent effet
que si la GPO est lie au niveau du domaine. Voici la liste de ces paramtres et
leurs fonctions :
Forcer la dconnexion des comptes : il est possible de dfinir les plages
horaires pendant lesquels les comptes Active Directory des utilisateurs
fonctionnent. Passe la limite, les utilisateurs sont automatiquement
dconnects de leurs sessions.

217

Les stratgies de groupe (GPO)

218

sous Windows Server 2008 et 2008 R2

Comptes : Renommer le compte administrateur local : vous pouvez renommer le nom du compte administrateur local du poste.
Comptes : Renommer le compte invit : vous pouvez l'utiliser pour renommer le compte invit sur les postes de travail.
Comptes : Statut du compte administrateur : cette option fonctionne partir des versions Windows Server 2003 et suprieures. Vous pouvez dsactiver le compte administrateur local sur les postes de travail.
Comptes : Statut du compte invit : cette option fonctionne partir des versions Windows Server 2003 et suprieures. Vous pouvez dsactiver le
compte invit sur les postes de travail.
Remarque
Ces paramtres de stratgie ne fonctionnent que s'ils sont appliqus au domaine entier.

2.1.2 Modifier la Default Domain Policy ou en crer une nouvelle

Si vous choisissez de crer une nouvelle GPO pour configurer les comptes utilisateurs, le problme de la prcdence des GPO se pose. Or, dans le chapitre
Grer les stratgies avec GPMC 2.0 (Grer les GPO avec la console de gestion
des stratgies de groupes - GPMC 2.0), nous avons indiqu que la dernire
GPO qui s'applique "gagne". Il faudra donc changer la prcdence de la stratgie des comptes utilisateurs pour qu'elle s'applique en dernier, aprs la Default
Domain Policy. Sinon, les paramtres de configuration des comptes utilisateurs ne prendront pas effet sur les postes de travail car ils seront annuls et
remplacs par ceux de la Default Domain Policy.
Il est recommand de modifier la Default Domain Policy directement pour les
paramtres de stratgies des comptes utilisateurs. Il faut penser lui attribuer
le niveau de prcdence le plus lev, et viter l'apparition de conflit car elle
aura la priorit sur les autres GPO du domaine.

Editions ENI - All rights reserved

Il est possible de modifier directement la Default Domain Policy pour configurer le comportement des comptes utilisateurs du domaine ou de crer une
stratgie part entire et de la lier au niveau du domaine.

Stratgies de groupe et scurit

Chapitre 6

2.2 Stratgie Default Domain Controllers Policy

Dans un domaine Active Directory, tous les serveurs promus au rang de
contrleurs de domaine sont automatiquement intgrs l'Unit d'Organisation Domain Controllers.
La stratgie Default Domain Controllers Policy cre par dfaut la mise en
place du domaine dfinit les paramtres de stratgie qui s'appliquent tous les
contrleurs de domaine contenus dans l'Unit d'Organisation Domain
Controllers.
Vous pouvez galement crer une nouvelle GPO pour configurer les contrleurs de domaine et lui attribuer le plus haut niveau de prcdence pour qu'elle
s'applique aprs la stratgie par dfaut. Mais il est recommand d'utiliser la
Default Domain Controllers Policy disponible cet effet.

2.3 Rparer les stratgies par dfaut (Default Domain Policy

et Default Domain Controllers Policy)
Il arrive que les stratgies de groupe soient corrompues et ne fonctionnent
plus correctement. Il est recommand d'utiliser les sauvegardes des stratgies
par dfaut faites idalement avant les premires modifications.
Si aucune sauvegarde n'a t effectue, Windows Server 2008 et 2008 R2 propose des outils en ligne de commande qui permettent de restaurer les stratgies de groupe leur tat initial. Ces commandes fonctionnent partir de la
version 2003 de Windows Server et offre les fonctionnalits suivantes : restauration de la stratgie Default Domain Policy ou de Default Domain Controllers Policy ou les deux ensemble.
Pour effectuer une restauration des stratgies de domaine par dfaut, il faut
tre connect au serveur contrleur de domaine principal avec les droits
d'administration requis.

219

Les stratgies de groupe (GPO)

220

sous Windows Server 2008 et 2008 R2

Une fois authentifi, ditez une fentre de commande DOS et tapez la commande DCGPOFIX en choisissant un des paramtres suivants :
DCGPOFIX /Target:Domain pour restaurer la Default Domain Policy.
DCGPOFIX /Target:DC pour restaurer la Default Domain Controllers Policy.
DCGPOFIX /Target:BOTH pour restaurer les deux.
Toutefois, DCGPOFIX ne fonctionne pas si le schma Active Directory a subi
des modifications depuis l'installation du contrleur de domaine.
Dans ce cas, utilisez la commande suivante :
GPOFIX /ignoreschema pour ignorer les modifications du schma.
Remarque
Astuce : pour restaurer les GPO par dfaut d'un contrleur de domaine Windows Server 2000, vous pouvez tlcharger l'outil RecreateDefPol sur le site de
Microsoft.

3. Configurer la Default Domain Policy

Comme voqu prcdemment dans ce chapitre, la Default Domain Policy
comporte trois paramtres principaux qu'il est intressant de configurer. Nous
rappelons que ces paramtres concernent la scurit et plus particulirement
la gestion des comptes utilisateurs du domaine.

Dans ce paragraphe, nous allons dfinir et mettre en place une politique de

gestion des comptes utilisateurs du domaine.

Editions ENI - All rights reserved

Les objets de stratgie sont localiss dans le nud Configuration

ordinateur - Stratgies - Paramtres Windows - Stratgie de comptes.

Stratgies de groupe et scurit

Chapitre 6
Remarque
Attention, cette stratgie s'applique tous les utilisateurs ayant un compte
dans le domaine.

dDans la console de gestion des stratgies de groupe, ditez la Default

Domain Policy.

221

Editions ENI

Windows Server 2008 R2

Administration avance
(2ime dition)

Collection
Expert IT

Extrait

Windows Server 2008 R2

202

Administration avance

2.1 Le choix de l'architecture rseaux

Deux point prcis sont tudier ce niveau :
- le choix de la zone DNS ;
- le choix de la classe rseau.

2.1.1 La zone DNS

Deux aspects sont importants lors du choix de la zone DNS.
Le nom choisi pour la zone DNS doit correspondre lintgralit de lentit (entreprise, groupe, etc.) que lon souhaite grer. Ce nom doit pourvoir tre accept par
toutes les entits dpendantes qui vont se retrouver dans cette zone. Le problme
est beaucoup plus politique que technique !
Si une entit nentre pas dans ce cadre, cela veut dire quune zone DNS spcifique
devra lui tre affecte.
Si la zone DNS doit tre utilise sur Internet, le domaine DNS sera forcment
public et enregistr, c'est--dire utilisant une extension reconnue de type .fr, .com,
.info... !
En revanche, pour un rseau interne, le domaine peut tre public ou priv. Le
choix le plus courant est alors dutiliser un domaine DNS local avec une extension
inconnue sur Internet. Lextension .local est trs souvent utilise sous la forme
MaSociete.local. Le dcoupage entre ce qui est interne ou externe est plus facile
raliser. En revanche, lutilisation dun mme nom suppose une double administration, plus complexe, donc des serveurs DNS diffrents pour ne rendre visible sur
Internet que ce quil est souhaitable de montrer.

Pour tous les rseaux internes, le choix se portera videmment toujours sur les
classes rseaux prives. Si lon ne peut pas toujours modifier lintgralit des
rseaux existants pour des raisons souvent historiques, on peut au moins crer
tous les nouveaux rseaux en suivant cette rgle.
La classe du rseau se choisit en fonction du nombre de machines prsentes sur le
rseau, du nombre de sites, etc. Un rseau de classe C (192.168.0.X) reprsente
souvent un bon choix initial. Il est toujours possible de changer de classe, de
rseau ou mme surtout dutiliser plusieurs rseaux en fonction des besoins.
Lusage de TCPIP v6 nest pas encore bien dvelopp mais deviendra ncessaire
dans les 2 ou 3 annes qui suivent, principalement sur Internet. Sur le rseau local,
il reste encore de nombreux logiciels qui ne sont pas compatibles, mais ceci devrait
voluer trs rapidement !

Editions ENI - Toute reproduction interdite

2.1.2 La classe rseau

Mise en place des services rseaux d'entreprise

Chapitre 5

2.2 Linstallation dun serveur DHCP

Si le service DHCP permet de mettre en place rapidement le rseau choisi, il permet aussi de modifier rapidement et globalement une srie de paramtres. Il reste
encore quelques irrductibles qui nutilisent pas ce service, mais cest maintenant
rarissime.
Parmi les nombreux composants de Windows 2008 R2, le service DHCP est un rle.

2.2.1 Dfinition
Le protocole DHCP (Dynamic Host Configuration Protocol) a pour but de fournir une
adresse IP et un masque tout priphrique rseau (station, serveur ou autre) qui
en fait la demande. Selon la configuration, dautres paramtres tous aussi importants seront transmis en mme temps : les adresses IP de la route par dfaut, des
serveurs DNS utiliser, des serveurs WINS et le suffixe de domaine pour ne citer
que les principaux.
DHCP est souvent rserv aux stations, aux imprimantes et ne devrait servir
quexceptionnellement aux serveurs.

2.2.2 Linstallation
Comme pour tous les composants Windows, linstallation peut se faire graphiquement ou en mode ligne de commande sans avoir besoin dinsrer le moindre
mdia.
servermanagercmd install DHCP

n Remarque
Attention, le service devra tre mis en dmarrage automatique !

sc \\%COMPUTERNAME% config DHCPServer start= auto

Le service peut ensuite tre dmarr de manire classique :

NET START DHCPSERVER

Le dmarrage du service permet de le rendre accessible et configurable.

Pour que le service DHCP commence distribuer des adresses, il est indispensable
de configurer et dactiver une tendue.
Attention, si le serveur qui hberge DHCP fait partie dune fort Active Directory,
il doit en plus avoir t autoris par des administrateurs membres du groupe
Administrateurs de lentreprise ou ayant reu les droits dadministration DHCP.
Le service DHCP, comme les autres services rseaux de rfrences (DNS, WINS),
devrait toujours tre install sur des serveurs disposant dadresses IP fixes.

203

Windows Server 2008 R2

204

Administration avance

2.2.3 La configuration
La console dadministration DHCP est automatiquement installe en mme temps
que le service, mais peut aussi tre lance partir de toute autre machine la
possdant.
Y compris sur le serveur lui-mme, slectionnez le serveur DHCP (ou les serveurs)
que vous souhaitez grer. La liste des serveurs dj autoriss saffiche automatiquement.

Chaque serveur DHCP peut servir de nombreuses tendues, mais une seule pour
chaque rseau IP.
Voici une tendue classique pour un rseau 192.168.2.X de classe C utilisant le
masque standard 255.255.255.0 !

Editions ENI - Toute reproduction interdite

Pour autoriser un serveur DHCP, utilisez loption Grer les serveurs autoriss,
puis cliquez sur le bouton Autoriser, et saisissez le nom ou ladresse IP.
Les serveurs autoriss apparaissent avec une flche verte.

Mise en place des services rseaux d'entreprise

Chapitre 5

La plage utilise ne doit pas forcment utiliser la totalit de la classe rseau afin de
laisser de la place pour les serveurs ou les adresses IP rserves pour les
imprimantes.
La route par dfaut fait partie des paramtres habituels lis ltendue.
Les options au niveau du serveur contiennent les paramtres qui sont valables
globalement sur toutes les tendues.

Les options de serveur (005,006,015,046) servent de valeurs par dfaut, mais sont
remplaces par les options de ltendue qui ont priorit.

205

Windows Server 2008 R2

Administration avance

- La zone Nom de domaine DNS ne permet pas de spcifier plusieurs suffixes de

recherche DNS. Si ncessaire, les stratgies proposent dajouter des suffixes de
recherche.
- Le Type de nud avec la valeur 0x8 configure le mode de rsolution hybride.
C'est--dire quune interrogation des serveurs DNS/WINS sera effectue en
premier, avec bascule en mode Broadcast en cas dchec.
Certaines proprits avances du serveur DHCP peuvent tre trs intressantes
configurer.
Par exemple, lorsque la zone Tentatives de dtection de conflit est configure
avec une valeur suprieure zro, DHCP utilisera linstruction ping pour dterminer lexistence ventuelle dune machine sur cette adresse.

Editions ENI - Toute reproduction interdite

206

Mise en place des services rseaux d'entreprise

Chapitre 5
La mise jour dynamique des DNS est un lment particulirement important
grer.

Le bouton Configurer permet dactiver la protection des noms lors de linscription, les mises jour et la suppression des enregistrements de type A et PTR.
Cette protection nest effective que si le mode Mise jour dynamique scuris est
actif.
Lorsque les zones de recherche inverses (Reverse ARP) sont cres et utilises, il est
important de mettre jour les enregistrements PTR et de ne pas les ignorer
lorsque le bail est supprim.
La dure du bail sera dautant plus longue que le nombre dadresses IP disponibles
est important et que le risque de conflit est limit.

207