Priorité des stratégies de groupes ?

Soumis par philippe le

 

Dans cet article nous allons parler des priorités des stratégies de groupe. C'est un peu étonnant mais pendant que je préparai cet article, une question sur le même sujet a été posée sur les forums Microsoft, ce qui me conforte dans l'idée de son utilité.

Nous allons partir du principe que vous êtes déjà familier avec la structure d'Active Directory et les unités d'organisations. Avant d'expliquer l'ordre d'application des stratégies de groupe, faisons un rappel sur les différents éléments sur lesquels des paramètres peuvent être appliqués.

Si vous disposez d'un ordinateur qui n'est pas joint au domaine vous disposez des stratégies de sécurités locales accessibles via la console mmc : gpedit.msc.

Il est possible dans un domaine Active Directory de gérer les paramètres de Windows de manière centralisés depuis la console de gestion des stratégies de groupe (gpmc.msc) disponible dans les outils d'administrations sur les contrôleurs de domaine :

Sur les anciens contrôleurs de domaine comme par exemple Windows 2003, la console n'était pas installé par défaut voir : https://www.microsoft.com/fr-fr/download/details.aspx?id=21895.

Dans la console de stratégie de groupe nous retrouvons le domaine et la structure d'unité d'organisation :

 

Comme vous pouvez le constater sur l'image précédente les dossiers « Users » et « Computers » présent dans la console « Utilisateurs et ordinateurs Active Directory » n'apparaissent pas. Il n'est donc pas possible d'appliquer des stratégies de groupes sur ces conteneurs, mais les stratégies de groupe liés au niveau du domaine s'appliquent aux objets contenus.

Si votre environnement comprend plusieurs sites et que vous avez configuré les sites et les sous réseaux pour chacun d'eux, il est possible d'appliquer des stratégies de groupe spécifique à chaque site. Pour cela vous devez les faire apparaître dans la console :

 

 

Par défaut l'ordre d'application des stratégies de groupe du moins prioritaire au plus prioritaire est :

  • Stratégie de sécurité locale
  • Stratégie de groupe du domaine lié à un site
  • Stratégie de domaine lié au domaine
  • Stratégie de l'unité d'organisation parent
  • Stratégie de l'unité d'organisation enfant

Si vous définissez plusieurs stratégies de groupe sur la même unité d'organisation, l'ordre est déterminé de la stratégie la plus prioritaire (1) vers la moins prioritaire vers la moins prioritaire (2) :

Il est possible de modifier l'ordre de priorité à l'aide des flèches à gauche.

 

Il existe quelques cas particulier qui permettent de modifier cette règle. Je qualifierai ces options de « mauvaises pratique » car ils sont souvent mal utilisés. La nécessité de les utiliser révèle en général ions une mauvaise gestion des unités d'organisation. Il existe quelques cas très particulier ou l'option peut être utile. La première option est le fait de bloquer l'héritage :

Cette option permet de ne pas appliquer les stratégies de groupes définis sur les objets parents (sites, domaine et unité d'organisation parente), comme par exemple la « Default Domain Policy ».

Lorsque l'héritage a été bloqué sur une stratégie de groupe l'unité d'organisation apparaît avec un « ! »

 

La deuxième option présentée, permet une fois forcé l'application d'une GPO même si l'héritage a été désactivé et de plus elle modifie la priorité des stratégies. Pour forcer l'application d'une stratégie de groupe il faut faire un clic droit sur le lien de la stratégie et sélectionné « appliqué ». Dans ce cas la stratégie apparaît avec un cadenas.

 

Tags: 

Theme: 

Systeme: 

Annee: