Microsoft Windows®XP -  Stratégie de groupe

 

 

Appliquer une stratégie de groupe (Suite)

 

Il n’est pas conseillé d’utiliser ‘Aucun remplacement’ car il peut rendre plus difficile la résolution des problèmes de paramètres de stratégie. Cliquez sur Ok ou Annuler.

Il faudra limiter l’utilisation des fonctionnalités « Bloquer l’héritage de stratégies, Ne pas passer outre » ou de lier des objets GPO entre domaines car tout cela augmente la complexité du système. Il faut également regrouper les paramètres associés (système, fichiers, sécurité) et surtout éviter de créer des GPO « poubelles ».

Cliquez maintenant sur le bouton modifier pour configurer votre objet (Image 4).

wpeE.jpg (22322 octets) Image 4

Mise en œuvre d’une stratégie de groupe

  1. Présentation de l’objet

Configuration ordinateur :
Pour personnaliser le bureau de tous les utilisateurs, les applications, les scripts de démarrage et d’arrêt d’un ordinateur, d’appliquer des paramètres de sécurité ou de modifier tel ou tel comportement de Windows® XP, c’est dans le dossier « Configuration ordinateur » que l’administrateur devra agir

Configuration utilisateur :
Pour personnaliser le bureau d’un utilisateur, les applications, les scripts de d’ouverture et de fermeture de session, d’appliquer des paramètres de sécurité, de modifier tel ou tel comportement de Windows® XP ou de configurer les options de redirection de dossiers, c’est dans le dossier « Configuration utilisateur » que l’administrateur devra agir.

  1. Implémentation de la stratégie de groupe

Dans cet exemple, la stratégie sera appliquée au niveau de l’ordinateur sauf la redirection de dossiers qui configurée au niveau utilisateur.
Paramètres Logiciels :
L’objet stratégie de groupe permet le déploiement de logiciels qu’il s’agisse de packages MSI (Microsoft® Installer) ou de tout autre programme. Dans ce dernier cas, il faudra les « packager » en lots Windows® Installer4 (CD-Rom de Windows® 2000 Server/Valuadd/3rdParty/Mgmt/Winstle). Cette fonctionnalité de déploiement montre bien l’avantage d’un environnement d’ordinateurs organisés autour de serveurs Windows® 2000. Une stratégie de groupe local ne permet pas le déploiement logiciel.

Cliquez avec le bouton droit de la souris sur Installation de logiciel puis, Nouveau package… Rechercher le fichier *.MSI contenant le lot à installer. A juste titre, le système vous fait remarquer que vous devrez veiller à ce que ce lot soit situé sur un dossier partagé du réseau, accessible à toutes les machines.

Quel type de déploiement ?

wpe12.jpg (10098 octets) Image 5

Lorsqu’une application est attribuée (image 5), elle n’est pas annoncée au démarrage de la machine. Le logiciel s’installe automatiquement sans intervention de l’utilisateur.
Lorsqu’une application est publiée, elle n’est ni annoncée ni installée. Le logiciel est disponible aux utilisateurs en utilisant « Ajout / Suppression de programmes ».
Ce n’est seulement que pour l’attribution à des utilisateurs que l’annonce de publication est faite.
Si vous choisissez « Publication ou attribution avancée », vous pouvez supprimer les installations non GPO précédentes (Onglet déploiement, bouton avancé), paramétrer des options de mises à niveau, suppression.

Cliquez sur Ok pour valider vos choix. L’application s’affiche dans la fenêtre de droite ; le programme sera disponible selon la configuration que vous avez implémentée.

Paramètres Windows
En appliquant une stratégie de sécurité dans votre domaine vous empêchez les utilisateurs de modifier ou d’endommager leur machine. Vous leur interdisez l’accès à certaines parties de leur machine ou du réseau d’entreprise.
Nous allons pour cela nous servir des modèles de sécurité (modifiables depuis le bloc-notes de Windows®) contenus dans le répertoire %SystemRoot%\ security \templates de Windows® XP.
Pour quelles raisons utiliser les nouveaux modèles de Windows® XP ?
Avec plus de 200 nouveaux paramètres de stratégie pour Windows® XP, les entreprises peuvent choisir comment utiliser des fonctionnalités comme l'Assistance à distance, le lecteur Windows Media et le rapport d'erreurs. Les administrateurs peuvent exécuter l'outil Jeu de stratégie résultant (RSoP) dans MMC ou GPResult à partir de la ligne de commande pour voir les stratégies en vigueur sur n'importe quel ordinateur. De plus, Windows® XP est prêt pour Windows® .NET Server, la prochaine version de Windows® 2000 Server. Un nouveau jeu d'outils et de fonctionnalités complémentaires à ceux déjà inclus dans Windows rendra la gestion des stratégies de groupe plus facile pour les administrateurs.

Toutes les machines Windows® XP à sécuriser utilisent obligatoirement le système de fichier NTFS. Avant de modifier vos paramètres de sécurité, vous devez connaître les paramètres par défaut de votre système et leur signification. Pour plus d'informations, consultez « Paramètres de sécurité par défaut » dans l’aide de Windows®. Les modèles prédéfinis peuvent vous aider à sécuriser votre système en fonction de vos besoins et vous permettent de :

·      Réappliquer les paramètres par défaut (Setup security.inf),

·      Implémenter un environnement hautement sécurisé natif Windows® 2000 (Hisecws.inf et Hisecdc.inf),

·      Implémenter un environnement à sécurité renforcée (Securews.inf et Securedc.inf),

·      Implémenter un environnement considéré non sécurisé, mais plus compatible (Compatws.inf). Cependant, les utilisateurs n’ont pas le profil « Utilisateurs avec pouvoir ». Ne pas utiliser sur un Contrôleur de Domaine,

·      Sécuriser la racine du système (Rootsec.inf).

N.B : Terminaisons « dc » pour Contrôleurs de domaine, « ws » pour serveurs membres et stations de travail. Pour plus d'informations, consultez « Modèles de sécurité prédéfinis » dans l’aide de Windows®.

Dans la partie stratégie de groupe local, nous verrons comment utiliser le composant « Configuration et Analyse de la sécurité » que nous pourrions nous servir ici. Nous considérons que les machines clientes ne disposent que de la sécurité par défaut, c’est-à-dire l’équivalent du modèle Setup security.inf.

 

Précédent

  Suite