P a g e 1 | 13
BTS SIO Services Informatiques aux Organisations
Projet
Personnalisé
Encadré n°4 :
Configuration de stratégies de groupe
(GPO)
Réalisé par : CANNET Thomas
Session 2018
P a g e 2 | 13
Table des matieres 1. Configuration du pare-feu de domaine Windows ............................................................... 4
2. Configuration de l'accès au panneau de configuration ....................................................... 8
A. Manipulation sur le Serveur ........................................................................................ 8
B. Vérification sur le poste Client .................................................................................... 9
3. Partager un lecteur réseau ................................................................................................. 10
4. Installation d'un package .MSI ............................................................................................. 12
5. Conclusion ............................................................................................................................ 13
Tables des figures
Figure 1 : Désactiver le pare-feu client ...................................................................................... 4 Figure 2 : Accès à la Gestion de stratégies de groupe via le tableau de bord............................. 4 Figure 3 : Création d'une nouvelle GPO .................................................................................... 5
Figure 4 : Editer le pare-feu ....................................................................................................... 5 Figure 5 : Propriétés du pare-feu ................................................................................................ 6
Figure 6 : gpupdate /force .......................................................................................................... 6 Figure 7 : Pare-feu activé ........................................................................................................... 7 Figure 8 : Nouvelle GPO ............................................................................................................ 8
Figure 9 : Masquer le panneau de configuration ........................................................................ 8 Figure 10 : Panneau de configuration absent ............................................................................. 9
Figure 11 : Partage de fichiers .................................................................................................. 10 Figure 12 : Mappages de lecteurs ............................................................................................. 10
Figure 13 : Propriétés du lecteur .............................................................................................. 11 Figure 14 : Lecteur partagé ...................................................................................................... 11
Figure 15 : Dossier partagé ...................................................................................................... 12
Figure 16 : Firefox.MSI ........................................................................................................... 12 Figure 17 : GPO de déploiement .............................................................................................. 13
Figure 18 : Firefox est bien installé .......................................................................................... 13
P a g e 3 | 13
Nature de l’activité Contexte : Configurer des stratégies de groupe pour les utilisateurs d’un
réseau Objectifs : Mettre en place des règles et/ou des modifications sur la totalité
ou une partie d’un parc informatique
Conditions de réalisations
Matériels : 1 VM Windows 2012 Durée de réalisation : 1h 15min
Logiciels : VirtualBox Contraintes : Choix des GPO à appliquer puis recherches Internet pour savoir
comment les configurer
Description de la solution retenue Conditions initiales : Aucun système de gestion de règles du parc informatique Conditions finales : Avoir une machine hébergeant un serveur depuis lequel on peut déployer des règles permettant de paramétrer la configuration du parc informatique. Outils utilisés : Une VM de Windows Server 2012, Active Directory, un PC Client W7
Compétences mise en œuvre pour cette activité professionnelle Participation à un projet d'évolution d'un SI
Élaboration de documentation à la production et la fourniture de services.
Productions relatives à la mise en place et à l’étude d’une technologie, d’un composant, d'un outil ou d’une méthode
A.1.1.1 Analyse du cahier des charges d'un service à produire A1.2.1 Élaboration et présentation d'un dossier de choix de solution technique
A1.3.4 Déploiement d'un service A3.3.4 Automatisation des tâches d'administration
A4.1.9 Rédaction d'une documentation technique
A5.1.1 Mise en place d'une gestion de configuration
Solutions envisageables GPO d’Active Directory
GPO de Samba 4
SCCM (System Center Configuration Manager)
P a g e 4 | 13
1. Configuration du pare-feu de domaine Windows
Objectif : Activer le pare-feu de domaine sur tous les postes qui y sont rattachés. Nous autoriserons les flux sortants mais bloquerons les flux entrants. Dans un premier temps désactiver le pare-feu du poste client Windows 7.
Figure 1 : Désactiver le pare-feu client
Puis, sur la VM Serveur Contrôleur de Domaine, ouvrir l'outil "Gestion de stratégies de
groupe".
Figure 2 : Accès à la Gestion de stratégies de groupe via le tableau de bord
P a g e 5 | 13
Créer une GPO nommée « Configuration du pare-feu Windows » dans notre containeur de
notre domaine :
Figure 3 : Création d'une nouvelle GPO
Puis éditer « Pare-feu Windows avec fonctions avancées » :
Figure 4 : Editer le pare-feu
P a g e 6 | 13
Activer le pare-feu et choisir de bloquer toutes les connexions entrantes, et autoriser toutes les
connexions sortantes.
Dans la section « Paramètres » aller dans « Personnaliser », puis « activer une notification sur
le poste de l’utilisateur lorsque qu’une connexion entrante est bloquée ».
Nous n’autorisons et n’appliquons pas la fusion du pare-feu local avec la stratégie de groupe.
Figure 5 : Propriétés du pare-feu
Nous créons un containeur nommé « ORDINATEURS » à la racine de notre containeur de
notre domaine. Dans notre cas M2L\ORDINATEURS. Nous déplaçons notre client dans ce
container.
Nous nous connectons sur notre poste client et testons la configuration en entrant «
gpupdate/force » dans une invite de commande. Nous vérifions l’état de notre pare-feu :
Figure 6 : gpupdate /force
P a g e 7 | 13
Puis on vérifie dans le panneau de configuration.
Figure 7 : Pare-feu activé
La GPO de gestion du pare-feu est donc opérationnelle.
P a g e 8 | 13
2. Configuration de l'accès au panneau de configuration
A. Manipulation sur le Serveur
Sur le poste serveur contrôleur de domaine, dans l'outil "Gestion de stratégies de groupe, il
faut créer une nouvelle GPO, ici : "Panneau conf OFF" et je la lie à la racine de mon domaine.
Je sélectionne ensuite « Modifier » et je suis le chemin suivant « Configuration
Utilisateur\Stratégies\Modèles d’administration\Panneau de configuration\Masquer les
éléments du Panneau de configuration spécifiés ».
Figure 8 : Nouvelle GPO
Je choisis activé puis je clique sur affihcier afin de pouvoir ajuster les éléments que je
souhaite masquer.
J’ajoutes deux entrées, « Microsoft.NetworkAndSharingCenter » qui correspond au Centre de
réseau et partage et Microsft.DefaultPrograms (qui correspond au programmes par défaut »
Figure 9 : Masquer le panneau de configuration
P a g e 9 | 13
Il faut ensuite (après une entrée de "gpupdate /force") vérifier sur le poste client, dans le
panneau de configuration, que les deux icones ne sont bel et bien plus disponibles.
B. Vérification sur le poste Client
Figure 10 : Panneau de configuration absent
« Programme par défaut et Centre de réseau et partage ont bien disparus, la GPO s’est
bien appliquée.
P a g e 10 | 13
3. Partager un lecteur réseau
Objectif : Donner l'accès à un groupe d'utilisateur à un lecteur réseau pointant sur un dossier
partagé.
Dans un premier temps il faut créer le dossier qu’on souhaite partager, règler les droits d'accès
souhaités.
Figure 11 : Partage de fichiers
Dans l'outil "Gestion des stratégies de groupe" créer une nouvelle GPO et aller sur le chemin
"Configuration Utilisateur\Préférences\Paramètres Windows\Mappage de lecteurs" et
sélectionner "Nouveau\Lecteur Mappé".
Figure 12 : Mappages de lecteurs
P a g e 11 | 13
Ici il faut renseigner le chemin réseau du dossier partagé, choisir la lettre de lecteur à lui
assigner, et sélectionner la visibilité du lecteur.
Figure 13 : Propriétés du lecteur
Ensuite sur le poste client, effectuer une "gpupdate /force" puis vérifier l'application de la
GPO.
Figure 14 : Lecteur partagé
Le lecteur réseau apparaît bien dans les emplacements réseau de l'ordinateur client, la
GPO s'est bien appliquée.
P a g e 12 | 13
4. Installation d'un package .MSI
Objectif : Installer à distance un package .MSI sur un ordinateur ou un groupe d'utilisateurs
du domaine.
Dans un premier temps créer un dossier partagé, et régler les droits d'accès pour que tous les
utilisateurs du domaine y ont accès.
Figure 15 : Dossier partagé
Ensuite récupérer le package .MSI souhaité.
Ici, j'ai choisis de prendre le package .MSI de Mozilla Firefox disponible sur le site web de
Mozilla. Je place ensuite ce package MSI dans le dossier partagé.
Figure 16 : Firefox.MSI
Dans l'outil « Gestion des stratégies de groupe », créer une nouvelle GPO liée à la racine de
mon domaine la modifier en suivant le chemin "Configuration
Utilisateur\Stratégies\Paramètres du logiciel\Installation de logiciel".
Choisir « Nouveau\Package » et sélectionner le package placé dans le dossier partagé.
Attribuer le déploiement à ce package valider.
P a g e 13 | 13
Figure 17 : GPO de déploiement
On vérifie ensuite sur le poste client, sur le bureau, si l'icône de Firefox est présente pour
vérifier s’il a bien été installé.
Figure 18 : Firefox est bien installé
Il est également possible d'installer un package MSI via la Configuration Ordinateur, cette
méthode ne permet pas de limiter l'installation à un seul groupe d'utilisateur.
5. Conclusion
A présent nous pouvons appliquer des règles et des modifications sur une partie ou l'ensemble
du parc informatique via le service de Gestion de stratégies de groupe du serveur de domaine
Active Directory
Sources : orabache.developpez.com www.infonovice.fr www.labo-microsoft.org nosti.fr
http://www.infonovice.fr/http://www.labo-microsoft.org/