Microsoft Windows Server 2008

Installation d'une GPO

Les GPO (Group Policies Object) permettent de la mise en uvre de stratgies spcifiques lies des
groupes dfinis dans l'!ctive "irector#$
Les stratgies de groupe sont des fonctions de gestion centralise de la famille %icrosoft &indo's$
(lles permettent la gestion des lments inscrits dans un environnement !ctive "irector#$
)ien que les stratgies de groupe soient rguli*rement utilises dans les entreprises+ elles sont
galement utilises dans les coles ou dans les petites organisations pour restreindre les actions et les
risques potentiels comme par e,emple le verrouillage du panneau de configuration+ la restriction de
l-acc*s certains dossiers+ la dsactivation de l-utilisation de certains e,cutables+ la gestion des
imprimantes+ le dploiement d'applications+ etc$
Les GPO sont supportes sur les s#st*mes serveur &indo's .//0 1erver+ &indo's 1erver .//2 et
&indo's 1erver .//2 3.+ ainsi que sur les s#st*mes clients &indo's .///+ &indo's 4P Professionnel+
&indo's 5ista et &indo's 6$
Sommaire
7 Prsentation
. Les trois p8ases de l'utilisation des stratgies de groupe
.$7 9ration et dition des stratgies de groupe
.$. Liaison des stratgies de groupe
.$0 !pplication des stratgies de groupe
0 Les stratgies de groupe locales
: ;uelques commandes
< (,emples
<$7 1tratgie de groupe pour dploiement logiciel
<$. 1tratgie de groupe pour gestion de l'impression
CNFETP Nantes 31 rue des Naudires - REZE
&indo's .//2 1erver
Installation d'une GPO %ai ./7/
1 Prsentation
Les stratgies de groupe peuvent contr=ler des cls de registre+ la scurit >?@1+ la politique de
scurit et d-audit+ l-installation de logiciel+ les scripts de conne,ion et de dconne,ion+ la redirection
des dossiers+ et les param*tres d-Internet (,plorer$ Les paramtrages sont stocAs dans les stratgies
de groupe$ 98aque stratgie de groupe poss*de un identifiant unique appel GBI" (C Globall# Bnique
Identifier D)$ 98aque stratgie de groupe peut Etre lie un ou plusieurs domaine+ site ou unit
d-organisation !ctive "irector#$ 9ela permet plusieurs objets ordinateurs ou utilisateurs d-Etre
contr=ls par une seule stratgie de groupe et donc de diminuer le coFt d-administration globale de ces
lments$
Les stratgies de groupe utilisent des fic8iers de mod*le d-administration avec les e,tensions $!"%
ou $!"%4 qui dcrivent les cls de registre modifies par l-application des stratgies de groupe$ 1ur un
ordinateur de travail+ les mod*les d-administration sont stocAs dans le rpertoire G&in"irGHInf+
alors que sur un contr=leur de domaine !ctive "irector#+ pour c8aque domaine et pour c8aque stratgie
de groupe+ ils sont stocAs dans un rpertoire individuel (Le C group polic# template D+ ou GP?) au sein
du rpertoire 1#svol$ Les fic8iers $!"%4 sont des fic8iers bass sur le format 4%L et introduits par
&indo's 5ista pour la gestion des stratgies de groupe$
Les stratgies de groupe sont anal#ses et appliques au dmarrage de l-ordinateur et pendant
l-ouverture de session de l-utilisateur$ Les ordinateurs rafraIc8issent les param*tres transmis par les
stratgies de groupe de faJon priodique+ gnralement toutes les K/ ou 7./ minutes+ ce param*tre
tant ajustable par un param*tre de stratgie de groupe$
Les stratgies de groupe sont supportes sur &indo's .///+ &indo's 4P Pro+ &indo's 5ista+ &indo's
.//0+ &indo's .//2 et &indo's 6$
Lorsque l'on utilise un s#st*me &indo's 1erveur avec !ctive "irector#+ il e,iste une stratgie
applicable au serveur du domaine appele "efault "omain 9ontroler Polic#+ et une autre pour les
domaine luiLmEme nomme "efault "omain Polic#$ 9es deu, stratgies s'appliquent par dfaut sur les
mac8ines (serveurs de domaine ou ordinateurs) et les utilisateurs$ "clars dans le domaine$
L'administrateur dispose ensuite d'un outil de gestion lui permettant de crer et d'administrer
d'autres stratgies appliquer sur les objets de son c8oi,$
CNFETP Nantes 31 rue des Naudires REZE page 2/18
&indo's .//2 1erver
Installation d'une GPO %ai ./7/
2 Les trois phases de l'utilisation des stratgies de groupe
Les stratgies de groupe peuvent Etre considres en trois p8ases distinctes L 9ration de la stratgie
de groupe+ Liaison des stratgies de groupe et application des stratgies de groupe$
Cration et dition des stratgies de groupe
Les stratgies de groupe peuvent Etre dites au travers de un outil accessible soit par l'outil
d'administration MGestion des stratgies de groupeM ou par un appel direct en ligne de commande
de la Group Polic# %anagement 9onsole (Mgpmc$mscM)$
La console GP%9 simplifie grandement la gestion des stratgies de groupe en fournissant un outil
de gestion centralise et collective des objets$ La GP%9 inclut de nombreuses fonctionnalits
telles que la gestion des param*tres+ un panneau pour la gestion du filtrage par groupe de scurit+
des outils de sauvegarde et de restauration et d-autres outils grap8iques intgrs la %%9$
Pour crer une nouvelle GPO+
dans la console de gestion de
stratgie de groupe faire un clic
droit sur le domaine ou l'OB
recevant la nouvelle GPO+ puis
crer un objet dans ce domaine et
le lier ici$
9eci ouvre une fenEtre pour nommer la
nouvelle GPO$ 1aisir le nom retenu et valider
par ON
La nouvelle GPO apparaIt dans l'arborescence
Liaison des stratgies de groupe
!pr*s avoir cr une stratgie de groupe+ elle peut Etre lie un site !ctive "irector#+ un
domaine ou une unit d'organisation (BO)$
CNFETP Nantes 31 rue des Naudires REZE page 3/18
&indo's .//2 1erver
Installation d'une GPO %ai ./7/
Pour cela+ nous allons modifier les param*tres de cette GPO$
9liquer sur la GPO O
La fenEtre vous demande si
vous vouleP vraiment
modifier les liens de la GPO$
9liquer sur ON pour ouvrir
la fenEtre de configuration
La partie droite
de la fenEtre
permet alors de
modifier les liens
et les
param*tres$
9liquer sur les diffrents onglets pour dfinir O
- l'tendue
- les param*tres
- les dlgations
CNFETP Nantes 31 rue des Naudires REZE page 4/18
&indo's .//2 1erver
Installation d'une GPO %ai ./7/
- Par les dtails+ il est possible d'activer et dsactiver la GPO$
pplication des stratgies de groupe
Le client de stratgie de groupe du poste rcup*re la configuration (de base dans un intervalle
alatoire compris entre K/ et 7./ minutes+ mais cela est configurable via les stratgies de groupe)
qui est applicable l-ordinateur et l-utilisateur connect et l-applique en tenant compte des
diffrents crit*res de filtre+ de scurit et d-8ritage$
Il est possible de forcer la mise jour de la GPO par la commande gpupdate Qforce$
CNFETP Nantes 31 rue des Naudires REZE page 5/18
&indo's .//2 1erver
Installation d'une GPO %ai ./7/
! Les stratgies de groupe locales
Les stratgies de groupe locales sont une version plus basique des stratgies de groupe utilises avec
!ctive "irector#$ "ans les versions antrieures &indo's 5ista+ les stratgies de groupe locales
peuvent Etre utilises sur un ordinateur local+ mais ne peuvent pas Etre utilises pour des comptes
utilisateur ou des groupes$ La limitation lie au, utilisateurs peut Etre contourne en utilisant l-diteur
de base de registre pour modifier les cls sous RN9B ou RNB$ Les stratgies de groupe locales
ralisent des modifications sous la cl RNL%+ ce qui affecte tous les utilisateurs S les mEmes
c8angements peuvent Etre effectus sous RN9B ou RNB pour affecter uniquement certains
utilisateurs$ %icrosoft fournit des informations complmentaires sur le site ?ec8net7$
&indo's 5ista supporte les stratgies de groupe locales multiples+ qui permettent de positionner les
param*tres pour les utilisateurs individuels$
CNFETP Nantes 31 rue des Naudires REZE page 6/18
&indo's .//2 1erver
Installation d'une GPO %ai ./7/
" #uel$ues co%%andes
Il est possible de vrifier l'application des GPO manuellement avec les commandes
gpresult O cette commande permet d'affic8er les GPO actives
gpupdate &force O il est possible de forcer l'application des GPO manuellement avec cette
commande
CNFETP Nantes 31 rue des Naudires REZE page /18
&indo's .//2 1erver
Installation d'une GPO %ai ./7/
' ()e%ples
>ous allons traiter ici quelques e,emples de stratgies de groupe courantes$
Stratgie de groupe pour dploie%ent logiciel
7$ Introduction
Il s'agit d'une fonctionnalit tr*s utile de %icrosoft !ctive "irector#$ (lle permet
l-administrateur d-un rseau de pouvoir dplo#er sur l-ensemble des mac8ines+ grTce une stratgie
de groupe+ les applications ncessaires au, utilisateurs ou de pouvoir procder des mises jour
automatises et uniformes sur une portion ou l'ensemble d'un parc mac8ines$
.$ 9ration du point de distribution
La premi*re tape+ quelque soit le t#pe de logiciels que vous sou8aiteP voir installer+ est de
placer dans un rpertoire partag sur le serveur de fic8iers+ le logiciel que vous sou8aiteP
distribuer$ !fin que tout les utilisateurs puisse installer le logiciel il faut mettre les droits en
lecture au groupe ?out le %onde$ On appelle ce partage point de distribution$
0$ "ploiement du logiciel
Cration de la *P+ de dploie%ent
Bne fois le point de distribution partag+ vous pouveP copier le ou les logiciels qui vous
sou8aiteP distribuer l-intrieur (dans notre e,emple nous installerons la suite %icrosoft
CNFETP Nantes 31 rue des Naudires REZE page 8/18
&indo's .//2 1erver
Installation d'une GPO %ai ./7/
Office)$ (>-oublieP pas que l'application doit Etre au format &indo's Installer)$
(nsuite alleP dans +utils d,ad%inistration puis *estion des stratgies de groupe ou tapeP
dans (,cuter O gpmc$msc "ans *estion des stratgies de groupe+ dveloppeP votre forEt puis
votre domaine+ et aller dans la gestion des stratgies de groupe$
9rer votre GPO par un clic droit puis -ouveau+ nommer votre GPO et valider$
Bne fois votre GPO cre+ il peut Etre ncessaire de complter le c8amp de filtrage de la GPO
afin de limiter l'application de celleLci$ !insi+ on peut limiter l'action un utilisateur ou un
groupe d'utilisateurs+ ou une mac8ine ou un groupe de mac8ines$
5rifier dans les dtails que la GPO est bien active$
Lier la *P+ au logiciel
!fin de pouvoir publier le logiciel vers tous les utilisateurs+ nous devons lier la GPO cre
prcdemment au logiciel$ Pour ce faire vous deveP faire un clicA droit sur la GPO et cliqueP sur
l'onglet Modifier$
Bne nouvelle fenEtre s'ouvrira alors donnant acc*s l'diteur des stratgies de groupe$ 1ous
l'onglet Configuration utilisateur dveloppeP Para%.tres du logiciel puis cliqueP sur
/nstallation de logiciel0 @aites un clicA droit et faites -ouveau puis Pac1age0
CNFETP Nantes 31 rue des Naudires REZE page !/18
&indo's .//2 1erver
Installation d'une GPO %ai ./7/
5ous aureP alors rentrer le c8emin menant au rpertoire partag point de publication+ dans la
fenEtre 2ploie%ent du logiciel+ qui s'affic8era+ c8oisir l'application cible et cliqueP sur ON
pour valider$ "ans la fenEtre suivant valider l'attribution du dploiement (pour le rendre
automatique la proc8aine ouverture de fic8ier$
Cration de l'unit d'organisation
!lleP dans l-outil d-administration 3tilisateurs et ordinateurs ctive 2irector40 @aites un clic
droit sur le nom de votre domaine+ puis slectionneP -ouveau puis 3nit d,organisation0
CNFETP Nantes 31 rue des Naudires REZE page 1"/18
Ici on a c8oisi l'installation de %1 Office
.///
&indo's .//2 1erver
Installation d'une GPO %ai ./7/
"onneP un nom cette nouvelle unit organisationnelle (par e,emple dploiement logiciel) et
fermeP la fenEtre$
Lier la *P+ 5 l'unit organisationnelle
!lleP dans *estion des Stratgies de *roupe6faites un clic droit sur l'BO que vous veneP de
crer et cliqueP sur Lier un o78et de stratgie de groupe e)istant+ puis dans la fenEtre
c8oisir le domaine puis la GPO que nous venons de crer$
Bne fois la GPO associe l'BO+ elle apparaIt dans l'arborescence du gestionnaire de stratgie
de groupe$
5rifier par un clic droit que la stratgie est toujours active$
CNFETP Nantes 31 rue des Naudires REZE page 11/18
&indo's .//2 1erver
Installation d'une GPO %ai ./7/
Cration d'un utilisateur t4pe
!lleP dans 3tilisateurs et +rdinateurs ctive 2irector40 9liqueP avec le bouton droit sur le
domaine puis sur votre unit d'organisation puis -ouveau et 3tilisateur0
(ntreP les coordonnes de votre utilisateur ainsi que les param*tres de son mot de passe puis
valideP$
Il faut maintenant lui donner les droits en fonction de ses droits+ en particulier pour faire
l'installation et l'inscription locale sur le client de l'application$ !ller dans *estion des
Stratgie de *roupe0 Puis navigueP dans 9or:t puis 2o%aines$ 98oisir votre domaine puis
+78ets de stratgie de groupe+ et faire un clic droit dur default 2o%ain polic4 et Modifier0
Bne nouvelle fenEtre de gestion s'ouvre$ !ller dans Configuration ordinateur+ Stratgies+
Para%.tres Windows+ Para%.tres de scurit+ Stratgies locales+ ttri7ution des droits
utilisateur0 5ous verreP alors dans la fenEtre de droite l'option Per%ettre l,ouverture d,une
session locale+ modifieP la pour rajouter l'utilisateur que vous veneP de crer$
CNFETP Nantes 31 rue des Naudires REZE page 12/18
&indo's .//2 1erver
Installation d'une GPO %ai ./7/
@ermeP ensuite toute les fenEtres et alleP dans (,cuter et tapeP gpupdate &force pour
mettre jour le s#st*me$
:$ %ise service
%aintenant+ lors d'une ouverture de session sur un poste en utilisant l'utilisateur dclar+ la
GPO va installer les lancements d'installation d'Office dan le %enu d%arer$
Le paramtrage permet d'installer uniquement les lanceurs d'installation$ !ussi+ l'installation
de &ord ou (,cel ne sera effective que si l'utilisateur c8erc8e e,cuter ces applications+ ou
s'il c8erc8e ouvrir un fic8ier doc+ ,ls+ ou compatible$
Il est possible d'effectuer l'installation compl*te l'ouverture de session$ Pour cela+ retourner
dans le gestionnaire de stratgies de groupe$ %odifier la stratgie pour ouvrir la fenEtre de
paramtrage$ !ller sur le fic8ier de dploiement et modifier ses proprits$
CNFETP Nantes 31 rue des Naudires REZE page 13/18
&indo's .//2 1erver
Installation d'une GPO %ai ./7/
Il est possible d'effectuer l'installation compl*te l'ouverture de session$ Pour cela+ retourner
dans le gestionnaire de stratgies de groupe$ %odifier la stratgie pour ouvrir la fenEtre de
paramtrage$ !ller sur le fic8ier de dploiement et modifier ses proprits$
"ans l'onglet de dploiement+ le t#pe doit Etre attribu+ ce qui permet de coc8er la case
d'installation l'ouverture de session$ !ttention+ un tel dploiement est long+ donc rserv un
administrateur du domaine+ ou un utilisateur prvenu et comptent$
CNFETP Nantes 31 rue des Naudires REZE page 14/18
&indo's .//2 1erver
Installation d'une GPO %ai ./7/
Stratgie de groupe pour gestion d'i%pression
7$ Introduction
Il s'agit d'une fonctionnalit tr*s utile de %icrosoft !ctive "irector#$ La gestion de
l-impression permet l-administrateur d-impression d-conomiser une quantit de temps
significative installer des imprimantes sur les ordinateurs clients et grer et surveiller les
imprimantes$ Les tTc8es qui peuvent requrir jusqu- 7/ tapes sur des ordinateurs individuels
peuvent+ grTce une stratgie de groupe+ Etre accomplies en . ou 0 tapes sur plusieurs
ordinateurs simultanment et distance$
!vant toute c8ose+ il n'est pas ncessaire que le serveur recevant l'!ctive "irector# soit
serveur d'impression pour effectuer la gestion de l'impression$ Il # a bien sparation du r=le
serveur d'i%pression+ de la fonctionnalit +utils de service d'i%pression$
.$ Installation de l'outil
La premi*re tape+ consiste installer l'outil de gestion$ 9et outil s'installe en mEme temps que
le r=le$ Lancer le gestionnaire de serveur+ et ajouter un r=le Service de docu%ents et
d'i%pression$
Bne fois l'installation termine+ lancer l'outils O 2%arrer+ +utils d'ad%inistration+ *estion de
l'i%pression$
CNFETP Nantes 31 rue des Naudires REZE page 15/18
&indo's .//2 1erver
Installation d'une GPO %ai ./7/
0$ Btilisation de l'outil
Pour a8outer des serveurs d,i%pression 5 la gestion de l,i%pression
1. OuvreP le dossier Outils d-administration+ puis doubleLcliqueP sur *estion de l,i%pression$
2. "ans l-arborescence Gestion de l-impression+ cliqueP avec le bouton droit sur *estion de
l,i%pression+ puis cliqueP sur 8outer&Suppri%er des serveurs$
0$ "ans la boIte de dialogue !jouterQ1upprimer des serveurs+ sous 1pcifier le serveur
d,i%pression+ dans 8outer un serveur+ effectueP l-une des actions suivantes O

?apeP le nom$
9liqueP sur Parcourir pour localiser et slectionner le serveur d-impression$
4. 9liqueP sur 8outer 5 la liste$
<$ !jouteP autant de serveurs d-impression que vous le sou8aiteP+ puis cliqueP sur +;$
Pour suppri%er des serveurs d,i%pression dans le co%posant *estion de l,i%pression
1. OuvreP le dossier Outils d-administration+ puis doubleLcliqueP sur *estion de
l,i%pression$
2. "ans l-arborescence Gestion de l-impression+ cliqueP avec le bouton droit sur
*estion de l,i%pression+ puis cliqueP sur 8outer&Suppri%er des serveurs$
0$ "ans la boIte de dialogue 8outer&Suppri%er des serveurs+ sous Serveurs
d,i%pression+ slectionneP un ou plusieurs serveurs+ puis cliqueP sur Suppri%er$
Pour a8outer auto%ati$ue%ent des i%pri%antes rseau 5 un serveur d,i%pression
7$ OuvreP le dossier Outils d-administration+ puis doubleLcliqueP sur *estion de l,i%pression$
.$ "ans l-arborescence Gestion de l-impression+ cliqueP avec le bouton droit sur le serveur
appropri+ puis cliqueP sur 8outer une i%pri%ante$
0$ "ans la page Installation de l-imprimante de l-ssistant /nstallation d,i%pri%ante rseau+
cliqueP sur <echercher les i%pri%antes du rseau+ puis sur Suivant$ 1i vous # Etes invit+
spcifieP le pilote installer pour l-imprimante$
Pour dplo4er des i%pri%antes pour des utilisateurs ou des ordinateurs 5 l,aide d,une
stratgie de groupe
7$ OuvreP le dossier Outils d-administration+ puis doubleLcliqueP sur *estion
de l,i%pression$
.$ "ans le volet gauc8e+ cliqueP sur Serveurs d,i%pression+ puis sur le serveur
d-impression applicable et sur /%pri%antes$
CNFETP Nantes 31 rue des Naudires REZE page 16/18
&indo's .//2 1erver
Installation d'une GPO %ai ./7/
0$ "ans le volet central+ cliqueP avec le bouton droit sur l-imprimante
applicable+ puis cliqueP sur 2plo4er avec la stratgie de groupe$
:$ "ans la boIte de dialogue 2plo4er avec la stratgie de groupe+ cliqueP
sur Parcourir+ puis slectionneP ou creP un nouvel objet GPO pour stocAer les conne,ions
au, imprimantes$ 9liqueP sur +;$
5. 1pcifieP s-il convient de dplo#er les conne,ions au, imprimantes pour des
utilisateurs ou des ordinateurs :

Pour un dploiement aupr*s de groupes d-ordinateurs+ afin que tous les utilisateurs
des ordinateurs puissent accder au, imprimantes+ activeP la case coc8er
+rdinateurs au)$uels s,appli$ue cet o78et de stratgie de groupe =par
ordinateur>0
CNFETP Nantes 31 rue des Naudires REZE page 1/18
&indo's .//2 1erver
Installation d'une GPO %ai ./7/

Pour un dploiement pour des groupes d-utilisateurs+ afin que les utilisateurs
puissent accder au, imprimantes partir de tout ordinateur sur lequel ils ouvrent
une session+ activeP la case coc8er 3tilisateurs au)$uels s,appli$ue cet o78et
de stratgie de groupe =par utilisateur>0
9liqueP sur 8outer$
K$ 3pteP les tapes 0 K pour ajouter le param*tre de conne,ion
d-imprimante un autre objet de stratgie de groupe+ si ncessaire$ Puis cliqueP sur +;
pour valider l'ensemble$
CNFETP Nantes 31 rue des Naudires REZE page 18/18