La stratégie de groupe est une infrastructure hiérarchique qui permet à un administrateur réseau en charge d’Active Directory de Microsoft d’implémenter des configurations spécifiques pour les utilisateurs et les ordinateurs. La stratégie de groupe est principalement un outil de sécurité et peut être utilisée pour appliquer des paramètres de sécurité aux utilisateurs et aux ordinateurs. La stratégie de groupe permet aux administrateurs de définir des stratégies de sécurité pour les utilisateurs et pour les ordinateurs. Ces stratégies, qui sont collectivement appelées Objets de stratégie de groupe (GPO), sont basées sur un ensemble de paramètres de stratégie de groupe individuels. Les objets de stratégie de groupe sont administrés à partir d’une interface centrale appelée Console de gestion de stratégie de groupe. La stratégie de groupe peut également être gérée avec des outils d’interface de ligne de commande tels que gpresult et gpupdate.
La hiérarchie de stratégie de groupe
Les objets de stratégie de groupe sont appliqués de manière hiérarchique, et souvent plusieurs objets de stratégie de groupe sont combinés ensemble pour former la stratégie efficace. Les objets de stratégie de groupe locaux sont appliqués en premier, suivis des objets de stratégie de groupe au niveau du site, du domaine et de l’unité organisationnelle.
Extensibilité de la stratégie de groupe
La collection native de paramètres de stratégie de groupe concerne exclusivement le système d’exploitation Windows. Par exemple, un administrateur peut utiliser ces paramètres de stratégie de groupe natifs pour appliquer une longueur minimale de mot de passe, masquer le panneau de configuration Windows aux utilisateurs ou forcer l’installation de correctifs de sécurité. Cependant, la stratégie de groupe est conçue pour être extensible grâce à l’utilisation de modèles d’administration. Ces modèles d’administration permettent de configurer diverses applications via les paramètres de stratégie de groupe. L’un des exemples les plus connus est la collection de modèles d’administration pour Microsoft Office.
Les modèles d’administration se composent de deux composants. Un fichier ADMX est le fichier XML contenant tous les paramètres de stratégie de groupe associés au modèle. Un fichier ADML correspondant agit comme un fichier de langue qui permet d’afficher les paramètres de stratégie de groupe dans la langue de choix de l’administrateur.
Local vs. Les objets de stratégie de groupe centralisés
peuvent être appliqués localement à un ordinateur Windows via son propre système d’exploitation, ou les objets de stratégie de groupe peuvent être appliqués via Active Directory. Les stratégies de groupe locales permettent d’appliquer des paramètres de sécurité à des ordinateurs autonomes ou à des ordinateurs gérés par un contrôleur de domaine, mais ces paramètres de stratégie ne peuvent pas être gérés de manière centralisée. Inversement, les objets de stratégie de groupe basés sur Active Directory peuvent être gérés de manière centralisée, mais ils ne sont implémentés que si un utilisateur se connecte à partir d’un ordinateur joint au domaine.
De nombreuses organisations utilisent une combinaison d’objets de stratégie de groupe local et Active Directory. Les paramètres de stratégie locale assurent la sécurité lorsque l’utilisateur n’est pas connecté à un domaine, tandis que les objets de stratégie de groupe Active Directory s’appliquent une fois que l’utilisateur s’est connecté.