Calendrier vaccinal 2015 - Guyane et Mayotte
Download
Report
Transcript Calendrier vaccinal 2015 - Guyane et Mayotte
BTS SIO : Module SISR4
GPO
TP05 : GPO (GROUP POLICY OBJECT) OU STRATEGIES DE GROUPE
SOUS WINDOWS SERVER 2012
Les paramètres Stratégie de groupe définissent les différents composants relatifs à l’environnement du
bureau de l’utilisateur qu’un administrateur système doit gérer. (Se reporter au cours sur les GPO).
Ce TP porte sur les points suivants : Création d’une stratégie de groupe ; Configuration d’une stratégie de
sécurité appliquée aux utilisateurs et enfin sur l’Application d’une stratégie de groupe.
1. Rappels sur les UO (Unités d’Organisation) et les GPO
1.1 Création d’une UO et d’une stratégie de groupe
Les GPO ne peuvent pas s’appliquer directement à des utilisateurs ou à des groupes. Il faut donc créer une
UO à laquelle ou pourra alors appliquer une GPO. Pour cela, il faut :
aller dans outils d'administration/ utilisateurs et ordinateurs Active Directory, puis clic droit sur
votre domaine, puis nouveau et unité d'organisation (UO)
Ensuite, dans la fenêtre Gestion des stratégies de groupe, faites une actualisation puis un clic droit
sur cette UO (qui doit apparaître dans la liste), Choisissez l’option « créer un objet GPO dans ce
domaine, et le lier ici » pour créer une nouvelle GPO.
Une fois cette UO créée il faut insérer ou créer des utilisateurs et des ordinateurs sur lesquels va
s'appliquer la stratégie. Pour cela, on peut faire « glisser » un utilisateur du répertoire USERS vers l’UO
que l’on veut. Idem pour un ordinateur.
Les possibilités de configurations étant nombreuses et variées, nous allons nous intéresser plus
particulièrement à l’environnement de travail utilisateur que l’on va pouvoir configurer au travers des
Modèles d’administration.
1.2 Configuration d’une GPO
Rappelons que pour accéder à ces modèles, il faut aller dans les propriétés de l’UO, puis dans l’onglet
Stratégies de groupe, sélectionner une stratégie et choisir Modifier.
La fenêtre « Editeur de gestion des stratégies de groupe » apparaît et vous permet de configurer les
différents paramètres pour les utilisateurs ou les ordinateurs (Paramètres logiciels, Paramètres Windows
et Modèles d’administration). Il faut choisir la configuration ordinateur ou la configuration utilisateur.
Les Modèles d’administration permettent de configurer l’environnement de travail et contiennent toutes
les informations concernant le Registre. Les configurations utilisateurs sont enregistrées dans
HKEY_CURRENT_USER et celles des ordinateurs dans HKEY_LOCAL_MACHINE.
Pour cela, on dispose de 7 groupes de paramètres :
1. Composants Windows (IE, Explorateur, TSE, Messenger, Update, Lecteur Médie, etc.) ;
2. Menu Démarrer et Barre des tâches (où l’on peut supprimer, ou pas, des menus, icônes, etc.) ;
3. Bureau (où l’on peut aussi supprimer, ou non, un grand nombre d’éléments) ;
4. Panneau de configuration (où l’on peut masquer les différentes actions normalement possibles) ;
5. Dossiers partagés (permettre ou non de partager des dossiers) ;
6. Réseau (où l’on peut interdire, ou pas, l’accès à certaines ressources) ;
7. Système (où l’on peut limiter, activer/désactiver certaines ressources systèmes).
Georges ESQUIROL
Page 1 / 8
BTS SIO : Module SISR4
GPO
2. Configuration d’une stratégie de sécurité appliquée aux utilisateurs
2.1 Préparation du TP
Pour ce TP, vous utiliserez les équipements suivants (2VM) :
1 serveur Windows 2012 ;
1 poste client sous Windows 7.
2.2 Préparation du serveur
Créez deux UO que vous nommerez « UO_MenuDémarrer » et « UO_Bureau ».
Créez une GPO pour chaque UO que vous nommerez « GPO_MenuDémarrer » et « GPO_Bureau »
en ne rien précisant dans la partie « Objet Starter GPO source ».
Afin de tester les GPO, vous allez placer des utilisateurs dans les UO (créés dans les TP précédents, si
besoin il ne vous reste plus qu’à les recréer !! voir TP de 1ère année sur la gestion des comptes
d’utilisateurs). Déplacez l’élève bts1a dans l’UO « UO_MenuDémarrer » et l’élève bts1b dans
« UO_Bureau ».
Faire vérifier par le Prof !
2.3 Premier cas : Restriction sur le « Menu Démarrer et Barre des Tâches »
Vous allez imposer quelques restrictions à l’utilisateur bts1a appartenant à l’UO « UO_MenuDémarrer ».
Le nombre d’options étant assez important, vous allez intervenir que sur quelques paramètres.
Avant d’activer ces restrictions par la GPO, vérifier sur un poste client Windows7 (VM) faisant
partie de votre domaine que l’utilisateur bts1a peut effectivement :
accéder et utiliser le programme « Exécuter » disponible dans le menu Démarrer/Tous les
programmes/Accessoires.
accéder aux dossiers « Images » et « Musique » disponibles dans le menu Démarrer/Documents
Modifier la stratégie « GPO_MenuDémarrer », sans oublier que vous êtes dans le cas d’une stratégie
de sécurité appliquée aux utilisateurs et que l’on travaille sur les modèles d’administration , et activer
les options suivantes :
Supprimer le menu Exécuter du menu Démarrer ;
Supprimer l’icône Images du menu Démarrer ;
Supprimer l’icône Musique du menu Démarrer ;
Détaillez les différentes étapes (choix) qui vous permettrons d’atteindre les restrictions demandées, c'està-dire : comment faire pour modifier une GPO, quel type de configuration choisir, quelle option entre
« Stratégie » ou « Préférences », Paramètres logiciel/Windows ou bien modèles d’administration et enfin
le groupe de paramètres où se trouvent les restrictions que l’on souhaite mettre en œuvre :
Qa : Comment modifier une GPO
Type de configuration
« Stratégie » ou « Préférences »?
Paramètres logiciel/Windows ou
modèles d’administration?
> gestion des strategi de groupe> clic
modifier sur la GPO
> activé
> strategie
>
Groupe de paramètres
Georges ESQUIROL
Page 2 / 8
BTS SIO : Module SISR4
GPO
>
Q1 : Sur votre client, tapez « gpresult /r ». dans une fenêtre de commande. Faites un copier-coller et
reportez la copie d’écran ci-dessous :
Sur votre serveur, forcer la mise à jour des stratégies afin qu’elles soient applicables immédiatement.
Fermer la session bts1a en cours et en ouvrir une nouvelle.
Georges ESQUIROL
Page 3 / 8
BTS SIO : Module SISR4
Q2 : Est-ce que la GPO s’applique bien à l’utilisateur bts1a ?
GPO
Oui
Q3 : Sur votre client, tapez à nouveau « gpresult /r ». dans une fenêtre de commande. Faites un
copier-coller et reportez la copie d’écran ci-dessous :
Faire vérifier par le Prof !
Georges ESQUIROL
Page 4 / 8
BTS SIO : Module SISR4
GPO
2.4 Deuxième cas : Restriction sur le « Bureau »
Vous allez imposer maintenant quelques restrictions à l’utilisateur bts1b appartenant à l’UO
« UO_Bureau ».
Le groupe Bureau d’un modèle d’administration se compose à son tour de deux sous groupes : et Active
Directory et Bureau (Active Desktop sous 2008). Nous utiliserons Bureau (Active Desktopsous 2008).
Ce groupe de paramètres permet, entre autres, de désactiver tout ou partie des éléments du bureau,
d’interdire les modifications (par exemple le fond d’écran), d’empêcher l’ajout ou la suppression
d’éléments, etc.
Avant d’activer ces options, vérifier sur un poste client Windows7 faisant partie de votre domaine
que l’utilisateur bts1b peut effectivement modifier son bureau et ajouter ou supprimer des éléments.
Modifier la stratégie « GPO_Bureau » et activer les options suivantes :
- Empêcher la suppression d’éléments
- Papier peint du bureau, en indiquant le chemin de l’image suivant :
C:\Windows\Web\Wallpaper\Paysages\img10.jpg (mettre le chemin en anglais)
Comme pour la 1ère GPO, détaillez les différentes étapes (choix) qui vous permettront d’atteindre les
restrictions demandées :
Q4 : Comment modifier une GPO
Type de configuration
« Stratégie » ou « Préférences »?
Paramètres logiciel/Windows ou
modèles d’administration?
>configuration utilisateur > startegie>
model administrateur >bureau > bureau
>utilisateur
>strategie
>
Groupe de paramètres
Sous groupe
>
>
Vérification de la mise en œuvre de la GPO
Q5 : Est-ce que l’utilisateur bts1b peut supprimer des éléments?
Non
Q6 : Quel est le fond d’écran qui s’affiche?
Non car mon AD n’a
pas l’image demander
Faire vérifier par le Prof !
2.5 Troisième cas : Restriction sur le « Panneau de configuration »
En ce qui concerne le panneau de configuration, on peut choisir de ne plus le faire apparaître ou bien de
limiter l’accès à certains éléments.
Vous allez tester la première possibilité. Tout d’abord, vous allez créer une nouvelle GPO liée à
« UO_Bureau » et qui se nommera « GPO_PanneauConf ». Pour cela, utilisez la console de
Gestion des stratégies de groupe (GPMC).
Georges ESQUIROL
Page 5 / 8
BTS SIO : Module SISR4
GPO
Ensuite, Modifiez cette GPO et dans l’éditeur de gestion des stratégies de groupe allez dans la
configuration utilisateur \ Stratégies \ Modèles d’administration \Panneau de configuration. Vous
pouvez alors accéder à des sous dossiers (6) ou bien directement à 4 options.
Activer l’option Interdire l’accès au Panneau de configuration.
Forcer la mise à jour de la stratégie sur le serveur. Sur le client, fermer la session en cours puis ouvrir
une nouvelle session avec bts1b.
Q5 : Est-ce que bts1b peut accéder au panneau de configuration?
Non
Sur le client, fermer la session en cours puis ouvrir une nouvelle session avec bts1a.
Q6 : Est-ce que bts1a peut accéder au panneau de configuration?
Non
Faire vérifier par le Prof !
Modifiez cette GPO afin qu’elle s’applique également à « UO_MenuDémarrer ». Pour cela, allez
dans la GPMC et faites un clic droit sur UO_MenuDémarrer et sélectionnez « Lier un objet de
stratégie de groupe existant ». Dans la fenêtre qui s’ouvre, choisissez la GPO_PanneauConf.
Ainsi, la GPO s’appliquera aux deux UO. Un raccourci vers la GPO doit alors apparaître sous l’unité
d’organisation UO_MenuDémarrer.
Sur le client, fermer la session en cours puis ouvrir une nouvelle session avec bts1a.
Q6 : Est-ce que bts1a peut accéder au panneau de configuration?
Non
Faire vérifier par le Prof !
3. Configuration d’une stratégie de sécurité appliquée aux ordinateurs
3.1 Par le biais d’une UO ne contenant que des utilisateurs
Sur le client, fermer la session en cours puis ouvrir une nouvelle session avec bts1a. Vérifier que
vous pouvez créer sur, le bureau, un raccourci du lecteur Windows Média.
Vous allez modifier à nouveau GPO_PanneauConf en réactivant l’accès au panneau de
configuration. Ensuite, vous allez dans la Configuration ordinateur \ Modèles d’administration
\Composants Windows \ Gadgets du bureau et Activer l’option Désactiver les gadgets du bureau.
Forcer la mise à jour de la stratégie sur le serveur. Sur le client, fermer la session en cours puis ouvrir
une nouvelle session avec bts1a.
Q7 : Est-ce que bts1a peut accéder aux gadgets du bureau?
Oui
Si vous le pouvez, affichez le calendrier.
Il faut ajouter l’ordinateur a la GPO et redémarrer la machine
Redémarrer le poste client, fermer la session en cours puis ouvrir une nouvelle session avec bts1a.
Q8 : Est-ce que bts1a peut accéder aux gadgets du bureau?
Q9 : Quel message est affiché?
Non
Les gadjet bureau sont gerer par votr administrateru
Fermer la session en cours puis ouvrir une nouvelle session avec res1.
Georges ESQUIROL
Page 6 / 8
BTS SIO : Module SISR4
GPO
Q10 : Est-ce que res1 peut accéder aux gadgets Non
du bureau?
Redémarrer le poste client, fermer la session en cours puis ouvrir une nouvelle session avec res1.
Q11 : Est-ce que res1 peut accéder aux gadgets Non
du bureau?
Faisons un petit récapitulatif :
Q12 : Quand la Configuration utilisateur est-elle prise en compte?
Dès qu’on fait la mise
à jour sur AD a
l’ouverture
de
la
session
Q13 : Quand la Configuration ordinateur est-elle prise en compte?
Au redémarrage
client
Q14 : La Configuration ordinateur ne s’applique pas Elle sera effective lors
tout le temps. Précisez dans quels cas elle est effective? redémarrage de la machine
du
d’un
Faire vérifier par le Prof !
3.2 Par le biais d’une UO ne contenant que des ordinateurs
Créez une nouvelle UO que vous nommerez « UO_ordinateurs ».
Créez une GPO pour cette UO que vous nommerez « GPO_ordinateurs ».
Afin de tester cette GPO, vous allez placer votre poste client (qui doit se trouver dans le dossier
Computer) dans la nouvelle UO.
Vérifiez qu’avec les utilisateurs bts1a et res1 vous pouvez accéder aux propriétés de la connexion
réseau locale du poste client.
Modifiez « GPO_ordinateurs ». Allez dans Configuration utilisateur \ Modèles d’administration
puis Réseau \ Connexions réseau. Activer l’option Interdire l’accès aux propriétés des composants
d’une connexion réseau local.
Affichez ensuite les connexions réseau puis sélectionnez la connexion au réseau local. Allez dans les
propriétés de cette connexion.
Le message suivant doit alors
apparaître :
Georges ESQUIROL
Page 7 / 8
BTS SIO : Module SISR4
GPO
La fenêtre des propriétés s’ouvre malgré tout mais vous
constaterez que vous ne pouvez pas accéder aux différents
paramètres.
Les boutons ne sont pas actifs
Si vous êtes curieux et un peu courageux tester d’autres options.
Georges ESQUIROL
Page 8 / 8