C'est quoi une strategie de groupe ?¶

Voyons d'abord un exemple concret¶

Vous arrivez a votre premier jour dans une nouvelle entreprise. On vous installe devant un PC flambant neuf. Vous allumez, vous vous connectez, et la...

• Impossible de changer le fond d'ecran. Le logo de l'entreprise est impose.
• Impossible d'installer un logiciel. Le bouton est grise.
• :material-usb-flash-drive-off: Vous branchez votre cle USB : rien ne se passe.
• Certains sites web sont bloques.
• Au bout de 5 minutes sans activite, l'ecran se verrouille automatiquement.

Vous n'avez rien demande. Vous n'avez rien configure. Et pourtant, toutes ces regles sont deja en place.

Qui a decide tout ca ?

L'administrateur systeme de votre entreprise. Et l'outil qu'il a utilise pour imposer ces regles a tous les ordinateurs en une seule fois, c'est la strategie de groupe -- plus souvent appelee GPO (Group Policy Object).

Ce n'est pas qu'une question de restrictions¶

A premiere vue, on pourrait croire que les GPO ne servent qu'a interdire des choses. C'est faux.

Les GPO servent aussi a configurer des choses utiles pour vous :

• Votre imprimante de service est deja installee, sans que vous ayez eu a chercher le pilote
• Votre lecteur reseau Z:\ est connecte automatiquement a chaque connexion
• Votre antivirus est configure et a jour sans intervention de votre part
• Votre PC ne se met jamais en veille pendant une presentation

Tout ca, c'est aussi grace aux GPO. Elles ne sont pas uniquement des "murs" -- elles sont aussi des "ponts" qui vous connectent aux bons outils automatiquement.

Maintenant, imaginez l'alternative¶

Imaginez que l'administrateur doive configurer chaque PC a la main. L'entreprise a 300 postes.

Il devrait :

1. S'asseoir devant le poste numero 1
2. Ouvrir les parametres
3. Desactiver l'USB, imposer le fond d'ecran, configurer le mot de passe...
4. Se lever, aller au poste numero 2
5. Recommencer exactement la meme chose
6. Et ainsi de suite, 300 fois

A raison de 15 minutes par poste, ca represente 75 heures de travail. Plus de 9 jours complets, sans pause.

Avec une GPO, cette meme operation prend 5 minutes. L'administrateur cree la regle une seule fois, et les 300 postes l'appliquent automatiquement.

Et si demain il faut changer le parametre ? Sans GPO, il faut refaire les 300 postes. Avec GPO, il modifie la regle une seule fois et tous les postes se mettent a jour automatiquement.

L'analogie du reglement interieur¶

Pour comprendre les GPO, oubliez l'informatique un instant. Pensez a un college.

Le reglement du college¶

Quand vous etiez au college, il y avait un reglement interieur. Ce reglement contenait des regles comme :

• Port de l'uniforme obligatoire
• Telephone interdit en classe
• Arrivee avant 8h00
• Interdiction de manger en dehors de la cantine

Vous n'aviez pas le choix. Le reglement s'appliquait a tous les eleves, dans toutes les salles, des le premier jour.

Qui ecrivait ce reglement ?¶

Le directeur (et l'equipe de direction). Pas les eleves. Pas les parents. Le directeur decidait des regles, les ecrivait dans un document officiel, et elles s'appliquaient automatiquement.

Si le directeur decidait un jour que les bonnets etaient interdits a l'interieur, il n'allait pas voir chaque eleve un par un. Il ajoutait la regle au reglement, et tous les eleves devaient la respecter des le lendemain.

La GPO, c'est exactement ca¶

Dans un reseau Windows d'entreprise, le principe est identique :

Le directeur n'a pas besoin d'aller voir chaque eleve individuellement pour lui rappeler les regles. Il les ecrit une seule fois, et elles s'appliquent a tout le monde.

C'est pareil pour l'administrateur : il cree une GPO une seule fois, et elle s'applique automatiquement a des dizaines, des centaines, voire des milliers de postes.

Plusieurs reglements pour differents groupes¶

Un college peut avoir des regles differentes selon les niveaux :

• Les 6e n'ont pas acces a la salle de chimie sans accompagnement
• Les 3e ont le droit de sortir a midi
• Les delegues ont une cle de la salle des delegues

De la meme facon, un administrateur peut creer plusieurs GPO pour differents groupes d'utilisateurs ou d'ordinateurs :

• Les comptables ont acces au logiciel de facturation
• Les developpeurs peuvent installer des outils de test
• Les postes de la salle de reunion n'ont pas d'ecran de veille

On appelle ces groupes des unites d'organisation (OU). Mais ne vous inquietez pas, on verra ca en detail plus tard.

Que se passe-t-il quand le reglement change ?¶

Quand le directeur modifie le reglement interieur (par exemple, les bonnets sont desormais autorises), il n'a pas besoin de rappeler chaque eleve un par un. Il met a jour le document, et la nouvelle version s'applique a tout le monde au prochain affichage.

C'est pareil avec les GPO. Quand l'administrateur modifie une GPO, les postes recoivent la mise a jour automatiquement lors du prochain rafraichissement (on verra plus tard que c'est environ toutes les 90 minutes).

Les deux grands types de configuration¶

Revenons a notre analogie du college. Dans un reglement interieur, certaines regles concernent les lieux et d'autres concernent les personnes :

• "La salle informatique ferme a 17h" -- c'est une regle sur le lieu. Peu importe qui est dans la salle, elle ferme a 17h.
• "Les eleves de 3e ont acces a la salle de reunion" -- c'est une regle sur les personnes. Peu importe la salle, ce sont les eleves de 3e qui ont le droit.

Les GPO fonctionnent exactement pareil. Elles se divisent en deux grandes categories :

Configuration ordinateur¶

Ces parametres s'appliquent a la machine, quel que soit l'utilisateur qui se connecte.

Exemples concrets :

• Activer le pare-feu Windows
• Configurer les mises a jour automatiques
• :material-usb-flash-drive-off: Desactiver les ports USB
• Definir la politique de mots de passe (longueur minimale, complexite, etc.)
• Activer le chiffrement BitLocker

C'est comme une regle affichee sur la porte de la salle : "Defense de manger ici". Tous ceux qui entrent doivent la respecter, que ce soit un eleve de 6e, un prof ou le directeur.

Configuration utilisateur¶

Ces parametres s'appliquent a l'utilisateur, quel que soit l'ordinateur sur lequel il se connecte.

Exemples concrets :

• Imposer un fond d'ecran d'entreprise
• Masquer certains elements du menu Demarrer
• Connecter un lecteur reseau (par ex. Z:\ pointe vers le serveur de fichiers)
• Rediriger le dossier Documents vers un serveur
• Executer un script a chaque connexion

C'est comme une regle inscrite sur la carte d'etudiant : "Eleve de 3e, acces a la salle de reunion". Ou que l'eleve aille dans le college, cette regle le suit.

Tableau comparatif¶

Qui decide ? Le role de l'administrateur¶

Revenons encore a notre college. Qui a le droit de modifier le reglement interieur ?

• Le directeur et l'equipe de direction
• Les eleves
• Le personnel d'entretien
• Les parents (sauf au conseil d'administration)

Pour les GPO, c'est pareil. Seul l'administrateur systeme (ou un membre du groupe de securite autorise) peut creer, modifier ou supprimer des GPO.

En tant qu'utilisateur standard, vous ne pouvez pas :

• Voir la liste des GPO qui s'appliquent a votre PC (sauf avec des outils specifiques)
• Modifier ou desactiver une GPO
• Contourner une restriction imposee par une GPO

C'est volontaire. Tout comme un eleve ne peut pas modifier le reglement interieur du college, un utilisateur ne peut pas modifier les strategies de groupe de l'entreprise.

gpresult /r

L'outil du directeur : la console GPMC¶

L'administrateur utilise un outil appele GPMC (Group Policy Management Console, ou "Console de gestion des strategies de groupe" en francais). C'est son tableau de bord.

Avec la GPMC, il peut :

• Creer une nouvelle GPO
• La lier a un groupe d'ordinateurs ou d'utilisateurs (une OU)
• Modifier ses parametres
• La copier pour en creer une variante
• La supprimer
• La sauvegarder et la restaurer
• Voir un rapport detaille de tous ses parametres

Et gpedit.msc dans tout ca ?¶

Il existe un outil plus simple appele gpedit.msc (Group Policy Editor, ou "Editeur de strategies de groupe locales"). Celui-ci est disponible sur les editions Pro et Enterprise de Windows et permet de modifier les strategies locales du PC sur lequel vous vous trouvez.

C'est un peu comme si un professeur pouvait ajouter une regle supplementaire dans sa propre salle de classe, sans que ca affecte les autres salles. La regle ne vaut que pour sa salle.

On explorera gpedit.msc en detail dans le chapitre 2.

GPO locale vs GPO de domaine¶

C'est le moment d'introduire une distinction importante. Il existe deux "niveaux" de GPO, et cette distinction revient tout le temps.

La GPO locale¶

C'est la strategie de groupe qui vit sur votre propre PC, independamment de tout reseau.

Pour reprendre l'analogie : c'est comme le reglement de votre chambre a la maison. C'est vous (ou vos parents) qui decidez des regles. Ca ne concerne que votre chambre, pas celle du voisin.

Caracteristiques :

• Existe sur chaque PC Windows (edition Pro ou Enterprise)
• Se modifie avec gpedit.msc
• N'affecte que ce PC-la
• Ne necessite aucun serveur, ni reseau, ni domaine
• Utile pour configurer son propre poste ou un poste isole

Quand c'est utile :

• Vous avez un PC personnel et vous voulez desactiver Cortana ou les suggestions du menu Demarrer
• Vous etes technicien et vous configurez un PC en kiosque (borne d'accueil, point d'information)
• Vous voulez tester un parametre avant de le deployer en entreprise
• Vous administrez un petit reseau sans Active Directory (groupe de travail)

La GPO de domaine¶

C'est la strategie de groupe creee par l'administrateur sur un controleur de domaine et qui s'applique a tous les ordinateurs et utilisateurs du domaine Active Directory.

Pour reprendre l'analogie : c'est le reglement interieur officiel du college, decide par le directeur, et qui s'applique a toutes les salles et tous les eleves.

Caracteristiques :

• Creee sur un controleur de domaine via la GPMC
• Stockee dans Active Directory (AD)
• S'applique a des centaines ou milliers de postes
• Peut cibler des groupes specifiques (via les OU)
• Ecrase les strategies locales en cas de conflit

Quand c'est utilise :

• L'entreprise veut imposer un mot de passe complexe a tous les employes
• Le service informatique veut deployer une imprimante sur tous les postes du 3e etage
• La direction veut interdire l'installation de logiciels non approuves
• L'equipe securite veut activer le chiffrement BitLocker sur tous les portables
• Le support veut configurer Windows Update pour eviter les redemarrages en plein travail

Tableau comparatif¶

Ce qu'une GPO peut faire (et ce qu'elle ne peut pas)¶

Les GPO sont puissantes, mais elles ne sont pas magiques. Beaucoup de debutants s'imaginent que les GPO peuvent tout faire -- ce n'est pas le cas.

C'est important de bien cerner leurs limites des le depart, pour eviter de perdre du temps a essayer de faire quelque chose d'impossible. Un bon administrateur sait quand utiliser une GPO et quand utiliser un autre outil.

Ce qu'une GPO peut faire¶

Ce qu'une GPO ne peut pas faire¶

Un jour typique avec des GPO¶

On parle beaucoup de ce que les GPO "peuvent" faire en theorie. Mais a quoi ca ressemble en pratique, pour un employe qui ne sait meme pas que les GPO existent ?

Voici ce que les GPO font pour un employe typique au cours d'une journee, sans qu'il s'en rende compte :

Tout ca se passe silencieusement, sans intervention de l'utilisateur ni de l'administrateur. L'employe ne sait probablement meme pas que les GPO existent, et c'est tant mieux : tout fonctionne sans qu'il ait a y penser.

C'est la force des GPO : une fois configurees, elles travaillent toutes seules, jour apres jour, sur tous les postes.

Ou se trouvent les GPO ?¶

Quand un administrateur cree une GPO dans la GPMC, ou va-t-elle concretement ? Pas sur son PC a lui -- ca n'aurait aucun sens, puisque les autres postes doivent pouvoir y acceder.

La reponse est un peu surprenante : chaque GPO est stockee a deux endroits en meme temps.

Les deux moities d'une GPO¶

Chaque GPO de domaine est composee de deux parties complementaires. Aucune ne fonctionne sans l'autre.

Pour reprendre notre analogie : c'est comme si le reglement interieur du college etait compose de deux parties :

• Le sommaire et l'index (stockes dans le bureau du directeur) : qui indique quels chapitres existent et a qui ils s'appliquent
• Les pages du reglement (affichees sur le panneau d'affichage) : le contenu reel des regles

L'adresse d'une GPO dans SYSVOL¶

Si vous etes curieux, voici a quoi ressemble le chemin d'une GPO dans SYSVOL :

\\domaine.local\SYSVOL\domaine.local\Policies\{GUID-de-la-GPO}

Le GUID (Globally Unique Identifier) est un identifiant unique genere automatiquement par Windows au moment de la creation de la GPO. Il ressemble a quelque chose comme {31B2F340-016D-11D2-945F-00C04FB984F9}. Ce n'est pas tres lisible pour un humain, mais Windows s'y retrouve parfaitement.

A l'interieur de ce dossier, on trouve generalement :

• Un sous-dossier Machine\ contenant les parametres de configuration ordinateur
• Un sous-dossier User\ contenant les parametres de configuration utilisateur
• Un fichier GPT.INI contenant le numero de version de la GPO

Vous n'avez pas besoin de connaitre ces details pour utiliser les GPO au quotidien. Mais ca aide de savoir que derriere l'interface graphique de la GPMC, ce sont de simples fichiers et dossiers.

Le chemin d'une GPO, de l'administrateur a votre PC¶

Voici comment une GPO voyage depuis l'administrateur jusqu'a votre poste de travail :

flowchart TD
    A["<b>L'administrateur</b><br>cree ou modifie une GPO<br>dans la console GPMC"]
    B["<b>Active Directory</b><br>stocke les metadonnees<br>(GPC)"]
    C["<b>SYSVOL</b><br>stocke les fichiers<br>de configuration (GPT)"]
    D["<b>Replication</b><br>les controleurs de domaine<br>se synchronisent entre eux"]
    E["<b>Votre PC</b><br>contacte un controleur<br>de domaine"]
    F["<b>Application</b><br>les parametres sont<br>appliques sur votre poste"]

    A --> B
    A --> C
    B --> D
    C --> D
    D --> E
    E --> F

    style A fill:#4dabf7,color:#fff
    style B fill:#748ffc,color:#fff
    style C fill:#748ffc,color:#fff
    style D fill:#f59f00,color:#fff
    style E fill:#20c997,color:#fff
    style F fill:#51cf66,color:#fff

En resume, le parcours est le suivant :

1. L'administrateur cree la GPO dans la GPMC
2. La GPO est enregistree dans Active Directory (metadonnees) et dans SYSVOL (fichiers)
3. Les controleurs de domaine se synchronisent entre eux (replication)
4. Votre PC contacte un controleur de domaine et telecharge les GPO qui le concernent
5. Les parametres sont appliques sur votre poste

Comment ca fonctionne en pratique ?¶

Maintenant que vous savez ou vivent les GPO, voyons comment elles arrivent concretement sur votre PC au quotidien.

Le cycle de vie d'une GPO sur votre poste¶

C'est un processus invisible pour l'utilisateur, mais qui se repete chaque jour, a chaque demarrage.

Quand vous allumez votre PC et que vous vous connectez, voici ce qui se passe en coulisses :

Etape 1 -- Le PC demarre

Votre ordinateur s'allume et contacte un controleur de domaine (le "serveur principal" du reseau). C'est comme arriver au college le matin et passer devant le panneau d'affichage.

Etape 2 -- Telechargement des GPO ordinateur

Le controleur de domaine verifie quelles GPO s'appliquent a cet ordinateur (en fonction de l'OU dans laquelle il se trouve) et les envoie. Le PC applique ces parametres avant que quiconque ne se connecte.

C'est comme les regles affichees dans la salle de classe avant l'arrivee des eleves. Le tableau blanc dit deja "Interdiction d'utiliser le telephone" avant que le premier eleve ne franchisse la porte.

Etape 3 -- L'utilisateur se connecte

Vous entrez votre identifiant et votre mot de passe. Le controleur de domaine verifie maintenant quelles GPO s'appliquent a votre compte utilisateur et les envoie.

C'est comme recevoir votre emploi du temps personnel apres avoir montre votre carte d'etudiant. Les regles qui vous concernent personnellement s'ajoutent aux regles de la salle.

Etape 4 -- Application des parametres utilisateur

Le PC applique les parametres utilisateur : fond d'ecran, lecteurs reseau, scripts de connexion, raccourcis, preferences du menu Demarrer, etc.

A partir de ce moment, votre bureau est configure avec a la fois les regles de la machine (etape 2) et les regles de votre compte (etape 4). Les deux se combinent pour former votre environnement de travail complet.

C'est pour ca que l'ouverture de session peut parfois prendre quelques secondes de plus en entreprise : Windows est en train d'appliquer toutes ces regles en arriere-plan.

Etape 5 -- Rafraichissement periodique

Toutes les 90 minutes environ (avec un decalage aleatoire de 0 a 30 minutes), votre PC re-verifie aupres du controleur de domaine s'il y a eu des changements. Si l'administrateur a modifie une GPO entre-temps, les nouveaux parametres sont appliques sans que vous ayez besoin de redemarrer.

Pourquoi 90 minutes ?¶

Forcer la mise a jour¶

gpupdate /force

Le cycle represente visuellement¶

flowchart LR
    A["<b>Demarrage</b><br>du PC"] --> B["<b>GPO ordinateur</b><br>telechargees<br>et appliquees"]
    B --> C["<b>Ecran<br>de connexion</b>"]
    C --> D["<b>L'utilisateur</b><br>se connecte"]
    D --> E["<b>GPO utilisateur</b><br>telechargees<br>et appliquees"]
    E --> F["<b>Bureau<br>operationnel</b>"]
    F --> G["<b>Rafraichissement</b><br>toutes les ~90 min"]
    G --> F

    style A fill:#868e96,color:#fff
    style B fill:#4dabf7,color:#fff
    style C fill:#868e96,color:#fff
    style D fill:#20c997,color:#fff
    style E fill:#748ffc,color:#fff
    style F fill:#51cf66,color:#fff
    style G fill:#f59f00,color:#fff

Le cycle complet en un coup d'oeil¶

Que se passe-t-il quand deux GPO se contredisent ?¶

Bonne question. Imaginez deux GPO :

• La GPO "Securite-Entreprise" dit : "L'ecran de veille se declenche apres 5 minutes"
• La GPO "Developpeurs" dit : "L'ecran de veille se declenche apres 30 minutes"

Si un developpeur recoit les deux, laquelle gagne ? La reponse depend de l'ordre d'application (le fameux LSDOU) et de la priorite des GPO. En general, la GPO la plus "proche" de l'utilisateur gagne (celle de l'OU la plus specifique).

C'est comme si le reglement du college disait "Arrivee a 8h" et que le reglement special du club de theatre disait "Les membres du club peuvent arriver a 8h30 le jeudi". La regle la plus specifique prime.

On explorera cette mecanique en detail au chapitre 6 -- Heritage et ordre d'application. Pour l'instant, retenez simplement que les conflits sont geres automatiquement par Windows selon des regles de priorite bien definies.

Questions que vous vous posez peut-etre¶

Apres cette premiere decouverte, voici quelques questions qu'on entend regulierement de la part des debutants. Si vous ne vous les posez pas encore, vous vous les poserez probablement dans les prochains chapitres.

Prenez le temps de lire celles qui vous interpellent -- les autres, vous pourrez toujours y revenir plus tard.

"Est-ce que mon patron peut voir ce que je fais grace aux GPO ?"¶

Non. Les GPO configurent des regles, elles ne surveillent pas. Une GPO peut interdire l'acces a un site web, mais elle ne peut pas enregistrer les sites que vous visitez.

Cela dit, d'autres outils (proxy, antivirus, logiciel de supervision) peuvent le faire. Mais ce ne sont pas des GPO.

"Est-ce que je peux contourner une GPO ?"¶

En tant qu'utilisateur standard, non. Les GPO s'appliquent au niveau du systeme, et vous n'avez pas les droits necessaires pour les modifier ou les desactiver.

Un administrateur local peut parfois contourner certaines restrictions en modifiant le registre directement, mais c'est une mauvaise pratique pour deux raisons :

1. Au prochain rafraichissement (toutes les ~90 min), la GPO re-appliquera ses parametres et ecrasera les modifications
2. Les audits de securite peuvent detecter ces modifications non autorisees

"Est-ce que les GPO ralentissent mon PC ?"¶

En general, non. Les GPO sont des parametres de configuration, pas des programmes qui tournent en permanence. Elles sont appliquees au demarrage et a la connexion, puis le PC fonctionne normalement.

Il existe un cas ou les GPO peuvent ralentir le demarrage : quand il y en a beaucoup (des dizaines) ou qu'elles contiennent des scripts lourds. Mais c'est rare dans un environnement bien gere.

"Est-ce que ca fonctionne si je suis en teletravail ?"¶

Ca depend. Si votre PC est connecte au reseau de l'entreprise via un VPN, oui : il peut contacter le controleur de domaine et recevoir les GPO normalement.

Si vous n'etes pas connecte au VPN, votre PC utilisera les GPO en cache -- celles de la derniere connexion au reseau de l'entreprise. Les parametres restent en place, mais les nouvelles GPO ne seront pas telechargees tant que vous ne serez pas reconnecte.

"Combien de GPO peut-il y avoir dans une entreprise ?"¶

Il n'y a pas de limite technique stricte. En pratique :

Microsoft recommande de ne pas depasser une trentaine de GPO applicables par poste (pas au total), pour eviter de ralentir le demarrage. Mais c'est une recommandation, pas une limite dure.

"Les GPO existent depuis quand ?"¶

Les GPO existent depuis Windows 2000, sorti en fevrier 2000. Elles ont remplace un ancien systeme appele "System Policies" (strategies systeme) qui existait sous Windows NT 4.0. Plus de 25 ans plus tard, les GPO restent un pilier de l'administration Windows en entreprise.

Elles ont bien sur evolue avec le temps : chaque nouvelle version de Windows ajoute de nouveaux parametres configurables par GPO. Windows 11, par exemple, a introduit des parametres pour le nouveau menu Demarrer et les widgets.

Les termes a retenir¶

Les GPO viennent avec leur lot de jargon technique. Ca peut paraitre intimidant au debut, mais la plupart des termes se comprennent facilement une fois qu'on les associe a notre analogie du college.

Voici un petit lexique des termes que vous allez croiser regulierement dans ce livre. Pas besoin de tout memoriser maintenant -- considerez cette section comme un aide-memoire. Revenez-y quand vous tombez sur un terme que vous avez oublie.

Recapitulatif du chapitre¶

Vous avez maintenant une vision d'ensemble de ce qu'est une strategie de groupe. Voici un tableau recapitulatif pour tout retenir en un coup d'oeil :

Verifiez vos connaissances¶

Avant de passer au chapitre 2, essayez de repondre a ces questions sans regarder le cours :

1. Quelle est la difference entre une GPO ordinateur et une GPO utilisateur ?
2. Que signifie l'acronyme LSDOU ?
3. Un utilisateur standard peut-il modifier une GPO de domaine ?
4. A quoi sert la commande gpupdate /force ?
5. Ou sont stockees les GPO de domaine ? (Deux endroits)
6. Toutes les combien de minutes un PC verifie-t-il s'il y a de nouvelles GPO ?

Si vous pouvez repondre a au moins 4 de ces 6 questions, vous etes pret pour la suite.

La suite¶

Maintenant que vous savez ce qu'est une GPO, il est temps de la voir en action.

Dans le chapitre 2 -- L'editeur de strategies locales (gpedit.msc), vous allez :

• Ouvrir gpedit.msc pour la premiere fois
• Comprendre l'arborescence des parametres
• Apprendre a naviguer dans les categories
• Voir a quoi ressemble un parametre de strategie de groupe

Pas besoin de serveur, pas besoin de domaine, pas besoin d'etre administrateur d'entreprise : tout se passe sur votre propre PC.