La console GPMC : premiers pas¶

De gpedit a GPMC : pourquoi un autre outil ?¶

Au chapitre 2, on a decouvert gpedit.msc. C'est pratique, c'est rapide, ca marche. Alors pourquoi un autre outil ?

L'analogie de la regie¶

Imaginez un hotel avec 200 chambres. Chaque chambre a sa propre telecommande pour sa television.

gpedit.msc, c'est la telecommande d'une seule chambre. Vous etes devant la tele, vous changez les chaines, vous montez le volume. Ca fonctionne, mais uniquement pour cette chambre-la.

Maintenant, imaginez la regie de l'hotel : une salle avec des ecrans montrant toutes les televisions du batiment. Depuis cette regie, vous pouvez :

• Voir ce qui passe sur chaque ecran
• Changer les reglages de 50 chambres d'un coup
• Appliquer la meme programmation a tout un etage

GPMC (Group Policy Management Console), c'est cette regie. Au lieu de gerer un seul PC, vous gerez tout le domaine Active Directory depuis un seul ecran.

Comparaison cote a cote¶

Quand utiliser lequel ?¶

En pratique, voici comment choisir :

• Vous configurez un PC autonome (pas dans un domaine) → gpedit.msc
• Vous testez un parametre en local avant de le deployer en GPO → gpedit.msc
• Vous gerez des GPO pour un domaine → GPMC
• Vous voulez voir les GPO appliquees a un PC distant → GPMC

Installer GPMC¶

GPMC fait partie des RSAT (Remote Server Administration Tools). Ces outils ne sont pas installes par defaut sur un poste Windows client.

Sur Windows 10 / 11 (Pro ou Enterprise)¶

Methode graphique¶

Methode PowerShell (plus rapide)¶

Ouvrez un terminal PowerShell en administrateur et lancez :

# Install RSAT Group Policy Management Tools
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0

Pour verifier que l'installation a reussi :

# Verify RSAT GP tools are installed
Get-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0

Vous devez voir State : Installed dans la sortie.

Sur Windows Server¶

Si vous travaillez sur un serveur membre (sans le role AD DS), vous pouvez ajouter GPMC via le Gestionnaire de serveur :

Sur Windows Home¶

Ouvrir la console¶

Une fois GPMC installe, l'ouvrir est tres simple.

Methode rapide (recommandee)¶

Appuyez sur Win+R, tapez gpmc.msc, puis appuyez sur Enter.

C'est la methode la plus rapide. Trois syllabes a retenir : gpmc.msc. Comme pour gpedit.msc, l'extension .msc signifie Microsoft Management Console Snap-in.

Methode menu Demarrer¶

Ouvrez le menu Demarrer et recherchez Gestion des strategies de groupe (ou Group Policy Management si votre Windows est en anglais).

Methode PowerShell¶

Vous pouvez aussi lancer GPMC depuis un terminal :

# Launch GPMC from PowerShell
gpmc.msc

L'interface de GPMC¶

L'analogie de l'explorateur de fichiers¶

Vous connaissez l'Explorateur de fichiers Windows ? L'arborescence de dossiers a gauche, le contenu a droite ?

GPMC fonctionne exactement pareil. Sauf qu'au lieu de naviguer dans vos documents, vous naviguez dans la structure de votre domaine Active Directory et dans les regles (GPO) qui s'y appliquent.

Les trois panneaux¶

Quand vous ouvrez GPMC, vous voyez trois zones :

Le panneau de gauche est le plus important. C'est la que vous passez 80% de votre temps.

Les noeuds principaux de l'arborescence¶

Quand vous deployez l'arborescence, voici ce que vous trouvez :

Comprendre l'arborescence¶

L'arborescence de GPMC reflete la structure de votre Active Directory. Voici a quoi elle ressemble :

graph TD
    F["🌳 Foret : corp.local"]
    F --> D["🏢 Domaine : corp.local"]
    D --> OU1["📁 OU : Siege"]
    D --> OU2["📁 OU : Agence Lyon"]
    D --> GPOContainer["📦 Objets de strategie<br>de groupe"]
    D --> WMI["🔍 Filtres WMI"]
    D --> Starter["📋 Objets GPO<br>de demarrage"]

    OU1 --> OU1a["📁 OU : Ordinateurs"]
    OU1 --> OU1b["📁 OU : Utilisateurs"]
    OU2 --> OU2a["📁 OU : Ordinateurs"]
    OU2 --> OU2b["📁 OU : Utilisateurs"]

    GPOContainer --> GPO1["📜 Default Domain Policy"]
    GPOContainer --> GPO2["📜 Securite - Ecran de veille"]
    GPOContainer --> GPO3["📜 Deploy - Imprimantes Lyon"]

    OU1a -. "lien" .-> GPO2
    OU2a -. "lien" .-> GPO2
    OU2a -. "lien" .-> GPO3

    style F fill:#2196F3,color:#fff
    style D fill:#4CAF50,color:#fff
    style GPOContainer fill:#FF9800,color:#fff
    style GPO1 fill:#FFD54F,color:#333
    style GPO2 fill:#FFD54F,color:#333
    style GPO3 fill:#FFD54F,color:#333

Le point cle a retenir¶

Regardez bien le diagramme ci-dessus. Les GPO "vivent" dans le conteneur Objets de strategie de groupe (la boite orange). Mais elles sont liees aux OU par des liens (les lignes pointillees).

C'est comme un catalogue de produits dans un magasin : les produits existent dans l'entrepot (le conteneur), mais ils sont affiches dans differents rayons (les OU).

Une meme GPO peut etre liee a plusieurs OU. Par exemple, la GPO "Securite - Ecran de veille" est liee a la fois au Siege et a l'Agence Lyon.

Les OU ne sont pas des GPO¶

Attention a ne pas confondre les OU et les GPO dans l'arborescence. Ce sont deux choses differentes :

• Les OU (Unites d'Organisation) sont des "dossiers" qui organisent vos utilisateurs et ordinateurs. Elles existent dans Active Directory independamment des GPO.
• Les GPO sont des ensembles de reglages que vous liez a ces OU.

Imaginez un immeuble de bureaux (Active Directory). Les etages et les pieces (les OU) existent meme sans affiche. Les GPO sont les affiches que vous choisissez de coller dans certaines pieces.

Lire une GPO existante¶

Avant de creer des GPO (ca, c'est le chapitre 5), apprenons a lire celles qui existent deja. On va examiner la Default Domain Policy, presente dans tous les domaines.

Vous voyez apparaitre quatre onglets dans le panneau central. Chacun raconte une partie de l'histoire de cette GPO.

Onglet "Etendue" (Scope)¶

C'est le premier onglet, celui qui s'affiche par defaut.

Il repond a la question : "Ou cette GPO est-elle appliquee ?"

Vous y trouvez trois sections :

Section "Liaisons" : la liste des OU auxquelles cette GPO est liee. Pour la Default Domain Policy, c'est la racine du domaine (ex. corp.local). Si une GPO est liee a trois OU, les trois apparaissent ici.

Section "Filtrage de securite" : quels utilisateurs ou groupes sont concernes par cette GPO. Par defaut, c'est "Utilisateurs authentifies", ce qui signifie tout le monde dans le domaine. On peut restreindre a un groupe specifique (par exemple, seulement le groupe "Comptabilite").

Section "Filtrage WMI" : un filtre materiel ou logiciel optionnel. Par exemple, "appliquer cette GPO uniquement aux PC qui ont plus de 8 Go de RAM". C'est un sujet avance, vide par defaut.

Onglet "Details"¶

C'est la carte d'identite de la GPO.

Onglet "Parametres" (Settings)¶

C'est l'onglet le plus interessant. Il genere un rapport HTML qui montre tous les parametres configures dans la GPO.

Le rapport est organise en deux grandes sections :

• Configuration ordinateur : les parametres qui s'appliquent au PC (peu importe qui se connecte)
• Configuration utilisateur : les parametres qui s'appliquent a l'utilisateur (peu importe sur quel PC il se connecte)

Pour la Default Domain Policy, vous verrez typiquement les strategies de mot de passe (longueur minimale, complexite, expiration) et les strategies de verrouillage de compte (nombre de tentatives avant verrouillage).

Onglet "Delegation"¶

Cet onglet montre qui a le droit de faire quoi sur cette GPO :

• Lire : voir les parametres
• Modifier les parametres : changer la configuration
• Modifier les parametres, supprimer et modifier la securite : controle total
• Lire (a partir du filtrage de securite) : necessaire pour que la GPO s'applique

Comprendre les liens¶

C'est LE concept qui fait trebucher les debutants. Prenez le temps de bien le comprendre, ca vous evitera des heures de confusion par la suite.

L'analogie de l'affiche¶

Imaginez que vous creez une affiche pour un evenement dans votre entreprise.

L'affiche existe en un seul exemplaire original (c'est la GPO).

Vous en faites des copies que vous scotchez sur differents panneaux d'affichage dans le batiment : a la cafeteria, dans le hall, pres de l'ascenseur (ce sont les liens).

Maintenant, quelques situations :

Visualiser le concept¶

Voici un diagramme qui illustre la difference entre la GPO et ses liens :

graph LR
    subgraph Conteneur["📦 Objets de strategie de groupe"]
        GPO["📜 GPO : Ecran de veille<br><i>L'original unique</i>"]
    end

    subgraph Structure["📁 Arborescence des OU"]
        OU1["📁 OU : Siege"]
        OU2["📁 OU : Lyon"]
        OU3["📁 OU : Marseille"]
    end

    OU1 -. "🔗 Lien 1" .-> GPO
    OU2 -. "🔗 Lien 2" .-> GPO
    OU3 -. "🔗 Lien 3" .-> GPO

    style Conteneur fill:#FFF3E0,stroke:#FF9800
    style Structure fill:#E8F5E9,stroke:#4CAF50
    style GPO fill:#FFD54F,color:#333

Les trois liens pointent vers la meme GPO. Si vous modifiez la GPO, le changement s'applique aux trois OU instantanement.

La confusion classique¶

Desactiver un lien sans le supprimer¶

Il existe une option intermediaire entre "le lien existe" et "le lien est supprime" : la desactivation du lien.

Clic droit sur une GPO sous une OU → Lien active (decocher). L'icone de la GPO sous l'OU devient grisee. La GPO ne s'applique plus a cette OU, mais le lien reste en place. Vous pouvez le reactiver a tout moment.

C'est comme retourner l'affiche face contre le mur : elle est toujours scotchee au panneau, mais personne ne la voit. Pratique pour tester ou depanner.

Comment creer un lien ?¶

On detaillera ca au chapitre 5, mais en bref :

• Clic droit sur une OU → Lier un objet de strategie de groupe existant → choisir la GPO dans la liste

C'est tout. La GPO n'est pas copiee, elle est simplement referencee par l'OU.

Ordre des liens¶

Quand plusieurs GPO sont liees a la meme OU, elles s'appliquent dans un ordre precis. La GPO avec le numero de lien le plus bas a la priorite la plus haute.

Vous pouvez changer l'ordre en selectionnant l'OU et en utilisant les fleches haut/bas dans le panneau central. On approfondira ce sujet au chapitre 6 sur l'heritage.

Le rapport de parametres¶

L'onglet Parametres d'une GPO est votre meilleur allie pour comprendre ce qu'une GPO fait reellement. C'est un rapport HTML lisible directement dans GPMC.

Comment le consulter¶

Structure du rapport¶

Le rapport est divise en deux parties principales :

📋 Default Domain Policy
├── 🖥️ Configuration ordinateur
│   ├── Strategies
│   │   ├── Parametres Windows
│   │   │   └── Parametres de securite
│   │   │       ├── Strategies de compte
│   │   │       │   ├── Strategie de mot de passe
│   │   │       │   └── Strategie de verrouillage du compte
│   │   │       └── ...
│   │   └── Modeles d'administration
│   │       └── ...
│   └── Preferences
│       └── ...
└── 👤 Configuration utilisateur
    ├── Strategies
    │   └── ...
    └── Preferences
        └── ...

Exemple concret : la Default Domain Policy¶

Voici ce que vous verrez typiquement dans le rapport de la Default Domain Policy :

Exporter le rapport¶

Vous pouvez sauvegarder le rapport pour le partager ou l'archiver :

• Clic droit sur la GPO → Enregistrer le rapport → choisir un format (HTML ou XML)
• Le format HTML est lisible dans n'importe quel navigateur, parfait pour le partager avec un collegue ou un manager
• Le format XML est utile pour les scripts d'analyse et la comparaison entre GPO

Vous pouvez aussi utiliser PowerShell pour generer des rapports en masse :

# Export all GPO reports to HTML files in a folder
Get-GPO -All | ForEach-Object {
    $name = $_.DisplayName -replace '[\\/:*?"<>|]', '_'
    Get-GPOReport -Guid $_.Id -ReportType Html -Path "C:\Temp\GPO-Reports\$name.html"
}

Les filtres et la recherche¶

Dans un petit environnement avec 5 GPO, on retrouve tout facilement. Mais dans une entreprise avec 200 GPO, il faut pouvoir chercher.

Rechercher une GPO par nom¶

Les resultats s'affichent dans une liste. Double-cliquez sur un resultat pour naviguer directement vers cette GPO.

Criteres de recherche disponibles¶

Rechercher avec PowerShell¶

Si vous preferez la ligne de commande, PowerShell permet de chercher encore plus vite :

# Find all GPOs containing "securite" in their name
Get-GPO -All | Where-Object { $_.DisplayName -like "*securite*" }

# Find all GPOs linked to a specific OU
(Get-GPInheritance -Target "OU=Siege,DC=corp,DC=local").GpoLinks

Filtrer l'affichage dans l'arborescence¶

En plus de la recherche, vous pouvez filtrer ce que GPMC affiche :

• Clic droit sur le conteneur "Objets de strategie de groupe" → Afficher permet de choisir quelles colonnes afficher
• Le tri par nom (cliquez sur l'en-tete de colonne) aide a retrouver rapidement une GPO
• Vous pouvez aussi deployer ou reduire les branches de l'arborescence pour ne voir que ce qui vous interesse

Ou cliquer : aide-memoire visuel¶

Pour vous y retrouver dans GPMC, voici un recapitulatif des actions principales et ou les trouver :

Exercice : decouvrir la console GPMC et lire une GPO¶

Rien ne vaut la pratique. Si vous avez acces a un domaine Active Directory (meme un environnement de test), essayez cet exercice.

Erreurs courantes du debutant¶

Avant de passer au chapitre suivant, voici les pieges classiques a eviter :

Vocabulaire cle de ce chapitre¶

Avant de continuer, assurons-nous que les termes sont clairs :

Un mot sur PowerShell et GPMC¶

Tout ce que vous faites dans GPMC avec la souris, vous pouvez aussi le faire en PowerShell. C'est utile pour automatiser des taches repetitives ou pour gerer un grand nombre de GPO.

Voici un avant-gout des commandes que vous utiliserez plus tard :

# List all GPOs in the domain
Get-GPO -All

# Get details of a specific GPO
Get-GPO -Name "Default Domain Policy"

# Generate an HTML report for a GPO
Get-GPOReport -Name "Default Domain Policy" -ReportType Html -Path "C:\Temp\DDP-report.html"

Recapitulatif du chapitre¶

La suite : creer sa premiere GPO¶

Vous savez maintenant naviguer dans GPMC et lire les GPO existantes. C'est comme savoir lire une carte avant de prendre le volant.

Dans ce chapitre, vous avez appris a :

• Installer GPMC via les outils RSAT
• Ouvrir la console et comprendre son interface
• Naviguer dans l'arborescence foret → domaine → OU
• Lire les quatre onglets d'une GPO existante
• Distinguer une GPO de ses liens (le concept le plus important)
• Utiliser la recherche pour trouver une GPO

Au chapitre 5, on passe a l'action : vous allez creer votre premiere GPO de A a Z, la configurer avec un parametre concret et la lier a une OU ciblee. Votre premiere regle de groupe, appliquee a de vrais utilisateurs.

C'est la que les choses deviennent vraiment interessantes.