Stratégie de groupe

Les stratégies de groupe peuvent contrôler des clés de registre, la sécurité NTFS, la politique de sécurité et d’audit, l’installation de logiciel, les scripts de connexion et de déconnexion, la redirection des dossiers, et les paramètres d’Internet Explorer. Les paramétrages sont stockés dans les stratégies de groupe. Chaque stratégie de groupe possède un identifiant unique appelé GUID (« Globally Unique Identifier »). Chaque stratégie de groupe peut être liée à un ou plusieurs domaines, site ou unité d’organisation (en). Cela permet à plusieurs objets ordinateurs ou utilisateurs d’être contrôlés par une seule stratégie de groupe et donc de diminuer le coût d’administration globale de ces éléments.

Les stratégies de groupe utilisent des fichiers de modèle d’administration avec les extensions .ADM ou .ADMX qui décrivent les clés de registre modifiées par l’application des stratégies de groupe. Sur un ordinateur de travail, les modèles d’administration sont stockés dans le répertoire %WinDir%\Inf, alors que sur un contrôleur de domaine Active Directory, pour chaque domaine et pour chaque stratégie de groupe, ils sont stockés dans un répertoire individuel (le « group policy template (en) », ou GPT) au sein du répertoire Sysvol. Les fichiers .ADMX sont des fichiers basés sur un format XML et introduits par Windows Vista pour la gestion des stratégies de groupe.

Les stratégies de groupe sont analysées et appliquées au démarrage de l’ordinateur et pendant l’ouverture de session de l’utilisateur. Les ordinateurs rafraîchissent les paramètres transmis par les stratégies de groupe de façon périodique, généralement toutes les heures ou les deux heures , ce paramètre étant ajustable par un paramètre de stratégie de groupe cela permet aussi un piratage assez simple d'un réseau avec un package spécial.^{[réf. nécessaire]}

Les stratégies de groupe sont supportées sur Windows 2000, Windows XP Pro, Windows Vista, Windows Server 2003, Windows Server 2008, Windows 7, Windows 8, Windows 10, Microsoft Windows Server 2012, Microsoft Windows Server 2016 et Microsoft Windows Server 2019 .

Les stratégies de groupe peuvent être considérées en trois phases distinctes

Les stratégies de groupe locales sont une version plus basique des stratégies de groupe utilisées avec Active Directory. Dans les versions antérieures à Windows Vista, les stratégies de groupe locales peuvent être utilisées sur un ordinateur local, mais ne peuvent pas être utilisées pour des comptes utilisateur ou des groupes. La limitation liée aux utilisateurs peut être contournée en utilisant l’éditeur de base de registre pour modifier les clés sous HKCU ou HKU. Les stratégies de groupe locales réalisent des modifications sous la clé HKLM, ce qui affecte tous les utilisateurs ; les mêmes changements peuvent être effectués sous HKCU ou HKU pour affecter uniquement certains utilisateurs. Microsoft fournit des informations complémentaires sur son site Technet.

Windows Vista supporte les stratégies de groupe locales multiples, qui permettent de positionner les paramètres pour les utilisateurs individuels.

Il est possible de vérifier l'application des GPO manuellement avec les commandes

• gpresult (Windows 2003 et Windows XP)

GPResult

• rsop.msc (Windows 2000 à 8 ; serveurs Windows 2000 à 2012) offre une interface graphique "Jeu de stratégie résultant".

Il est possible de forcer l'application des GPO manuellement avec les commandes

• gpupdate (Windows 2003 et Windows XP ainsi que sous Windows Vista, Windows 7, 8 et 10).

GPUpdate /Force

Info: gpupdate ne déploie pas les GPO aux membres du domaine. Elle doit être exécutée sur chaque poste concerné.

• secedit (Windows 2000)

Secedit /RefreshPolicy machine_policy /ENFORCE pour les GPO s'appliquant aux ordinateurs
Secedit /RefreshPolicy user_policy /ENFORCE pour les GPO s'appliquant aux utilisateurs

Les GPO sont gérées sur Windows 2012 R2, Windows 2012, Windows 2008 R2, Windows 7, Windows 2008, Windows Vista, Windows 2003, Windows XP Professionnel, Windows 2000, Windows 2012.