Projet Networking TNE

Gestion Centralisée par Stratégies de Groupe (GPO)

6 min de lecture

Phase 3 : Gestion Centralisée par Stratégies de Groupe (GPO)

1. Objectif de ce Document

Ce document est le référentiel central de toutes les Stratégies de Groupe (GPO) actives sur notre domaine tne.local. Il décrit chaque GPO, son objectif, les paramètres clés qu’elle contient, et à quelle Unité d’Organisation (OU) elle est liée.

C’est le “règlement intérieur” automatisé de notre parc informatique.

2. Le “Pourquoi” : Piloter une Flotte, pas des Voitures Individuelles

Les GPO sont le cœur de l’administration d’un parc Microsoft. Sans elles, nous devrions configurer chaque machine une par une. Avec les GPO, nous pilotons la flotte entière depuis une seule tour de contrôle.

Centraliser leur documentation ici nous permet de :

  • Avoir une vue d’ensemble de toutes les règles appliquées.
  • Comprendre rapidement l’impact d’un changement.
  • Faciliter le dépannage en sachant quelle GPO applique quel paramètre.
  • Maintenir la cohérence et éviter les GPO dupliquées ou contradictoires.

3. Prérequis Techniques : Le Central Store

Pour une gestion optimale des GPO, tous les modèles d’administration (.admx) de nos logiciels (Microsoft Office, Firefox, etc.) sont installés dans le Central Store de notre domaine.

  • Emplacement : \\tne.local\SYSVOL\tne.local\Policies\PolicyDefinitions\
  • Avantage : Tout administrateur qui ouvre l’éditeur de GPO depuis n’importe quelle machine verra exactement les mêmes paramètres disponibles.

4. Prérequis Côté Serveur de Fichiers (NAS QNAP)

Avant de pouvoir déployer des lecteurs réseau, les partages doivent être créés sur notre serveur de fichiers (nas-bpr-storage-01) avec les bonnes permissions.

  • Partages à créer sur le NAS :
    1. Commun : Pour les échanges entre tous les utilisateurs.
    2. Personnel : Un dossier partagé destiné à contenir les dossiers personnels de chaque enseignant.
    3. Eleves : Un dossier partagé pour les dossiers personnels de chaque élève.
  • Permissions NTFS requises (à configurer sur les dossiers) :
    • Pour le partage Personnel :
      • GRP-SEC-Personnel-Enseignants : Modify
      • SYSTEM, Administrators : Full Control
    • Pour le partage Eleves :
      • GRP-SEC-Lycee-* (tous les groupes élèves) : Modify
      • GRP-SEC-BTS-* (tous les groupes BTS) : Modify
      • SYSTEM, Administrators : Full Control
    • Dossiers Personnels : Il est recommandé d’utiliser un script pour pré-créer un dossier au nom de chaque utilisateur (p.nom) dans ces partages et d’appliquer la permission spéciale CREATOR OWNER pour que chacun soit maître de son propre dossier.

4. Catalogue de nos Stratégies de Groupe (GPO)

GPO-01 : Default Domain Policy

  • Objectif : Gérer les paramètres de sécurité fondamentaux du domaine.
  • Paramètres Clés :
    • Politiques de mot de passe : Longueur minimale (10 caractères), complexité requise, historique.
    • Politique de verrouillage de compte : Verrouillage après 5 tentatives échouées.
  • Liée à : Racine du domaine tne.local (par défaut).

GPO-02 : GPO-WSUS-Clients

  • Objectif : Forcer les clients et serveurs à utiliser notre serveur WSUS local pour les mises à jour.
  • Paramètres Clés (Computer Configuration > ... > Windows Update) :
    • Specify intranet Microsoft update service location : Activé, pointe vers http://vm-win-wsus-01.tne.local:8530.
    • Configure Automatic Updates : Activé (Téléchargement auto, installation planifiée la nuit).
    • Enable client-side targeting : Activé (pour trier les machines dans les bons groupes WSUS).
  • Liée à : OU LyceeTechnique/Ordinateurs.

GPO-03 : GPO-Proxy-Settings

  • Objectif : Configurer automatiquement le proxy dans le navigateur des utilisateurs.
  • Paramètres Clés (User Configuration > Preferences > Internet Settings) :
    • Configuration du Proxy : Adresse 10.0.20.254, Port 3128.
  • Liée à : OU LyceeTechnique/Utilisateurs.

GPO-04 : GPO-Deploy-Software-Agents

  • Objectif : Déployer silencieusement les agents de gestion sur tous les postes.
  • Paramètres Clés (Computer Configuration > Policies > Software Settings > Software installation) :
    • Déploiement du MSI de l’agent GLPI.
    • Déploiement du MSI de l’agent Zabbix 2.
  • Liée à : OU LyceeTechnique/Ordinateurs.

GPO-05 : GPO-Firefox-Settings

  • Objectif : Standardiser la configuration du navigateur Firefox ESR pour tous les utilisateurs.
  • Paramètres Clés (Computer Configuration > ... > Mozilla > Firefox) :
    • Extensions > Extensions to Install :
      • Installe uBlock Origin (https://addons.mozilla.org/fr/firefox/addon/ublock-origin/).
      • Installe Bitwarden (https://addons.mozilla.org/fr/firefox/addon/bitwarden-password-manager/).
    • Extensions > Extension Policies :
      • Configure l’extension Bitwarden (ID 446900e4-71c2-419f-a6a7-df9c091e268b) pour qu’elle pointe automatiquement vers notre serveur Vaultwarden (http://vault.tne.local:8080).
    • Home Page :
      • Définit la page d’accueil par défaut pour tous les utilisateurs (ex: le portail d’accueil Nginx).
  • Liée à : OU LyceeTechnique/Ordinateurs/Postes Clients.

GPO-06 : GPO-Desktop-Shortcuts

  • Objectif : Déployer des raccourcis standards sur le bureau des utilisateurs pour un accès rapide aux services web importants.
  • Paramètres Clés (User Configuration > Preferences > Windows Settings > Shortcuts) :
    • Pour chaque raccourci, un nouvel élément “Shortcut” est créé avec l’action Update.
    • Raccourci 1 : Portail de Support (GLPI)
      • Name : Portail de Support (GLPI)
      • Target type : URL
      • Location : Desktop
      • Target URL : http://glpi.tne.local
      • Icon file path : \\tne.local\NETLOGON\Icons\glpi.ico (Optionnel, mais recommandé pour un rendu propre).
    • Raccourci 2 : Fichiers en Ligne (Nextcloud)
      • Name : Mes Fichiers en Ligne (Nextcloud)
      • Target type : URL
      • Location : Desktop
      • Target URL : http://nextcloud.tne.local (J’ai utilisé une URL simplifiée, à adapter si besoin).
      • Icon file path : \\tne.local\NETLOGON\Icons\nextcloud.ico
    • Raccourci 3 : Documentation (BookStack)
      • Name : Base de Connaissances
      • Target type : URL
      • Location : Desktop
      • Target URL : http://bookstack.tne.local
      • Icon file path : \\tne.local\NETLOGON\Icons\bookstack.ico
  • Liée à : OU LyceeTechnique/Utilisateurs.

A propos des Icônes

Pour que les icônes personnalisées fonctionnent, il faut créer un dossier Icons dans le partage NETLOGON du contrôleur de domaine et y placer les fichiers .ico correspondants. Le partage NETLOGON est accessible en lecture par tous les utilisateurs authentifiés par défaut.

GPO-07 : GPO-Network-Drives

  • Objectif : Monter les lecteurs réseau pour les utilisateurs et créer des raccourcis pertinents.

  • Paramètres Clés (User Configuration > Preferences > Windows Settings) :

    • 1. Mappage des Lecteurs (Drive Maps) :
      • Lecteur P: (Partage Commun)
        • Action : Update
        • Path : \\nas-bpr-storage-01\Commun
        • Drive Letter : Use P:
        • Label : Partage Commun
      • Lecteur U: (Espace Personnel - Professeurs)
        • Action : Update
        • Path : \\nas-bpr-storage-01\Personnel\%username%
        • Drive Letter : Use U:
        • Label : Mon Espace Personnel
        • Item-Level Targeting : Cette cartographie ne s’applique que si l’utilisateur est membre du groupe GRP-SEC-Personnel-Enseignants.
      • Lecteur U: (Espace Personnel - Élèves)

        • Action : Update

        • Path : \\nas-bpr-storage-01\Eleves\%username%

        • Drive Letter : Use U:

        • Label : Mon Espace Personnel

        • Item-Level Targeting : Cette cartographie ne s’applique que si l’utilisateur n’est PAS membre du groupe GRP-SEC-Personnel-Enseignants (logique d’exclusion).

    La Puissance du Ciblage (Item-Level Targeting) U: est mappé, mais il pointe vers un partage différent selon que l'utilisateur est un professeur ou un élève. La variable %username% est automatiquement remplacée par le login de l'utilisateur.

    Cette fonctionnalité nous permet de créer plusieurs règles dans la même GPO et de les appliquer de manière ciblée. Ici, un seul lecteur

    • 2. Création de Raccourcis (Shortcuts) :
      • Raccourci vers l’Espace Personnel
        • Action : Update
        • Name : Mon Espace Personnel (U:)
        • Target type : File System Object
        • Location : Desktop
        • Target path : U:\

  • Liée à : OU LyceeTechnique/Utilisateurs.

Ce document sera mis à jour à chaque ajout ou modification majeure d’une stratégie de groupe.

Vue Graphique

Liens retour