100%
GRIMOIRE
GrimoireCorpus DindonVolumes de SynthèseLe Socle du Fer
FRENAR
RATIO
LE SOCLE DU FER · SUPPORT DE COURS · SEMAINE 23
◆◆◆
STRATÉGIES DE GROUPE
GPO
Semaine 23 sur 26 · Bloc 8 — Active Directory & GPO
9h théorie · 26h pratique
◆ OBJECTIFS PÉDAGOGIQUES DE LA SEMAINE

1. Comprendre les principes des GPO (héritage, priorité, portée)
2. Créer et lier des GPO à des OUs, sites ou domaines
3. Configurer des GPO de sécurité et de configuration
4. Déployer des paramètres sur les postes clients via GPO
5. Diagnostiquer un conflit de GPO ou une GPO non appliquée

◆◆◆
◆ NOTE DE SÉQUENCEMENT

Les GPO sont enseignées ici, juste après Active Directory (S22), dont elles sont une fonctionnalité directe. Enseigner les GPO sans Active Directory préalablement déployé serait sans sens — c'est exactement la raison du séquencement choisi dans cette formation.

Amine RAITI · Architecte Infrastructure & SRE
Document public · CC BY-NC-SA 4.0 · AI Powered by Amine
Opération Dindon
RATIO
PLAN DE COURS · 9H
FIL CONDUCTEUR THÉORIQUE
23.1 · Principes des GPO3h
— Définition : un GPO est un ensemble de paramètres de configuration appliqués à des utilisateurs ou des ordinateurs du domaine
— Portée : une GPO peut être liée à un site, un domaine, ou une OU
— Ordre d'application : Local → Site → Domaine → OU (LSDOU) — en cas de conflit, la GPO de l'OU enfant l'emporte
— Héritage : une OU enfant hérite des GPO de son parent, sauf blocage explicite
23.2 · Types de paramètres GPO3h
— Configuration Ordinateur : s'applique au démarrage de la machine, indépendamment de l'utilisateur connecté
— Configuration Utilisateur : s'applique à la connexion d'un utilisateur, sur n'importe quel poste du domaine
— Exemples de paramètres courants : politique de mot de passe, verrouillage de l'écran, mappage de lecteurs réseau, restrictions d'accès aux paramètres système
23.3 · Diagnostic et résolution de conflits GPO3h
— Outils de diagnostic : résultat de stratégie de groupe (RSoP), gpresult, journal des événements
— Causes fréquentes de non-application : filtre de sécurité mal configuré, GPO non liée, erreur de résolution de noms (lien avec S21 — DNS)
— Blocage d'héritage et forcé : quand et pourquoi les utiliser avec précaution
RATIO
TP1 · CRÉATION ET DÉPLOIEMENT DE GPO · 13H

Matériel : contrôleur de domaine (S22), postes clients joints au domaine, scénario de configuration fourni.

(3h) Création d'une GPO de sécurité sur le domaine : politique de mot de passe (longueur minimale, complexité, durée de vie), verrouillage du compte après N tentatives échouées — application sur les postes clients et vérification.
(3h) Création d'une GPO de configuration utilisateur sur l'OU Technique : mappage automatique d'un lecteur réseau (le partage créé en S12) à la connexion — vérifier que seuls les utilisateurs de l'OU Technique voient ce lecteur.
(3h) Création d'une GPO de restriction sur l'OU Invités : interdire l'accès au panneau de configuration, désactiver l'accès au gestionnaire de tâches — vérifier l'application sur le poste client connecté avec un compte Invité.
(2h) Création d'une GPO en conflit avec une GPO héritée, observation du résultat (quelle GPO s'applique ?), correction via le blocage d'héritage ou le forcé.
(2h) Utilisation de gpresult pour afficher les GPO effectives sur un poste client, interprétation du rapport.
CORRIGÉ TP1

Comportement attendu pour la GPO de lecteur réseau : un utilisateur de l'OU Technique voit le lecteur réseau mappé automatiquement à sa connexion sur n'importe quel poste joint au domaine. Un utilisateur d'une autre OU ne voit pas ce lecteur — le filtre de sécurité ou la portée de l'OU garantit l'isolation.

Interprétation du rapport gpresult : le rapport liste les GPO appliquées (avec leur OU d'origine) et les GPO refusées (avec la raison du refus) — c'est l'outil de diagnostic de première intention pour tout problème de GPO non appliquée.

RATIO
TP2 · SCÉNARIO COMPLET GPO ET DIAGNOSTIC · 13H

Matériel : environnement AD complet (S22 + TP1).

(4h) Déploiement d'un scénario complet : l'entreprise fictive veut appliquer une politique de sécurité différente selon 3 groupes d'utilisateurs (Direction : restrictions légères, Technique : accès complet aux outils système, Invités : restrictions maximales). Créer et lier les 3 GPO correspondantes.
(4h) Exercice de diagnostic : le formateur modifie secrètement la configuration (désactive une GPO, change un filtre de sécurité, crée un conflit) — l'apprenant constate un comportement inattendu sur un poste client et doit diagnostiquer via gpresult et les journaux d'événements.
(3h) Administration des GPO via PowerShell (Get-GPO, New-GPO, Set-GPLink) — démontrer l'équivalence avec la console graphique.
(2h) Documentation de l'ensemble des GPO déployées : tableau récapitulatif (nom, portée, paramètres principaux, utilisateurs cibles).
CORRIGÉ TP2

Méthode de diagnostic attendue : 1) vérifier si la GPO est liée à la bonne OU (console GPMC), 2) vérifier le filtre de sécurité (le groupe de l'utilisateur doit avoir les droits "Lire" et "Appliquer"), 3) forcer l'actualisation des GPO sur le poste client, 4) relancer gpresult pour confirmer.

◆ FICHE DE SYNTHÈSE — AUTO-ÉVALUATION SEMAINE 23
1. Je sais expliquer l'ordre d'application des GPO (LSDOU).
2. Je sais créer et lier une GPO à une OU.
3. Je sais configurer des paramètres de sécurité via GPO (politique de mot de passe, verrouillage).
4. Je sais mapper un lecteur réseau automatiquement via GPO.
5. Je sais appliquer des restrictions d'interface utilisateur via GPO.
6. Je sais utiliser gpresult pour diagnostiquer les GPO effectives.
7. Je sais diagnostiquer une GPO non appliquée (filtre, lien, conflit).
8. Je sais administrer les GPO via PowerShell.