PG Software, distributeur historique des solutions ManageEngine en France, depuis 2004
La sécurité du réseau est compromise lorsque les utilisateurs de l'Active Directory (AD) dépassent leurs limites et apportent des modifications non autorisées à leurs ordinateurs. La stratégie de groupe permet de réguler l'environnement de travail des utilisateurs grâce à la vaste collection de paramètres qu'elle propose. Par exemple, les admins IT peuvent empêcher les utilisateurs d'accéder aux applets Windows Control Panel, de modifier les fonds d'écran ou supprimer l'historique du navigateur en configurant les paramètres respectifs à partir d'un emplacement centralisé. De cette manière, la stratégie de groupe permet un contrôle précis de ce que les utilisateurs peuvent (et ne peuvent pas) faire sur votre réseau.
La structure des unités d'organisation (OU) détermine la manière dont les objets de stratégie de groupe (GPO) sont appliqués dans votre répertoire. Répartissez les utilisateurs et ordinateurs dans des OU distinctes afin de simplifier l'application des stratégies relatives aux utilisateurs et ordinateurs. Lors de la création de nouvelles OU, gardez toujours à l'esprit le lien entre les GPO et le troubleshooting.
Tous les paramètres configurés dans la Default Domain Policy s'appliquent à l'ensemble du domaine. Par conséquent, ne configurez dans cette GPO que des stratégies applicables à l'ensemble du domaine, telles qu'une stratégie de mot de passe, stratégie de verrouillage de compte, stratégie Kerberos et paramètres de compte. De même, utilisez la Default Domain Controller Policy pour attribuer des droits utilisateur et configurer des stratégies d'audit pour les contrôleurs de domaine. Pour toutes les autres stratégies et autres paramètres, créez des GPO distincts selon les besoins.
Les GPO nouvellement créés au niveau du domaine affectent tous les utilisateurs et ordinateurs du domaine. Les paramètres destinés à un ensemble spécifique d'utilisateurs peuvent donc être appliqués sans distinction à tous les utilisateurs. Par conséquent, appliquez toutes les GPO (à l'exception de la Default Domain Policy) au niveau de l'OU pour un contrôle plus précis.
Lorsque vous associez des GPO à des OU, veillez à les appliquer au niveau de la racine afin de déclencher l'héritage des GPO. Il n'est ainsi pas nécessaire d'appliquer les mêmes paramètres aux OU enfants suivants. Vous pouvez également isoler les utilisateurs et ordinateurs de l'héritage d'une stratégie en les ajoutant à une OU distincte et en bloquant l'héritage.
Le nom des GPO doit décrire son objectif et les personnes auxquelles elle s'applique. Utilisez des conventions de dénomination pour distinguer les GPO appliqués aux utilisateurs et ordinateurs. Par exemple, l'ajout de "U" au début pour les stratégies utilisateur et "C" pour les stratégies ordinateur évitera toute confusion lorsque des modifications seront apportées aux GPO respectives.
Lorsque les stratégies utilisateur et ordinateur sont configurées dans des GPO distinctes, la désactivation des configurations inutilisées permet d'améliorer les performances du poste de travail. Par exemple, si une GPO ne contient que des paramètres ordinateur, vous pouvez désactiver la configuration utilisateur afin d'accélérer le traitement de la GPO lors de l'ouverture de session.
Lorsqu'une GPO est liée à plusieurs OU, sa désactivation dans une OU entraînera la désactivation de son application dans les autres OU. Il est préférable de supprimer le lien dans l'OU concernée et d'empêcher l'application des paramètres.
Le fait de lier des GPO plus haut dans la hiérarchie AD et d'utiliser des filtres de sécurité ou WMI pour cibler ces GPO peut ralentir le temps de traitement. N'utilisez donc le filtrage des GPO qu'en cas de nécessité et reliez les GPO aussi près que possible de la cible visée afin de réduire la complexité.
Bien que les GPO de grande taille contenant de nombreux paramètres configurés soient traités plus rapidement lors de l'ouverture de session, elles rendent le troubleshooting extrêmement difficile. Par conséquent, lors de la création, n'entassez pas trop de paramètres dans une GPO. Trouvez plutôt le bon équilibre et répartissez les paramètres entre un bon nombre de GPO afin de simplifier leur déploiement et leur gestion.
Au fil du temps, la gestion des stratégies de groupe peut devenir incontrôlable lorsque plusieurs admins commencent à modifier les GPO. Il convient donc de suivre toutes les modifications apportées aux GPO afin de s'assurer que les changements effectués par les utilisateurs sont conformes aux obligations de votre entreprise en matière de sécurité et conformité.
L'utilisation d'outils natifs pour surveiller la création, suppression et modification des GPO peut s'avérer un processus fastidieux et chronophage pour les administrateurs. ADAudit Plus, une solution d'audit AD de ManageEngine basée sur l'UBA, fournit des rapports en temps réel sur les modifications apportées à vos GPO, ainsi que l'historique des GPO, qui comprend les anciennes et nouvelles valeurs des attributs modifiés.
Télécharger une version d'essai gratuite de 30 jours