Embed Size (px)
Citation preview
Editions ENI
Les stratégies de groupe (GPO) sous Windows Server 2008
et 2008 R2Implémentation, fonctionnalités, dépannage
(2ième édition) CollectionExpert IT
Extrait
© E
diti
ons
ENI -
All
righ
ts r
eser
ved
216sous Windows Server 2008 et 2008 R2
Les stratégies de groupe (GPO)
Lister et détailler toutes les options de sécurité et leur impact n'est pas l'objetde cet ouvrage. Nous allons plutôt nous concentrer sur les éléments princi-paux inhérents à la sécurité de Windows grâce aux stratégies de groupe.
Dans ce chapitre, nous présenterons les paramètres de sécurité considéréscomme les plus importants. Nous expliquerons leurs actions et explorerons lesdifférents niveaux des stratégies de sécurité.
2. Création du domaine et stratégies par défautDans un domaine existant, les administrateurs habilités sont seuls respon-sables de la création de nouvelles stratégies de groupe, de leurs liaisons auxsites, aux domaines ou aux unités d'organisations et des paramètres qu'ellesmodifient.
Lors de la création d'un nouveau domaine, certaines opérations sont exécutéesautomatiquement dont la création des stratégies de groupe par défaut.
Initialement, lors de la promotion d'un serveur en contrôleur de domaine,l'unité d'organisation Domain Controllers est créée dans Active Directory.C'est dans cette unité d'organisation que seront hébergés les objets contrô-leurs de domaine par défaut.
La stratégie de groupe Default Domain Policy est ensuite créée et liée auniveau du domaine. Cette GPO est la stratégie de domaine par défaut. Lesparamètres définis s'appliquent à tous les objets contenus dans Active Direc-tory.
Pour finir, la stratégie de groupe Default Domain Controllers Policy est crééeet liée à l'unité d'organisation Domain Controllers. Cette GPO définit les para-mètres de stratégies qui s'appliquent aux contrôleurs de domaine de l'entre-prise.
Microsoft recommande de modifier uniquement les paramètres de sécurité deces stratégies de groupe. Pour toute modification n'ayant aucun lien avec lasécurité, il est préférable de créer des GPO exclusives. Il est ensuite possible deles lier au niveau du domaine si nécessaire.
217Stratégies de groupe et sécuritéChapitre 6
Remarque
Attention : si l'intégrité des stratégies de groupe Default Domain Policy etDomain Controllers Policy est altérée, il est très difficile de revenir en arrière !
2.1 La stratégie Default Domain Policy
La stratégie Default Domain Policy est liée au domaine Active Directory pardéfaut.
Le but principal de cette stratégie est de définir les politiques utilisées pour lescomptes utilisateurs du domaine.
Voici les trois paramètres de stratégie qui nous intéressent :
– Politiques de mot de passe– Stratégies de verrouillage du compte– Stratégies des comptes Kerberos
Ces trois paramètres définissent la façon dont les comptes utilisateurs vontfonctionner dans le réseau. Vous pouvez modifier directement la stratégie degroupe Default Domain Policy ou créer une nouvelle GPO pour configurer lesparamètres de comptes utilisateurs de votre organisation. Une fois la GPO ter-minée, il suffit de la lier au domaine pour qu'elle fonctionne de la même façonque la stratégie par défaut Default Domain Policy.
L'utilisation de cette option garantit l'intégrité de la stratégie Default DomainPolicy et ne prend pas plus de temps à configurer. Dans ce cas, il est impératifde prendre en compte les principes de précédence des GPO.
2.1.1 Les paramètres de stratégie du domaine
Il existe cinq paramètres de stratégie qui, une fois modifiés, ne prennent effetque si la GPO est liée au niveau du domaine. Voici la liste de ces paramètres etleurs fonctions :
– Forcer la déconnexion des comptes… : il est possible de définir les plageshoraires pendant lesquels les comptes Active Directory des utilisateursfonctionnent. Passée la limite, les utilisateurs sont automatiquementdéconnectés de leurs sessions.
© E
diti
ons
ENI -
All
righ
ts r
eser
ved
218sous Windows Server 2008 et 2008 R2
Les stratégies de groupe (GPO)
– Comptes : Renommer le compte administrateur local : vous pouvez renom-mer le nom du compte administrateur local du poste.
– Comptes : Renommer le compte invité : vous pouvez l'utiliser pour renom-mer le compte invité sur les postes de travail.
– Comptes : Statut du compte administrateur : cette option fonctionne à par-tir des versions Windows Server 2003 et supérieures. Vous pouvez désacti-ver le compte administrateur local sur les postes de travail.
– Comptes : Statut du compte invité : cette option fonctionne à partir des ver-sions Windows Server 2003 et supérieures. Vous pouvez désactiver lecompte invité sur les postes de travail.
Remarque
Ces paramètres de stratégie ne fonctionnent que s'ils sont appliqués au do-maine entier.
2.1.2 Modifier la Default Domain Policy ou en créer une nouvelle
Il est possible de modifier directement la Default Domain Policy pour confi-gurer le comportement des comptes utilisateurs du domaine ou de créer unestratégie à part entière et de la lier au niveau du domaine.
Si vous choisissez de créer une nouvelle GPO pour configurer les comptes uti-lisateurs, le problème de la précédence des GPO se pose. Or, dans le chapitreGérer les stratégies avec GPMC 2.0 (Gérer les GPO avec la console de gestiondes stratégies de groupes - GPMC 2.0), nous avons indiqué que la dernièreGPO qui s'applique "gagne". Il faudra donc changer la précédence de la straté-gie des comptes utilisateurs pour qu'elle s'applique en dernier, après la DefaultDomain Policy. Sinon, les paramètres de configuration des comptes utilisa-teurs ne prendront pas effet sur les postes de travail car ils seront annulés etremplacés par ceux de la Default Domain Policy.
Il est recommandé de modifier la Default Domain Policy directement pour lesparamètres de stratégies des comptes utilisateurs. Il faut penser à lui attribuerle niveau de précédence le plus élevé, et éviter l'apparition de conflit car elleaura la priorité sur les autres GPO du domaine.
219Stratégies de groupe et sécuritéChapitre 6
2.2 Stratégie Default Domain Controllers Policy
Dans un domaine Active Directory, tous les serveurs promus au rang decontrôleurs de domaine sont automatiquement intégrés à l'Unité d'Organisa-tion Domain Controllers.
La stratégie Default Domain Controllers Policy créée par défaut à la mise enplace du domaine définit les paramètres de stratégie qui s'appliquent à tous lescontrôleurs de domaine contenus dans l'Unité d'Organisation DomainControllers.
Vous pouvez également créer une nouvelle GPO pour configurer les contrô-leurs de domaine et lui attribuer le plus haut niveau de précédence pour qu'elles'applique après la stratégie par défaut. Mais il est recommandé d'utiliser laDefault Domain Controllers Policy disponible à cet effet.
2.3 Réparer les stratégies par défaut (Default Domain Policy et Default Domain Controllers Policy)
Il arrive que les stratégies de groupe soient corrompues et ne fonctionnentplus correctement. Il est recommandé d'utiliser les sauvegardes des stratégiespar défaut faites idéalement avant les premières modifications.
Si aucune sauvegarde n'a été effectuée, Windows Server 2008 et 2008 R2 pro-pose des outils en ligne de commande qui permettent de restaurer les straté-gies de groupe à leur état initial. Ces commandes fonctionnent à partir de laversion 2003 de Windows Server et offre les fonctionnalités suivantes : restau-ration de la stratégie Default Domain Policy ou de Default Domain Control-lers Policy ou les deux ensemble.
Pour effectuer une restauration des stratégies de domaine par défaut, il fautêtre connecté au serveur contrôleur de domaine principal avec les droitsd'administration requis.
© E
diti
ons
ENI -
All
righ
ts r
eser
ved
220sous Windows Server 2008 et 2008 R2
Les stratégies de groupe (GPO)
Une fois authentifié, éditez une fenêtre de commande DOS et tapez la com-mande DCGPOFIX en choisissant un des paramètres suivants :
DCGPOFIX /Target:Domain pour restaurer la Default Domain Policy.
DCGPOFIX /Target:DC pour restaurer la Default Domain Controllers Poli-cy.
DCGPOFIX /Target:BOTH pour restaurer les deux.
Toutefois, DCGPOFIX ne fonctionne pas si le schéma Active Directory a subides modifications depuis l'installation du contrôleur de domaine.
Dans ce cas, utilisez la commande suivante :
GPOFIX /ignoreschema pour ignorer les modifications du schéma.
Remarque
Astuce : pour restaurer les GPO par défaut d'un contrôleur de domaine Win-dows Server 2000, vous pouvez télécharger l'outil RecreateDefPol sur le site deMicrosoft.
3. Configurer la Default Domain PolicyComme évoqué précédemment dans ce chapitre, la Default Domain Policycomporte trois paramètres principaux qu'il est intéressant de configurer. Nousrappelons que ces paramètres concernent la sécurité et plus particulièrementla gestion des comptes utilisateurs du domaine.
Les objets de stratégie sont localisés dans le nœud Configurationordinateur - Stratégies - Paramètres Windows - Stratégie de comptes.
Dans ce paragraphe, nous allons définir et mettre en place une politique degestion des comptes utilisateurs du domaine.
221Stratégies de groupe et sécuritéChapitre 6
Remarque
Attention, cette stratégie s'applique à tous les utilisateurs ayant un comptedans le domaine.
dDans la console de gestion des stratégies de groupe, éditez la DefaultDomain Policy.
Editions ENI
Windows Server 2008 R2 Administration avancée
(2ième édition)
CollectionExpert IT
Extrait
2.1 Le choix de l'architecture réseaux
Deux point précis sont à étudier à ce niveau :
- le choix de la zone DNS ;
- le choix de la classe réseau.
2.1.1 La zone DNS
Deux aspects sont importants lors du choix de la zone DNS.
Le nom choisi pour la zone DNS doit correspondre à l’intégralité de l’entité (entre-
prise, groupe, etc.) que l’on souhaite gérer. Ce nom doit pourvoir être accepté par
toutes les entités dépendantes qui vont se retrouver dans cette zone. Le problème
est beaucoup plus politique que technique !
Si une entité n’entre pas dans ce cadre, cela veut dire qu’une zone DNS spécifique
devra lui être affectée.
Si la zone DNS doit être utilisée sur Internet, le domaine DNS sera forcément
public et enregistré, c'est-à-dire utilisant une extension reconnue de type .fr, .com,
.info... !
En revanche, pour un réseau interne, le domaine peut être public ou privé. Le
choix le plus courant est alors d’utiliser un domaine DNS local avec une extension
inconnue sur Internet. L’extension .local est très souvent utilisée sous la forme
MaSociete.local. Le découpage entre ce qui est interne ou externe est plus facile à
réaliser. En revanche, l’utilisation d’un même nom suppose une double administra-
tion, plus complexe, donc des serveurs DNS différents pour ne rendre visible sur
Internet que ce qu’il est souhaitable de montrer.
2.1.2 La classe réseau
Pour tous les réseaux internes, le choix se portera évidemment toujours sur les
classes réseaux privées. Si l’on ne peut pas toujours modifier l’intégralité des
réseaux existants pour des raisons souvent historiques, on peut au moins créer
tous les nouveaux réseaux en suivant cette règle.
La classe du réseau se choisit en fonction du nombre de machines présentes sur le
réseau, du nombre de sites, etc. Un réseau de classe C (192.168.0.X) représente
souvent un bon choix initial. Il est toujours possible de changer de classe, de
réseau ou même surtout d’utiliser plusieurs réseaux en fonction des besoins.
L’usage de TCPIP v6 n’est pas encore bien développé mais deviendra nécessaire
dans les 2 ou 3 années qui suivent, principalement sur Internet. Sur le réseau local,
il reste encore de nombreux logiciels qui ne sont pas compatibles, mais ceci devrait
évoluer très rapidement !
Windows Server 2008 R2Administration avancée
202
©Edit
ions
EN
I-
Toute
repro
ducti
on
inte
rdit
e
2.2 L’installation d’un serveur DHCP
Si le service DHCP permet de mettre en place rapidement le réseau choisi, il per-
met aussi de modifier rapidement et globalement une série de paramètres. Il reste
encore quelques irréductibles qui n’utilisent pas ce service, mais c’est maintenant
rarissime.
Parmi les nombreux composants de Windows 2008 R2, le service DHCP est un rôle.
2.2.1 Définition
Le protocole DHCP (Dynamic Host Configuration Protocol) a pour but de fournir une
adresse IP et un masque à tout périphérique réseau (station, serveur ou autre) qui
en fait la demande. Selon la configuration, d’autres paramètres tous aussi impor-
tants seront transmis en même temps : les adresses IP de la route par défaut, des
serveurs DNS à utiliser, des serveurs WINS et le suffixe de domaine pour ne citer
que les principaux.
DHCP est souvent réservé aux stations, aux imprimantes et ne devrait servir
qu’exceptionnellement aux serveurs.
2.2.2 L’installation
Comme pour tous les composants Windows, l’installation peut se faire graphique-
ment ou en mode ligne de commande sans avoir besoin d’insérer le moindre
média.
servermanagercmd –install DHCP
�Remarque
Attention, le service devra être mis en démarrage automatique !
sc \\%COMPUTERNAME% config DHCPServer start= auto
Le service peut ensuite être démarré de manière classique :
NET START DHCPSERVER
Le démarrage du service permet de le rendre accessible et configurable.
Pour que le service DHCP commence à distribuer des adresses, il est indispensable
de configurer et d’activer une étendue.
Attention, si le serveur qui héberge DHCP fait partie d’une forêt Active Directory,
il doit en plus avoir été autorisé par des administrateurs membres du groupe
« Administrateurs de l’entreprise » ou ayant reçu les droits d’administration DHCP.
Le service DHCP, comme les autres services réseaux de références (DNS, WINS),
devrait toujours être installé sur des serveurs disposant d’adresses IP fixes.
Mise en place des services réseaux d'entreprise
Chapitre 5203
2.2.3 La configuration
La console d’administration DHCP est automatiquement installée en même temps
que le service, mais peut aussi être lancée à partir de toute autre machine la
possédant.
Y compris sur le serveur lui-même, sélectionnez le serveur DHCP (ou les serveurs)
que vous souhaitez gérer. La liste des serveurs déjà autorisés s’affiche automatique-
ment.
Pour autoriser un serveur DHCP, utilisez l’option Gérer les serveurs autorisés,
puis cliquez sur le bouton Autoriser, et saisissez le nom ou l’adresse IP.
Les serveurs autorisés apparaissent avec une flèche verte.
Chaque serveur DHCP peut servir de nombreuses étendues, mais une seule pour
chaque réseau IP.
Voici une étendue classique pour un réseau 192.168.2.X de classe C utilisant le
masque standard 255.255.255.0 !
Windows Server 2008 R2Administration avancée
204
©Edit
ions
EN
I-
Toute
repro
ducti
on
inte
rdit
e
La plage utilisée ne doit pas forcément utiliser la totalité de la classe réseau afin de
laisser de la place pour les serveurs ou les adresses IP réservées pour les
imprimantes.
La route par défaut fait partie des paramètres habituels liés à l’étendue.
Les options au niveau du serveur contiennent les paramètres qui sont valables
globalement sur toutes les étendues.
Les options de serveur (005,006,015,046) servent de valeurs par défaut, mais sont
remplacées par les options de l’étendue qui ont priorité.
Mise en place des services réseaux d'entreprise
Chapitre 5205
- La zone Nom de domaine DNS ne permet pas de spécifier plusieurs suffixes de
recherche DNS. Si nécessaire, les stratégies proposent d’ajouter des suffixes de
recherche.
- Le Type de nœud avec la valeur 0x8 configure le mode de résolution hybride.
C'est-à-dire qu’une interrogation des serveurs DNS/WINS sera effectuée en
premier, avec bascule en mode Broadcast en cas d’échec.
Certaines propriétés avancées du serveur DHCP peuvent être très intéressantes à
configurer.
Par exemple, lorsque la zone Tentatives de détection de conflit est configurée
avec une valeur supérieure à zéro, DHCP utilisera l’instruction ping pour détermi-
ner l’existence éventuelle d’une machine sur cette adresse.
Windows Server 2008 R2Administration avancée
206
©Edit
ions
EN
I-
Toute
repro
ducti
on
inte
rdit
e
La mise à jour dynamique des DNS est un élément particulièrement important à
gérer.
Le bouton Configurer permet d’activer la protection des noms lors de l’inscrip-
tion, les mises à jour et la suppression des enregistrements de type A et PTR.
Cette protection n’est effective que si le mode Mise à jour dynamique sécurisé est
actif.
Lorsque les zones de recherche inverses (Reverse ARP) sont créées et utilisées, il est
important de mettre à jour les enregistrements PTR et de ne pas les ignorer
lorsque le bail est supprimé.
La durée du bail sera d’autant plus longue que le nombre d’adresses IP disponibles
est important et que le risque de conflit est limité.
Mise en place des services réseaux d'entreprise
Chapitre 5207
