Hot Posts

6/recent/ticker-posts

Ma Publicité

Soutenez la Création

Aidez-moi à partager du contenu exclusif.

Soutenir

Recent Posts

Nouveau Drop

Boutique Officielle

Soutenez le blog monblog-sa-abasse et découvrez nos vêtements & accessoires exclusifs en édition limitée.

Découvrir la collection
Paiement Sécurisé
Livraison Monde

Active directory sans douleur : les GPO indispensables

Active directory sans douleur : les GPO indispensables

Active Directory, c’est un peu comme une salle serveur bien rangée sur le papier… et dans la vraie vie, tu retrouves toujours un câble qui pend, un switch pas documenté, et trois exceptions « juste pour dépanner » qui sont devenues permanentes.

Les stratégies de groupe (GPO) font partie de ces trucs qui peuvent soit te sauver la vie, soit te la compliquer pour des années. Et souvent, ça dépend d’un détail. Un filtrage de sécurité mal fait. Un lien au mauvais niveau. Un paramètre Computer vs User inversé. Ou un « Enforced » coché parce que… bah parce que.

L’idée ici, c’est de te donner une base solide. Pas 120 GPO. Juste les indispensables, celles que tu retrouves dans plein de petites et moyennes infra, et qui collent bien à un contexte BTS SIO SISR, labs, atelier, salle info, domaine pédagogique. Si tu veux, ça peut devenir ton kit de départ, à adapter ensuite.

Petit rappel pour le blog : sur BTS SIO2 SISR Tech Lab (https://sio1blog.blogspot.com/), on aime bien les articles « terrain », avec des choix concrets, une logique, et un résultat testable. Donc je te glisse aussi des conseils de structure et de validation.


Avant de créer des GPO : deux ou trois règles qui évitent 80 % des galères

Ne lie pas tout à la racine du domaine

Oui, techniquement tu peux lier une GPO sur le domaine. Mais tu vas le regretter. Utilise des OU propres, même simples :

  • OU=Postes
  • OU=Utilisateurs
  • OU=Serveurs
  • OU=Admins (ou Tiering si tu veux faire bien)

Comme ça, tu sais où ça s’applique. Et tu limites les effets « surprise ».

Nomme tes GPO avec une convention

Exemples :

  • SEC - Baseline postes - v1
  • SEC - Durcissement comptes - v1
  • WKST - Fond d’écran / branding
  • SRV - Windows Update serveurs

Le but, c’est de pouvoir comprendre en 2 secondes. Même dans 6 mois. Même si tu n’es plus la personne qui l’a créée.

Documente le strict minimum

Dans le commentaire de la GPO : objectif, OU ciblée, exceptions, date, auteur. C’est suffisant.


Les GPO indispensables, celles que je pose presque à chaque fois

Je te les mets dans un ordre logique. Tu peux les appliquer dans un lab AD sous Windows Server (2019, 2022) avec des clients Windows 10 ou 11.


1. Baseline sécurité des postes : le socle

C’est la GPO qui fixe les règles « normales » sur les postes du domaine.

Paramètres utiles

Chemin : Configuration ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité.

  • Stratégies de mot de passe (en vrai, ça se gère au niveau domaine, mais tu peux au moins vérifier la cohérence)
  • Audit avancé : active l’audit de base (logon, changements de stratégie, gestion des comptes)
  • Désactiver le stockage LM (si encore présent)
  • Sécurité réseau : niveau d’authentification LAN Manager : forcer NTLMv2
  • Paramètres UAC : garder UAC actif, ne pas tout ouvrir « pour que ça marche »

Ce n’est pas du pentest de haut niveau. C’est juste une base saine.

Image (illustration)


2. Politique de mots de passe et verrouillage : simple, mais non négociable

Celle-là, tu la poses au niveau du domaine, dans Default Domain Policy ou via une GPO dédiée liée au domaine (perso je préfère dédiée, plus lisible). Et si tu veux faire plus fin : FGPP (Fine Grained Password Policies), mais restons sur l’essentiel.

Recommandation « raisonnable »

  • Longueur minimale : 12
  • Complexité : activée
  • Historique : 10
  • Durée max : 90 jours (ou plus si tu fais du long + MFA, mais ça dépend)
  • Verrouillage : 5 tentatives
  • Durée verrouillage : 15 min
  • Réinitialisation compteur : 15 min

Tu évites le mot de passe « Azerty123! » qui traîne partout, et tu réduis les attaques bêtes.


3. Pare-feu Windows Defender : activé partout, contrôlé

Le nombre d’environnements où le pare-feu est « off » parce qu’un jour un logiciel ne marchait pas… bref. Active-le, et ouvre uniquement ce dont tu as besoin.

Chemin : Configuration ordinateur → Stratégies → Modèles d’administration → Réseau → Connexions réseau → Pare-feu Windows Defender.

À faire

  • Activer sur profils Domaine, Privé, Public
  • Interdire les règles locales si tu veux une maîtrise plus stricte (à doser en pédagogie)
  • Journalisation : activer les logs des paquets bloqués (utile en dépannage)

Image


4. Windows Update via GPO : arrêter les postes « jamais patchés »

Même en lab, c’est utile. En entreprise, c’est vital.

Deux approches :

  • Simple : tu configures Windows Update pour télécharger et installer automatiquement.
  • Pro : WSUS ou Windows Update for Business.

Réglage simple (déjà très bien)

Chemin : Configuration ordinateur → Stratégies → Modèles d’administration → Composants Windows → Windows Update.

  • Configurer les mises à jour automatiques : activé
  • Planifier l’installation : ex. tous les jours à 12h30 (à adapter)
  • Ne pas autoriser le redémarrage auto si un utilisateur est connecté : activé (sinon tu te fais détester)

5. BitLocker : si tu as des portables, c’est la GPO qui change tout

Dans beaucoup de contextes scolaires, il y a des PC fixes. Mais dès que tu as des portables, BitLocker devient le truc qui évite la catastrophe quand un PC disparaît.

Chemin : Configuration ordinateur → Stratégies → Modèles d’administration → Composants Windows → Chiffrement de lecteur BitLocker.

Points importants

  • Forcer BitLocker sur lecteur système
  • Stocker la clé de récupération dans AD DS : activé
  • Exiger TPM (et définir les exceptions si matériel ancien)

Ça se teste bien en lab. Et tu peux même faire un mini TP : retrouver une clé BitLocker dans AD.


6. Désactiver SMBv1 : la mesure qui ne coûte presque rien

Chemin : Configuration ordinateur → Stratégies → Modèles d’administration → Réseau → Station de travail Lanman.

Ou via paramétrage système / fonctionnalités. SMBv1, c’est le vieux monde. Évite-le.


7. Restrictions d'exécution : réduire les logiciels « sauvages »

Tu disposes de plusieurs niveaux de restriction selon ton environnement :

  • SRP (Software Restriction Policies) — approche basique : bloque l'exécution depuis %AppData% et %Temp%
  • AppLocker — plus moderne, selon les éditions Windows
  • WDAC — encore plus moderne, mais plus lourd à mettre en place

Pour une infra pédagogique, SRP ou AppLocker suffisent largement.

Exemple SRP utile

Chemin : Configuration ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Stratégies de restriction logicielle.

Crée les règles de chemin suivantes :

  • %AppData%\*.exe : interdit
  • %LocalAppData%\Temp\*.exe : interdit

Ça coupe une grosse partie des malwares « basiques » et des exécutables lancés depuis des dossiers utilisateur.


8. Désactiver les périphériques de stockage USB : optionnel, mais souvent demandé

C'est typiquement la GPO qu'on te demande « juste pour voir » en contexte scolaire.

Chemin : Configuration ordinateur → Stratégies → Modèles d'administration → Système → Accès au stockage amovible.

  • Activer « Tous les supports amovibles : refuser tout accès » pour un blocage total
  • Ou opter pour une approche plus fine : lecture seule, ou restriction par classe de périphérique

Attention : c'est frustrant si mal communiqué. Prévois une OU d'exception ou un groupe « USB-Allowed ».


9. Bureau propre : fond d'écran, proxy, mappage lecteurs, imprimantes

Ce n'est pas de la cybersécurité pure, mais c'est ce qui rend un domaine agréable au quotidien.

Mappage lecteurs réseau (préférences GPP)

Chemin : Configuration utilisateur → Préférences → Paramètres Windows → Lecteurs mappés.

  • Lecteur H: vers \\SRV-FICHIERS\%username%
  • Lecteur S: vers \\SRV-FICHIERS\Commun

Tu peux cibler par groupe, OU, ou filtre WMI. Les préférences, c'est vraiment le couteau suisse.

Image


10. Verrouillage de session et écran de veille : bête, mais utile

Chemin : Configuration utilisateur → Stratégies → Modèles d’administration → Panneau de configuration → Personnalisation.

  • Activer l’écran de veille : oui
  • Délai : 10 minutes
  • Protéger par mot de passe : oui

En salle info, c’est presque indispensable. Sinon tu as des sessions ouvertes partout.


11. RDP : autoriser proprement, pas au hasard

Si tu fais de l’administration, tu vas activer RDP sur certains postes ou serveurs. Mais fais-le proprement.

Chemin : Configuration ordinateur → Stratégies → Modèles d’administration → Composants Windows → Services Bureau à distance.

  • Autoriser les connexions : sur une OU dédiée (serveurs ou postes admin)
  • Ajouter un groupe AD « Support-RDP » dans « Utilisateurs du Bureau à distance »
  • Forcer NLA : activé

Et surtout, évite d’ouvrir RDP à tout le monde. Même en lab, prends l’habitude.


12. LAPS (ou Windows LAPS) : gérer les mots de passe admin locaux

C’est une de mes GPO préférées, parce qu’elle règle un vrai problème : le même mot de passe admin local sur tous les postes.

  • Microsoft LAPS (historique)
  • Windows LAPS (plus récent, intégré)

Objectif : chaque machine a un mot de passe admin local unique, stocké dans AD, consultable par les bons groupes.

Tu as une partie GPO + une partie schéma/permissions. Mais une fois en place… tu dors mieux.


Une structure de GPO « propre » que tu peux recopier

Dans un domaine simple :

OU

  • OU=Postes
  • OU=Serveurs
  • OU=Utilisateurs
  • OU=Admins
  • OU=Groupes (facultatif)

GPO (exemple)

  • SEC - Baseline postes - v1 liée à OU=Postes
  • SEC - Pare-feu - v1 liée à OU=Postes et OU=Serveurs
  • SEC - LAPS - v1 liée à OU=Postes
  • OPS - Windows Update postes - v1 liée à OU=Postes
  • OPS - Windows Update serveurs - v1 liée à OU=Serveurs
  • UX - Lecteurs réseau - v1 liée à OU=Utilisateurs
  • UX - Verrouillage session - v1 liée à OU=Utilisateurs

Et tu ajoutes des exceptions via :

  • filtrage de sécurité (groupes)
  • OU dédiées (« Postes-Exceptions »)
  • blocage d’héritage avec parcimonie

Vérifier que ça marche : les commandes que tu dois connaître

Sur un poste client :

gpupdate

powershell gpupdate /force

gpresult (hyper utile)

powershell gpresult /r

Ou en HTML :

powershell gpresult /h C:\Temp\gpresult.html

Tu vois exactement quelles GPO s’appliquent. Et celles qui ne s’appliquent pas, avec la raison. C’est souvent là que tu gagnes du temps.

Image


Les erreurs classiques, celles que j’ai faites aussi

1. Mettre un paramètre utilisateur dans une GPO liée à une OU de postes

Ça arrive tout le temps. Résultat : tu crois que « ça ne marche pas ». Alors que c’est juste mal ciblé.
Solution : séparer GPO postes et GPO utilisateurs. Ou activer loopback (mais seulement si tu sais pourquoi).

2. Tout faire dans Default Domain Policy

Mauvaise habitude. La DDP doit rester propre, avec le minimum vital (souvent mot de passe, Kerberos, quelques réglages). Le reste : GPO dédiées.

3. Cocher « Enforced » ou « Block inheritance » sans raison solide

Ça devient vite une guerre d’héritage et tu ne comprends plus rien. Garde ça comme une exception, pas comme une stratégie.


Mini check-list : les GPO à poser en priorité (si tu es pressé)

  1. Mot de passe + verrouillage de compte
  2. Pare-feu Windows Defender activé
  3. Windows Update configuré
  4. Baseline sécurité postes (audit, NTLMv2, UAC)
  5. Lecteurs réseau via préférences
  6. Verrouillage session
  7. LAPS si possible
  8. BitLocker si portables

Tu peux déjà avoir un domaine « propre » avec ça. Vraiment.


Pour aller plus loin (et garder ça concret)

Si tu veux, on peut transformer cet article en une série de labs sur BTS SIO2 SISR Tech Lab (https://sio1blog.blogspot.com/) :

  • Lab 1 : structure OU + GPO baseline + validation gpresult
  • Lab 2 : GPP lecteurs mappés + ciblage par groupe
  • Lab 3 : pare-feu + logs + dépannage (pourquoi ça bloque)
  • Lab 4 : LAPS et récupération du mot de passe admin local
  • Lab 5 : BitLocker et stockage des clés dans AD

C’est typiquement le genre de compétences qui revient en stage, en alternance, et aussi en entretien. On te demande rarement « c’est quoi une GPO ». On te demande plutôt « comment tu déploies un réglage sur 200 postes, sans casser le reste ».


Conclusion : moins de GPO, mais mieux pensées

Les GPO, ce n’est pas un concours de quantité. C’est de la méthode.

Tu poses un socle. Tu cibles proprement. Tu testes. Tu documentes un minimum. Et tu évites les exceptions qui deviennent des règles.

Si tu devais retenir une phrase : une bonne GPO, c’est une GPO dont tu comprends l’impact avant même de cliquer sur « lier ».

Et si tu veux d’autres articles dans le même style, orientés terrain, pense à passer sur BTS SIO2 SISR Tech Lab (https://sio1blog.blogspot.com/). On y compile justement ce genre de procédures et de retours d’expérience qui font gagner du temps quand tu es en prod… ou en plein TP à 16h55.

Questions fréquemment posées

Qu'est-ce qu'une GPO et pourquoi est-elle importante dans Active Directory ?

Une GPO (Stratégie de Groupe) est un ensemble de règles appliquées aux ordinateurs et utilisateurs dans un domaine Active Directory. Elle permet de centraliser la gestion des paramètres de sécurité, configurations et restrictions, facilitant ainsi l'administration et le maintien d'une infrastructure cohérente.

Pourquoi ne faut-il pas lier toutes les GPO à la racine du domaine ?

Lier toutes les GPO à la racine du domaine peut entraîner des effets inattendus et compliquer la gestion. Il est préférable d'utiliser des Unités d'Organisation (OU) distinctes comme OU=Postes, OU=Utilisateurs, OU=Serveurs pour cibler précisément les objets concernés et limiter les impacts "surprise".

Comment nommer efficacement une GPO pour faciliter sa gestion ?

Il est conseillé d'adopter une convention de nommage claire et descriptive, par exemple : 'SEC - Baseline postes - v1' ou 'SRV - Windows Update serveurs'. Cela permet de comprendre rapidement son objectif, même plusieurs mois après sa création ou par une autre personne.

Quelles sont les règles essentielles à appliquer dans une GPO baseline sécurité des postes ?

La GPO baseline inclut des paramètres tels que les stratégies de mot de passe cohérentes, l'activation de l'audit avancé (connexion, changements), la désactivation du stockage LM, le forçage NTLMv2 pour l'authentification réseau, et le maintien actif de l'UAC sans tout désactiver.

Quels paramètres recommander pour une politique de mots de passe efficace dans Active Directory ?

Une politique raisonnable comprend : longueur minimale de 12 caractères, complexité activée, historique des 10 derniers mots de passe, durée maximale de validité d'environ 90 jours, verrouillage après 5 tentatives échouées avec une durée de verrouillage de 15 minutes et réinitialisation du compteur après 15 minutes.

Pourquoi est-il crucial d'activer le Pare-feu Windows Defender via une GPO ?

Beaucoup d'environnements ont le pare-feu désactivé par défaut à cause d'exceptions temporaires. Activer le Pare-feu Windows Defender via une GPO garantit une protection uniforme sur tous les profils (Domaine, Privé, Public) en n'autorisant que les règles nécessaires, renforçant ainsi la sécurité globale du réseau.

Enregistrer un commentaire

0 Commentaires

Comments

Nouveau Drop

Boutique Officielle

Soutenez le blog monblog-sa-abasse et découvrez nos vêtements & accessoires exclusifs en édition limitée.

Découvrir la collection
Paiement Sécurisé
Livraison Monde

Ad Code

Soutenez la Création

Aidez-moi à partager du contenu exclusif.

Soutenir