Questions de compréhension et d'exploration - GPO

1. Computer Configuration vs User Configuration

Vous devez déployer un antivirus sur toutes les machines ET configurer le fond d'écran de tous les utilisateurs. Pour chacune de ces tâches, utiliseriez-vous Computer Configuration ou User Configuration? Justifiez. Après avoir fait gpupdate /force, que devez-vous faire pour que chaque configuration s'applique?

Voir la réponse Réponse: Pour déployer un antivirus sur toutes les machines, il faut utiliser Computer Configuration, car cette configuration s'applique aux ordinateurs indépendamment de l'utilisateur qui se connecte. Pour configurer le fond d'écran de tous les utilisateurs, il faut utiliser User Configuration, car cette configuration s'applique aux utilisateurs lorsqu'ils se connectent à n'importe quelle machine. Après avoir fait gpupdate /force, pour que la configuration de l'antivirus s'applique, il peut être nécessaire de redémarrer les ordinateurs, car certaines configurations dans Computer Configuration nécessitent un redémarrage pour être prises en compte. Pour la configuration du fond d'écran, il suffit de se déconnecter et de se reconnecter pour que les modifications prennent effet.

2. Ordre d'application des GPO

Vous avez trois GPO qui configurent toutes un fond d'écran différent:

  • GPO-Domaine (fond bleu) liée au domaine
  • GPO-Marketing (fond rouge) liée à l'OU Marketing
  • GPO-Marketing-Ventes (fond vert) liée à l'OU Marketing-Ventes (qui est dans Marketing)

Un utilisateur dans l'OU Marketing-Ventes se connecte. Quel fond d'écran aura-t-il? Expliquez pourquoi. Que se passerait-il si GPO-Domaine était configurée avec "Enforced"?

Voir la réponse Réponse: L'utilisateur dans l'OU Marketing-Ventes aura un fond d'écran vert. Cela est dû à l'ordre d'application des GPO, qui suit la règle LSDOU (Local, Site, Domain, OU). Les GPO sont appliquées dans l'ordre suivant: d'abord la GPO-Domaine (fond bleu), puis la GPO-Marketing (fond rouge), et enfin la GPO-Marketing-Ventes (fond vert). Chaque GPO successive peut écraser les paramètres des précédentes, donc le dernier paramètre appliqué est celui de la GPO-Marketing-Ventes. Si GPO-Domaine était configurée avec "Enforced", elle aurait la priorité la plus élevée et son paramètre de fond d'écran (fond bleu) s'appliquerait à tous les utilisateurs, y compris ceux dans l'OU Marketing-Ventes. Ainsi, l'utilisateur verrait un fond d'écran bleu malgré les autres GPO.

3. Variables d'environnement

Un administrateur configure un lecteur H: qui pointe vers \\serveur\home\%USERNAME%. Trois utilisateurs (alice, bob, charlie) se connectent sur différentes machines du domaine. Décrivez précisément ce que chaque utilisateur verra comme lecteur H:.

Voir la réponse Réponse: Chaque utilisateur verra un lecteur H: qui pointe vers son propre répertoire personnel sur le serveur. Plus précisément:
  • Alice verra le lecteur H: pointant vers \\serveur\home\alice
  • Bob verra le lecteur H: pointant vers \\serveur\home\bob
  • Charlie verra le lecteur H: pointant vers \\serveur\home\charlie
La variable d'environnement %USERNAME% est remplacée par le nom d'utilisateur de la personne qui se connecte, ce qui permet de créer des chemins personnalisés pour chaque utilisateur.

4. Contexte de sécurité des scripts

Vous devez créer un script qui installe un logiciel nécessitant des droits administrateur, et un autre script qui mappe un lecteur réseau personnel pour chaque utilisateur. Pour chacun, devez-vous utiliser un startup script ou un logon script? Justifiez votre choix en expliquant le contexte de sécurité dans lequel chaque type de script s'exécute.

Voir la réponse Réponse: Pour le script qui installe un logiciel nécessitant des droits administrateur, vous devez utiliser un startup script. Les startup scripts s'exécutent dans le contexte de sécurité du système local (Local System), qui dispose des privilèges nécessaires pour installer des logiciels et effectuer des modifications système. Pour le script qui mappe un lecteur réseau personnel pour chaque utilisateur, vous devez utiliser un logon script. Les logon scripts s'exécutent dans le contexte de sécurité de l'utilisateur connecté, ce qui permet d'accéder aux ressources réseau spécifiques à cet utilisateur, comme les lecteurs réseau personnels.

5. Accès aux scripts

Vous avez créé un script situé sur le dossier C:\Scripts de votre contrôleur de domaine. Vous créez une GPO pour exécuter ce script au démarrage des ordinateurs du domaine. Cependant, lorsque vous redémarrez une machine cliente, le script ne s'exécute pas. Vous vérifiez les journaux d'événements et voyez une erreur indiquant que le script n'a pas pu être trouvé. Quelle est la cause probable de ce problème? Comment le résoudre?

Voir la réponse Réponse: La cause probable de ce problème est que les machines clientes n'ont pas les permissions nécessaires pour accéder au dossier C:\Scripts sur le contrôleur de domaine. Pour résoudre ce problème, vous devez partager le dossier C:\Scripts et accorder les permissions de lecture aux "Ordinateurs du domaine" sur ce partage. Cela permettra aux machines clientes d'accéder au script lors du démarrage.

6. Permissions sur les partages de script

Pourquoi donne-t-on les permissions de lecture à "Ordinateurs du domaine" pour les scripts de démarrage, mais à "Utilisateurs du domaine" pour les scripts de connexion? Que se passerait-il si on inversait ces permissions?

Voir la réponse Réponse: Les scripts de démarrage sont exécutés par les ordinateurs lorsqu'ils démarrent, donc ils doivent avoir les permissions de lecture accordées à "Ordinateurs du domaine" pour que les machines puissent accéder aux scripts. En revanche, les scripts de connexion sont exécutés par les utilisateurs lorsqu'ils se connectent, donc ils doivent avoir les permissions de lecture accordées à "Utilisateurs du domaine" pour que les utilisateurs puissent accéder aux scripts. Si on inversait ces permissions, les ordinateurs ne pourraient pas lire les scripts de démarrage, ce qui empêcherait l'exécution des tâches prévues au démarrage. De même, les utilisateurs ne pourraient pas lire les scripts de connexion, ce qui empêcherait l'exécution des tâches prévues lors de la connexion.

Il faut donc comprendre que c'est soit l'ordinateur qui exécute le script (startup script) soit l'utilisateur (logon script) et les permissions doivent être accordées en conséquence.

7. Policies vs Preferences

Expliquez la différence entre une Policy (stratégie) et une Preference (préférence). Donnez un exemple de situation où vous utiliseriez une Policy, et un autre où vous utiliseriez une Preference. Pourquoi le mappage de lecteurs réseau est-il généralement fait avec des Preferences plutôt que des Policies?

Voir la réponse Réponse: Une Policy (stratégie) est une configuration qui est appliquée de manière obligatoire et ne peut pas être modifiée par l'utilisateur final. Par exemple, une Policy pourrait être utilisée pour désactiver l'accès au Panneau de configuration afin d'empêcher les utilisateurs de modifier les paramètres système. Une Preference (préférence), en revanche, est une configuration qui est appliquée par défaut, mais qui peut être modifiée par l'utilisateur final. Par exemple, une Preference pourrait être utilisée pour mapper un lecteur réseau, permettant à l'utilisateur de le modifier ou de le supprimer s'il le souhaite. Le mappage de lecteurs réseau est généralement fait avec des Preferences plutôt que des Policies parce que cela offre plus de flexibilité aux utilisateurs. Ils peuvent choisir de modifier ou de supprimer le mappage si nécessaire, ce qui est souvent souhaitable dans un environnement où les besoins des utilisateurs peuvent varier.

8. La bonne GPO

Voici une liste de tâches à accomplir. Pour chacune, indiquez si vous utiliseriez une Policy ou une Preference, et si vous lieriez la GPO au niveau du domaine, d'une OU spécifique, ou localement sur une machine. Indiquez également si cette tâche relève de la Computer Configuration ou de la User Configuration. Justifiez vos choix.

  1. Déployer un logiciel antivirus sur toutes les machines du domaine.
Voir la réponse Utiliser une Policy liée au niveau du domaine avec une Computer Configuration. Justification: Le déploiement d'un antivirus est une configuration critique qui doit être appliquée de manière uniforme à toutes les machines pour assurer la sécurité du réseau.
  1. Configurer un fond d'écran spécifique pour les utilisateurs du département marketing.
Voir la réponse Utiliser une Preference liée à l'OU du département marketing (User Configuration). Justification: Le fond d'écran peut être personnalisé pour les utilisateurs du marketing, mais ils peuvent vouloir le changer, donc une Preference est appropriée.
  1. Restreindre l'accès au Panneau de configuration sur toutes les machines.
Voir la réponse Utiliser une Policy liée au niveau du domaine (Computer Configuration). Justification: Restreindre l'accès au Panneau de configuration est une mesure de sécurité importante qui doit être appliquée uniformément.
  1. Mapper un lecteur réseau pour chaque utilisateur lorsqu'il se connecte.
Voir la réponse Utiliser une Preference liée au niveau du domaine (User Configuration). Justification: Le mappage de lecteurs réseau peut varier selon les besoins des utilisateurs, donc une Preference est plus flexible.
  1. Configurer les paramètres de sécurité Internet Explorer pour tous les utilisateurs.
Voir la réponse Utiliser une Policy liée au niveau du domaine (User Configuration). Justification: Les paramètres de sécurité doivent être uniformes pour protéger les utilisateurs contre les menaces en ligne.