👥 Gestion des Utilisateurs et GPO
| Formation | BTS SIO option SISR — IRIS Mediaschool |
|---|---|
| Bloc | B2 — Administration Systèmes & Réseaux |
| Module | M2.1 — Administration Windows Server |
| Prérequis | C2.1.1 — Active Directory, Concepts et Architecture |
🎯 Objectifs
- Créer et gérer des comptes utilisateurs via l'interface graphique et PowerShell
- Comprendre les types de groupes et la stratégie de nesting AGDLP
- Maîtriser la création, la liaison et l'application des GPO
- Configurer des GPO de sécurité et de déploiement logiciel
- Utiliser les outils de diagnostic GPO
📖 Création et gestion des comptes utilisateurs
Via l'interface graphique (GUI)
La console Utilisateurs et ordinateurs Active Directory (dsa.msc) permet de créer, modifier et supprimer des comptes utilisateurs. Pour créer un utilisateur : clic droit sur l'OU cible → Nouveau → Utilisateur. Les champs obligatoires sont le nom d'ouverture de session (sAMAccountName) et le mot de passe initial.
Via PowerShell
PowerShell offre une gestion plus rapide et scriptable des comptes, essentielle pour les opérations en masse :
New-ADUser -Name "Jean Dupont" -SamAccountName "jdupont" -UserPrincipalName "jdupont@iris-formation.local" -Path "OU=Etudiants,DC=iris-formation,DC=local" -AccountPassword (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) -Enabled $true
Pour créer des utilisateurs en masse à partir d'un fichier CSV :
Import-Csv "C:\users.csv" | ForEach-Object { New-ADUser -Name $_.Nom -SamAccountName $_.Login -Path $_.OU -AccountPassword (ConvertTo-SecureString $_.Password -AsPlainText -Force) -Enabled $true }
Utilisez toujours le module ActiveDirectory de PowerShell. Vérifiez qu'il est installé avec Get-Module -ListAvailable ActiveDirectory. Il est automatiquement disponible sur les DC.
📖 Groupes de sécurité vs groupes de distribution
Active Directory propose deux types de groupes ayant des usages distincts :
| Caractéristique | Groupe de sécurité | Groupe de distribution |
|---|---|---|
| Utilisation principale | Attribution de permissions (NTFS, partages, GPO) | Listes de diffusion e-mail (Exchange) |
| SID associé | Oui | Non |
| Peut recevoir des permissions | Oui | Non |
| Utilisable dans les ACL | Oui | Non |
Étendues de groupe
| Étendue | Membres possibles | Portée des permissions |
|---|---|---|
| Locale de domaine (DL) | Tous les objets de la forêt | Domaine local uniquement |
| Globale (G) | Objets du même domaine uniquement | Toute la forêt |
| Universelle (U) | Tous les objets de la forêt | Toute la forêt |
📖 Stratégie de nesting AGDLP / AGUDLP
La stratégie AGDLP (Account → Global → Domain Local → Permission) est la méthode recommandée par Microsoft pour organiser les groupes :
- A (Account) : le compte utilisateur est placé dans…
- G (Global group) : un groupe global représentant un rôle métier (ex : GG_Comptabilité)
- DL (Domain Local group) : un groupe local de domaine lié à une ressource (ex : DL_Partage_Compta_RW)
- P (Permission) : la permission NTFS/partage est attribuée au groupe DL
Dans un environnement multi-domaines, on utilise AGUDLP en ajoutant un groupe Universel entre le G et le DL.
Cette stratégie permet de séparer l'identité (qui est l'utilisateur) de l'accès (quelle ressource). Changer les droits d'un utilisateur revient simplement à le déplacer d'un groupe global à un autre, sans toucher aux permissions sur les ressources.
📖 Introduction aux GPO (Group Policy Objects)
Les stratégies de groupe (GPO) sont des ensembles de paramètres de configuration appliqués automatiquement aux utilisateurs et ordinateurs du domaine. Elles permettent de standardiser et sécuriser l'environnement sans intervention manuelle sur chaque poste.
Les GPO sont éditées via la console Gestion des stratégies de groupe (gpmc.msc) et contiennent deux sections :
- Configuration ordinateur : s'applique au démarrage de la machine
- Configuration utilisateur : s'applique à l'ouverture de session
📖 Liaison des GPO
Les GPO peuvent être liées à trois niveaux, avec un ordre de priorité (du plus faible au plus fort) :
| Niveau de liaison | Priorité | Usage typique |
|---|---|---|
| Site AD | La plus faible | Paramètres réseau spécifiques à un site géographique |
| Domaine | Moyenne | Politiques de sécurité globales (mots de passe, audit) |
| OU (et sous-OU) | La plus forte | Configurations spécifiques à un service ou un groupe |
L'ordre d'application suit le mnémonique LSDOU : Local → Site → Domaine → OU. En cas de conflit, la GPO la plus proche de l'objet (OU) l'emporte.
📖 GPO de sécurité
Politique de mot de passe
Chemin : Configuration ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Stratégies de comptes → Stratégie de mot de passe
- Longueur minimale : 12 caractères recommandés
- Complexité : majuscules, minuscules, chiffres, caractères spéciaux
- Durée de vie maximale : 90 jours (selon la politique de l'entreprise)
- Historique : mémoriser les 24 derniers mots de passe
Verrouillage de compte
Chemin : Stratégies de comptes → Stratégie de verrouillage du compte
- Seuil de verrouillage : 5 tentatives échouées
- Durée de verrouillage : 30 minutes
- Réinitialisation du compteur : 30 minutes
📖 GPO de déploiement logiciel
Les GPO permettent de déployer des logiciels au format MSI sur les postes du domaine sans intervention utilisateur :
Chemin : Configuration ordinateur → Stratégies → Paramètres du logiciel → Installation de logiciel
- Attribution : le logiciel est installé automatiquement au démarrage
- Publication : le logiciel apparaît dans « Ajout/Suppression de programmes » (utilisateur seulement)
Le package MSI doit être placé sur un partage réseau accessible par les comptes ordinateurs. Utilisez un chemin UNC (ex : \\SRV-FILES\Deploy$\logiciel.msi).
📖 Mappage de lecteurs et scripts de connexion
Les GPO permettent de mapper automatiquement des lecteurs réseau à l'ouverture de session :
Chemin : Configuration utilisateur → Préférences → Paramètres Windows → Mappages de lecteurs
Pour les scripts de connexion (logon scripts), le chemin est :
Configuration utilisateur → Stratégies → Paramètres Windows → Scripts (ouverture/fermeture de session)
Les scripts sont stockés dans le dossier SYSVOL du contrôleur de domaine : \\domaine\SYSVOL\domaine\Policies\{GUID}\User\Scripts\Logon
📖 Outils de diagnostic GPO
| Outil | Commande / Console | Fonction |
|---|---|---|
gpupdate | gpupdate /force | Force l'actualisation immédiate des GPO |
gpresult | gpresult /r ou gpresult /h rapport.html | Affiche les GPO effectivement appliquées |
| RSOP | rsop.msc | Jeu de stratégies résultant (vue graphique) |
| GPMC | gpmc.msc → Résultats de stratégie de groupe | Simulation et diagnostic avancé |
📝 QCM — Testez vos connaissances
- Que signifie GPO ?
- À quel niveau peut-on lier une GPO ?
- Quelle commande force l'application immédiate des GPO ?
- Quel outil permet de voir les GPO appliquées à un utilisateur ?
- Quel est l'ordre d'application des GPO (LSDOU) ?
- Peut-on bloquer l'héritage d'une GPO ?
📝 Afficher les corrections
- Group Policy Object — Les GPO sont des objets de stratégie de groupe permettant de configurer les postes et utilisateurs du domaine.
- Site, Domaine ou OU — Les GPO peuvent être liées à un site AD, au domaine entier ou à une OU spécifique.
- gpupdate /force — gpupdate /force rafraîchit immédiatement les stratégies sans attendre le cycle automatique.
- gpresult /r — gpresult génère un rapport des stratégies effectivement appliquées (RSoP - Resultant Set of Policy).
- Local, Site, Domaine, OU — Les GPO s'appliquent dans l'ordre LSDOU, les dernières appliquées prenant la priorité.
- Oui, via le blocage d'héritage sur l'OU — Le blocage d'héritage empêche les GPO parentes de s'appliquer, sauf celles marquées 'Enforced'.
La gestion des utilisateurs AD combine interface graphique et PowerShell pour les opérations en masse. La stratégie AGDLP structure proprement les droits d'accès. Les GPO centralisent la configuration de sécurité et le déploiement logiciel, avec un ordre d'application LSDOU. Utilisez gpresult pour diagnostiquer l'application des GPO.