🪟 Séance 2 — GPO sécurité, filtrage, RSoP et diagnostic AD

Bloc B2 Module M2.2 3h30 BTS SIO SISR
FormationBTS SIO option SISR — IRIS Mediaschool
BlocB2 — Administration Systèmes & Réseaux
ModuleM2.2 — Compétences B2.2 / B2.3
CoursC2.2.2 — Windows Server — GPO sécurité et diagnostic AD
Durée3h30
PrérequisSéance 1 complétée (DC déployé, OUs créées, comptes de test disponibles)

Introduction (10 min)

Un vendredi soir, une GPO mal testée est déployée sur une unité d'organisation et, le lundi matin, la quasi-totalité des postes se retrouvent verrouillés ou incapables de démarrer correctement : c'est un scénario malheureusement courant qui illustre pourquoi toute GPO doit être testée via RSoP avant déploiement large. Cette séance montre le cycle de vie d'une GPO, les techniques de filtrage et de ciblage (security filtering, WMI), ainsi que les procédures de diagnostic et de sauvegarde de l'Active Directory pour limiter l'impact d'une mauvaise politique.

🎯 Objectifs de la séance

  • Créer, lier, reporter et lister des GPOs en PowerShell et via GPMC
  • Configurer des politiques de sécurité (mot de passe, verrouillage de compte, verrouillage écran, paramétrage WSUS) et les tester avec gpupdate /force et gpresult
  • Diagnostiquer la réplication AD (repadmin, dcdiag) et préparer une sauvegarde/restauration (Windows Server Backup, corbeille AD)

📖 1. Cycle de vie d'une GPO (30 min)

Le cycle de vie d'une GPO comprend la création, l'édition, le lien à une cible (site/domaine/OU), le test (RSoP), la sauvegarde et éventuellement la restauration. En PowerShell (module GroupPolicy) :

Import-Module GroupPolicy

# Créer une GPO
New-GPO -Name "Security-Policy-InnovatTech" -Comment "Politique de sécurité pour les utilisateurs"

# Lier la GPO à une OU (lien activé)
New-GPLink -Name "Security-Policy-InnovatTech" `
    -Target "OU=Utilisateurs,OU=InnovatTech,DC=innovattech,DC=local" `
    -LinkEnabled Yes

# Générer un rapport HTML de la GPO
Get-GPOReport -Name "Security-Policy-InnovatTech" -ReportType Html `
    -Path "C:\Reports\Security-Policy-InnovatTech.html"

Traitement des GPOs : l'ordre d'application est Local → Site → Domaine → OU (puis OUs enfants). Les règles marquées Enforced (No Override) empêchent les liens enfants de bloquer l'application ; Block Inheritance sur une OU bloque les GPO héritées du parent.

MécanismeEffet
Enforced (No Override)La GPO parente s'applique même si une OU enfant a activé Block Inheritance
Block InheritanceL'OU bloque toutes les GPO héritées des niveaux supérieurs (sauf celles Enforced)
Security FilteringContrôle qui (groupe/utilisateur) a la permission d'appliquer la GPO
WMI FilterConditionne l'application à une requête WMI sur la machine cible

📖 2. Politiques de sécurité via GPO (50 min)

Certaines politiques ont des effets au niveau du domaine (password policy) et d'autres au niveau de l'ordinateur ou de l'utilisateur. Important : les paramètres de mot de passe et de verrouillage de compte sont des Account Policies qui, par défaut, s'appliquent au niveau domaine. Pour les appliquer à tous les comptes il faut modifier le Default Domain Policy, ou utiliser les Fine-Grained Password Policies (PSO) si l'on veut des règles différentes pour des groupes d'utilisateurs.

Pour le TP nous allons :

  • Créer la GPO Security-Policy-InnovatTech pour les paramètres de verrouillage écran et WSUS et lier cette GPO à l'OU Utilisateurs ;
  • Modifier le Default Domain Policy pour définir la politique de mot de passe (minimum 12 caractères, complexité activée) et le verrouillage (seuil 5 tentatives).
ParamètreValeur exigéeEmplacement
Minimum password length12 caractèresDefault Domain Policy → Account Policies → Password Policy
Password complexityEnabledDefault Domain Policy → Account Policies → Password Policy
Account lockout threshold5 invalid attemptsDefault Domain Policy → Account Policies → Account Lockout Policy
Screen lock timeout600 secondes (10 min)GPO OU Utilisateurs → User Config → Administrative Templates → Control Panel → Personalization
WSUS URLhttp://wsus.innovattech.local:8530GPO OU Utilisateurs → Computer Config → Administrative Templates → Windows Components → Windows Update
# Créer la GPO et la lier à l'OU Utilisateurs
New-GPO -Name "Security-Policy-InnovatTech"
New-GPLink -Name "Security-Policy-InnovatTech" `
    -Target "OU=Utilisateurs,OU=InnovatTech,DC=innovattech,DC=local" -LinkEnabled Yes

# Rapport de la Default Domain Policy (vérification mot de passe)
Get-GPOReport -Name "Default Domain Policy" -ReportType Html `
    -Path "C:\Reports\DefaultDomainPolicy.html"
⚠️ Attention

Une GPO liée uniquement à une OU ne modifie pas la politique de mot de passe du domaine entier. Les Account Policies (Password Policy, Account Lockout Policy) ne prennent effet que lorsqu'elles sont définies dans une GPO liée directement au niveau du domaine, comme la Default Domain Policy.

📖 2.1 Filtrage GPO et WMI filters (20 min)

Le filtrage permet de cibler l'application d'une GPO. Deux mécanismes principaux :

  • Security Filtering : contrôle qui (quel groupe/utilisateur) a la permission d'appliquer la GPO. Se gère dans l'onglet Scope de la GPO : retirer Authenticated Users et ajouter le groupe ciblé (ex : RH-Users).
  • WMI Filter : exécute une requête WMI sur la machine cible et n'applique la GPO que si la requête renvoie vrai.

Exemple de requête WMI pour n'appliquer la GPO qu'aux postes Windows 10 :

Select * from Win32_OperatingSystem WHERE Version like '10.%' AND ProductType = '1'

Création du filtre WMI (méthode recommandée) : GPMC → WMI FiltersNew. Renseignez le nom du filtre, le namespace (root\CIMv2) et la requête WQL.

💡 Astuce

ProductType = '1' correspond aux postes de travail. La valeur '2' correspond aux contrôleurs de domaine et '3' aux serveurs membres. Combinez les conditions pour cibler précisément votre parc.

📖 3. RSoP, gpupdate et gpresult (20 min)

Avant de déployer une GPO en production il est impératif de tester le Resultant Set of Policy (RSoP). Sur une machine cliente :

# Forcer l'application des GPOs
gpupdate /force

# Obtenir un rapport RSoP en HTML
gpresult /h C:\Temp\RSoP-Security-Policy-InnovatTech.html

# Résumé console (niveau ordinateur)
gpresult /r /scope computer

Interprétation du rapport HTML :

  • Liste des GPO appliquées au niveau ordinateur et utilisateur
  • Paramètres effectifs et leur source (GPO X liée à OU Y)
  • GPO filtrées (non appliquées) et motif du filtrage

Si la GPO n'apparaît pas, vérifier dans l'ordre : le lien (activé ?), l'héritage (Block Inheritance ?), le Security Filtering (groupe correct ?) et le WMI Filter (requête renvoie vrai ?).

📖 4. Diagnostic de réplication AD et intégrité (20 min)

Les outils standards pour diagnostiquer AD sont repadmin et dcdiag.

# Afficher la réplication entrante pour chaque DC
repadmin /showrepl

# Résumé de la réplication (état global)
repadmin /replsummary

# Tests DC et réplication
dcdiag /test:replication
dcdiag /test:netlogons
CommandeUsage
repadmin /showreplDétail des partitions répliquées et des erreurs par DC
repadmin /replsummaryVue synthétique : latence maximale, erreurs, nombre de tentatives
dcdiag /test:replicationChecks structurés de réplication (erreurs exploitables)
dcdiag /test:netlogonsVérifie que le service Netlogon tourne correctement sur tous les DCs

Points clés à vérifier lors d'une anomalie de réplication :

  • Synchronisation horaire (NTP) : les DCs doivent être à moins de 5 minutes d'écart
  • Résolution DNS : chaque DC doit pouvoir résoudre les autres par nom FQDN
  • Connectivité réseau sur le port 389 (LDAP) et 636 (LDAPS)

📖 5. Sauvegarde et restauration AD (20 min)

Pour garantir la possibilité de restauration après une mauvaise manipulation ou une suppression accidentelle, deux mécanismes clefs :

  • Sauvegarde de l'état système (System State) via Windows Server Backup ou wbadmin
  • Corbeille Active Directory (AD Recycle Bin) pour restaurer des objets supprimés sans restauration complète
# Sauvegarde locale de l'état système (cible D:)
wbadmin start systemstatebackup -backuptarget:D: -quiet

# Sauvegarde vers un partage réseau
wbadmin start systemstatebackup -backuptarget:\\backupserver\backups -quiet
# Vérifier la disponibilité de la corbeille AD
Get-ADOptionalFeature -Filter 'Name -like "*Recycle*"'

# Activer la corbeille AD (niveau fonctionnel de forêt adéquat requis)
Enable-ADOptionalFeature -Identity "Recycle Bin Feature" `
    -Scope Forest -Target "innovattech.local"
💡 Bonne pratique

Après activation de la corbeille AD, les objets supprimés sont conservés pendant la durée de vie des objets tombés (tombstoneLifetime, 180 jours par défaut). La restauration se fait depuis Active Directory Users and Computers (afficher les objets tombés) ou via Restore-ADObject en PowerShell.

💻 Travaux Pratiques (1h20)

Contexte

Vous êtes administrateur après la réunion de changelog : il faut créer et tester une GPO de sécurité, lier correctement à l'OU Utilisateurs, configurer les paramètres exigés, tester l'application et diagnostiquer la réplication entre DCs.

Objectif

Créer la GPO Security-Policy-InnovatTech, configurer les politiques (mot de passe, verrouillage, verrouillage écran et WSUS), lier à l'OU Utilisateurs, tester via gpupdate/gpresult et diagnostiquer la réplication avec repadmin.

Prérequis techniques

  • Un poste client Windows 10 ou 11 connecté au domaine (pour gpresult/gpupdate)
  • Accès à la GPMC sur un poste administrateur ou sur le DC
  • Accès PowerShell avec module GroupPolicy

Étapes

Étape 1 — Création et liaison de la GPO

Import-Module GroupPolicy
New-GPO -Name "Security-Policy-InnovatTech" -Comment "Politique sécurité InnovatTech"
New-GPLink -Name "Security-Policy-InnovatTech" `
    -Target "OU=Utilisateurs,OU=InnovatTech,DC=innovattech,DC=local" -LinkEnabled Yes
Get-GPOReport -Name "Security-Policy-InnovatTech" -ReportType Html `
    -Path "C:\Reports\Security-Policy-InnovatTech-before-edit.html"

Étape 2 — Politique de mot de passe (Default Domain Policy)

  1. Ouvrir GPMC
  2. Éditer la Default Domain PolicyComputer ConfigurationPoliciesWindows SettingsSecurity SettingsAccount PoliciesPassword Policy
  3. Définir Minimum password length = 12 et Password must meet complexity requirements = Enabled
  4. Aller dans Account Lockout PolicyAccount lockout threshold = 5, Account lockout duration = 15 (minutes)

Étape 3 — Verrouillage écran (GPO OU Utilisateurs)

  1. Dans GPMC, éditer la GPO Security-Policy-InnovatTech
  2. User ConfigurationPoliciesAdministrative TemplatesControl PanelPersonalization
  3. Activer Force specific screen saver et Screen saver timeout = 600

Étape 4 — Configuration WSUS via GPO

  1. GPO → Computer ConfigurationAdministrative TemplatesWindows ComponentsWindows Update
  2. Activer "Specify intranet Microsoft update service location" et renseigner l'URL WSUS : http://wsus.innovattech.local:8530

Étape 5 — Filtrage et test

  1. Optionnel : créer un WMI Filter pour n'appliquer la GPO qu'aux postes Windows 10 (requête WMI fournie ci-dessus)
  2. Security Filtering : retirer Authenticated Users du scope et ajouter le groupe cible (ex : RH-Users) si vous souhaitez restreindre l'application

Étape 6 — Forcer l'application et vérifier

# Sur la machine cliente connectée au domaine
gpupdate /force

# Générer le rapport RSoP
gpresult /h C:\Temp\RSoP-Security-Policy-InnovatTech.html
gpresult /r /scope computer

Vérifier dans le rapport HTML que les paramètres souhaités sont présents et proviennent de la GPO correcte.

Étape 7 — Diagnostiquer la réplication

repadmin /showrepl
repadmin /replsummary
dcdiag /test:replication

Analyser les erreurs : problèmes DNS, connectivité réseau, erreurs d'horloge.

Livrables attendus

  • Rapport HTML de la GPO (C:\Reports\Security-Policy-InnovatTech.html)
  • Rapport RSoP exporté pour une machine cliente (C:\Temp\RSoP-Security-Policy-InnovatTech.html)
  • Capture des commandes repadmin /showrepl et dcdiag /test:replication montrant état OK
  • Procédure écrite (1 page) expliquant comment rétablir la GPO en cas de mauvais effet (backup GPO, restauration ou retrait du lien)

Critères de réussite

  • ☐ Les paramètres de mot de passe et de verrouillage sont appliqués au domaine (vérifié via Get-GPOReport / Default Domain Policy)
  • ☐ Le paramètre de verrouillage écran est appliqué aux comptes cibles (vérifié par gpresult)
  • ☐ Les changements de GPO se répliquent correctement entre DCs (repadmin /replsummary sans erreurs)
  • ☐ Une sauvegarde de la GPO a été générée et peut être restaurée

🔁 Synthèse de séance (10 min)

Cette séance a montré que la gestion des GPOs est un exercice de précision : création, filtrage et tests RSoP sont indispensables avant tout déploiement. Les commandes gpupdate, gpresult, Get-GPOReport, repadmin et dcdiag constituent votre boîte à outils pour valider l'application des politiques et diagnostiquer les problèmes de réplication.

❓ Question de vérification

Pourquoi une GPO liée à une OU ne peut-elle pas toujours remplacer la politique de mot de passe du domaine ?

📘 Cours suivant

Poursuite des bonnes pratiques AD — délégation, PSO et montée en charge.

📝 Quiz — Auto-évaluation (5 questions)

  1. Q1 (QCM) — Quel est l'ordre d'application des GPOs, de la moins prioritaire à la plus prioritaire ?

  2. Q2 (V/F) — "Une GPO liée uniquement à une OU peut modifier la politique de mot de passe pour tous les comptes du domaine."

  3. Q3 (QCM) — Quelle commande permet de forcer l'application des GPOs sur un poste client Windows ?

  4. Q4 (QCM) — Quelle cmdlet PowerShell permet d'activer la Corbeille Active Directory ?

  5. Q5 (QCM) — À quoi sert la commande repadmin /replsummary ?

Le plugin de quiz vous donnera un score et enregistrera vos points pour le leaderboard.

← C2.2.2 Séance 1 — Active Directory déploiement C2.2.3 Séance 1 — DNS BIND9 et zones →