Connexion Newsletter
iTPro.fr

Actualités, Dossiers et Ressources IT Professionnelles - dimanche 03 mai 2026

> Tech > Exclure les administrations des stratégies de groupe

Exclure les administrations des stratégies de groupe

Tech - Par Renaud ROSSET - Publié le 24 juin 2010

Si vous établissez des stratégies de groupe concernant l'ensemble des domaines pour contrôler les ordinateurs et utilisateurs de votre entreprise, assurez- vous que ces restrictions ne concernent pas les membres de votre équipe IT auxquels vous avez octroyé des permissions administratives. La documentation de Microsoft suggère de créer une OU

(organizational unit)
pour les utilisateurs et ordinateurs que
vous voulez exempter de la stratégie
de domaines par défaut et de créer une
nouvel stratégie qui ne s’applique qu’à 
la nouvelle OU. Pour ma part, je trouve
plus efficace d’utiliser l’ACL pour la
stratégie de domaines par défaut pour
exclure les membres du groupe
Administrators (ou tout autre objet utilisateur
ou groupe choisi par vous). Si
vous ne saviez pas que la stratégie de
domaines par défaut a des ACL, vous
accueillerez favorablement cette fonction
comme un autre moyen de créer
et de gérer des OU. Voici comment éditer
l’ACL pour la stratégie de domaines
par défaut dans des domaines Windows
2003 et Win2K :

  1. Ouvrez le snap-in Active Directory
    Users and Computers.

  2. Dans le panneau de console, faites
    un clic droit sur le domaine et choisissez
    Properties.

  3. Sélectionnez l’onglet Group Policy
    (si vous avez installé la Group Policy
    Management Console – GPMC –
    dans Windows 2003, quand vous sélectionnerez
    l’onglet Group Policy,
    vous recevrez un message disant
    que l’onglet n’est plus utilisé comme
    un moyen d’ouvrir le snap-in).

  4. Sélectionnez Default Domain Policy
    et cliquez sur Properties.

  5. Sélectionnez l’onglet Security, illustré
    figure 1.

  6. Si le groupe ou l’utilisateur que vous
    voulez exempter de la stratégie ne figure
    pas dans la liste, cliquez sur
    Add et sélectionnez l’objet approprié.

  7. Sélectionnez le groupe que vous
    voulez exclure de la stratégie de domaines
    par défaut (dans mon cas, le
    groupe Administrators) et sélectionnez
    l’option Deny pour la permission
    Apply Group Policy, comme le
    montre la figure 1. Répétez ces opérations
    pour les autres groupes que
    vous voulez exclure de la stratégie
    de domaines par défaut.

Le compte Administrator et les
comptes utilisateur qui sont membres
des groupes administratifs sont puissants
et, par conséquent, dangereux
dans de mauvaises mains. En fait, le
danger ne vient pas seulement d’intrus
décidés à  détruire. J’ai vu des dégâts
considérables causés par des employés
munis de privilèges élevés et aux habitudes
de travail laxistes (ou manquant
de connaissances). Pour cette raison,
ne mettez pas n’importe qui dans les
groupes administratifs. Pour une vraie
sécurité, instituez une règle interne
stipulant que les administrateurs qui
n’effectuent pas un travail administratif
se connectent au domaine avec des
comptes qui n’ont que des autorisations
normales. Vous protègerez ainsi
votre système des conséquences d’actions
involontaires. Quand une tâche
qui demande des permissions élevées
se présente, les membres de l’équipe
IT peuvent utiliser la fonction Run As.

Téléchargez cette ressource

Plan de sécurité Microsoft 365

Plan de sécurité Microsoft 365

Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?

Les articles les plus consultés

A travers cette chaîne
A travers ITPro

Les plus consultés sur iTPro.fr

Articles les + lus

Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants

Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
Moderniser le développement logiciel : de la fragmentation à l’intégration

Moderniser le développement logiciel : de la fragmentation à l’intégration
Analyse Patch Tuesday Mars 2026

Analyse Patch Tuesday Mars 2026
Une nouvelle ère de la modernisation du mainframe

Une nouvelle ère de la modernisation du mainframe
Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles

Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles

A lire aussi sur le site

Une nouvelle ère de la modernisation du mainframe

Dans une époque marquée par les innovations pilotées par l'IA, les connaissances en temps réel et la transformation numérique, les mainframes continuent de constituer la base des systèmes les plus importants au monde.

À la une de la chaîne Tech

Le Mac en entreprise : pourquoi les collaborateurs le plébiscitent et l’adoptent ?

Les entreprises sont de plus en plus nombreuses à intégrer les Mac dans leur parc informatique. Pourquoi un tel engouement ? Yann Ménez, Mobility Solution Manager chez inmac wstore, nous éclaire en vidéo sur les atouts de cette solution.

A la Une des Ressources IT

Inscrivez-vous !
Sécuriser Microsoft 365 avec une approche Zero-Trust

Sécuriser Microsoft 365 avec une appr...

Découvrir Microsoft 365 Tenant Resilience

Microsoft 365 Tenant Resilience

Découvrir Mac en entreprise : le levier d’un poste de travail moderne

Mac en entreprise : le levier d’un po...

Découvrir Plan de sécurité Microsoft 365

Plan de sécurité Microsoft 365

Découvrir Guide de Threat Intelligence contextuelle

Guide de Threat Intelligence contextu...

Découvrir