Quand on crée un nouveau domaine AD, deux GPO sont créés dans ce domaine : la Default Domain Policy, liée au domaine, et la Default Domain Controllers Policy, liée à l'OU Domain Controllers. Windows fournit ces GPO pour vous aider à définir les policies domain account et autres stratégies de
Meilleures pratiques pour les stratégies de sécurité des domaines
sécurité, mais j’ai vu des avertissements
vous demandant de ne pas toucher
à ces GPO prêts à l’emploi. La
conséquence est que de nombreux administrateurs
ne savent plus s’ils doivent
utiliser ces GPO pour leurs stratégies
de groupe ou créer les leurs
propres. En fait, on peut choisir l’une
ou l’autre des solutions.
Lorsque vous déployez des stratégies
de sécurité sur l’ensemble des domaines,
quelques bonnes pratiques
s’imposent. On l’a vu, vous ne pouvez
définir de stratégies de compte sur
l’ensemble des domaines, que sur un
GPO qui est lié au domaine. Si vous
devez définir d’autres stratégies de sécurité
sur l’ensemble des domaines
(par exemple, la taille par défaut du
journal Security sur tous les DC d’un
domaine), définissez ces stratégies
dans un GPO lié à l’OU Domain
Controllers (en supposant que vous
n’avez pas déplacé vos DC hors de
cette OU). Comme Windows traite les
GPO dans l’ordre : local, site, domaine
puis OU, le fait de définir les stratégies
de sécurité dans un GPO lié à l’OU
Domain Controllers garantit que ces
stratégies sont traitées en dernier et
remplacent ainsi les éventuelles stratégies
liées au domaine.
Cependant, cette meilleure pratique
peut être en contradiction avec
une autre : définir l’option No Override
sur votre GPO lié au domaine. Définir
l’option No Override sur un GPO empêche
d’éventuels GPO « en aval » avec
des paramètres contradictoires, de
supplanter cette stratégie de plus haut
niveau. Il peut être judicieux de définir
No Override sur un GPO lié au domaine
qui édicte les stratégies de
compte si vous voulez que ces stratégies
de compte soient dominantes
dans tous les cas. Cependant, si vous
utilisez ce même GPO lié au domaine
pour définir d’autres stratégies de sécurité
(stratégie d’audit, par exemple),
il supplantera les éventuels paramètres
d’audit créés dans les GPO liés à l’OU
Domain Controllers. C’est pourquoi je
recommande que le GPO qui définit
vos stratégise de compte ne fasse rien
d’autre. Ainsi, vous pourrez déléguer
l’administration de ce GPO et de vos
stratégies de compte de domaine aux
experts en sécurité de votre entreprise,
en vous réservant le droit de définir
d’autres stratégies de sécurité pertinentes
sur les ordinateurs en aval.
Téléchargez cette ressource
Microsoft 365 Tenant Resilience
Face aux failles de résilience des tenants M365 (configurations, privilèges, sauvegarde). Découvrez 5 piliers pour durcir, segmenter et surveiller vos environnements afin de limiter l’impact des attaques. Prioriser vos chantiers cyber et améliorer la résilience de vos tenants Microsoft 365.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Deepfakes et IA : 64% des Français pensent savoir les détecter, mais la confiance reste fragile
- Cryptographie post-quantique : le Campus Cyber publie deux guides clés pour accélérer la transition des entreprises
- Cyberattaques : 46% des entreprises françaises perdent du chiffre d’affaires dès le premier jour
- Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
