Quand on crée un nouveau domaine AD, deux GPO sont créés dans ce domaine : la Default Domain Policy, liée au domaine, et la Default Domain Controllers Policy, liée à l'OU Domain Controllers. Windows fournit ces GPO pour vous aider à définir les policies domain account et autres stratégies de
Meilleures pratiques pour les stratégies de sécurité des domaines
sécurité, mais j’ai vu des avertissements
vous demandant de ne pas toucher
à ces GPO prêts à l’emploi. La
conséquence est que de nombreux administrateurs
ne savent plus s’ils doivent
utiliser ces GPO pour leurs stratégies
de groupe ou créer les leurs
propres. En fait, on peut choisir l’une
ou l’autre des solutions.
Lorsque vous déployez des stratégies
de sécurité sur l’ensemble des domaines,
quelques bonnes pratiques
s’imposent. On l’a vu, vous ne pouvez
définir de stratégies de compte sur
l’ensemble des domaines, que sur un
GPO qui est lié au domaine. Si vous
devez définir d’autres stratégies de sécurité
sur l’ensemble des domaines
(par exemple, la taille par défaut du
journal Security sur tous les DC d’un
domaine), définissez ces stratégies
dans un GPO lié à l’OU Domain
Controllers (en supposant que vous
n’avez pas déplacé vos DC hors de
cette OU). Comme Windows traite les
GPO dans l’ordre : local, site, domaine
puis OU, le fait de définir les stratégies
de sécurité dans un GPO lié à l’OU
Domain Controllers garantit que ces
stratégies sont traitées en dernier et
remplacent ainsi les éventuelles stratégies
liées au domaine.
Cependant, cette meilleure pratique
peut être en contradiction avec
une autre : définir l’option No Override
sur votre GPO lié au domaine. Définir
l’option No Override sur un GPO empêche
d’éventuels GPO « en aval » avec
des paramètres contradictoires, de
supplanter cette stratégie de plus haut
niveau. Il peut être judicieux de définir
No Override sur un GPO lié au domaine
qui édicte les stratégies de
compte si vous voulez que ces stratégies
de compte soient dominantes
dans tous les cas. Cependant, si vous
utilisez ce même GPO lié au domaine
pour définir d’autres stratégies de sécurité
(stratégie d’audit, par exemple),
il supplantera les éventuels paramètres
d’audit créés dans les GPO liés à l’OU
Domain Controllers. C’est pourquoi je
recommande que le GPO qui définit
vos stratégise de compte ne fasse rien
d’autre. Ainsi, vous pourrez déléguer
l’administration de ce GPO et de vos
stratégies de compte de domaine aux
experts en sécurité de votre entreprise,
en vous réservant le droit de définir
d’autres stratégies de sécurité pertinentes
sur les ordinateurs en aval.
Téléchargez cette ressource
Rapport mondial 2025 sur la réponse à incident
Dans ce nouveau rapport, les experts de Palo Alto Networks, Unit 42 livrent la synthèse des attaques ayant le plus impacté l'activité des entreprises au niveau mondial. Quel est visage actuel de la réponse aux incidents ? Quelles sont les tendances majeures qui redessinent le champ des menaces ? Quels sont les défis auxquels doivent faire face les entreprises ? Découvrez les top priorités des équipes de sécurité en 2025.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Datanexions, acteur clé de la transformation numérique data-centric
- Les PME attendent un meilleur accès aux données d’émissions de la part des fournisseurs
- Fraude & IA : Dr Jekyll vs. Mr Hyde, qui l’emporte ?
- Gestion du cycle de vie des outils de cyberdéfense : un levier de performance pour les entreprises
- Top 6 du Cyber Benchmark Wavestone 2025
