Pourquoi avons-nous créé un dossier spécial pour les GPO ? Parce que les GPO introduisaient un nouveau type de problèmes affectant notre structure OU. Par défaut, Win2K stocke les GPO dans AD - dans le contexte de nom de domaine à LDAP://cn=Policies,cn=System,dc=domain (LDAP://cn=Policies,cn=System,dc=mycorp,dc=com, par exemple, pour le conteneur Group Policy
Politiques de groupes
dans le domaine mycorp.com) – et stocke les fichiers
Group Policy dans le dossier \%system-root%\sysvol\domain\policies
(C:\winnt\sysvol\domain\policies,
par exemple). Les GPO ne sont pas rattachés aux OU mais résident dans le
système de fichiers et relient aux OU. Rappelons que Win2K réplique
automatiquement le dossier \sysvol sur chaque DC d’un domaine. La création
d’un grand nombre de GPO freine considérablement les performances sur
chaque DC qui réside dans le même domaine. Un grand nombre de GPO
n’affectera pas seulement le temps de logon de l’utilisateur, mais
augmentera aussi la quantité de données répliquées. Quand on modifie un
GPO, le FRS (File Replication Service) réplique tout le fichier – et pas
simplement les modifications – dans chaque DC du domaine.
Un autre problème constaté concerne le retrait d’un GPO. Si
on supprime un lien de GPO sans supprimer le GPO, celui-ci reste dans le
dossier \sysvol – et le FRS le réplique sur chaque nouveau DC. (On ne peut
voir les GPO non liés que sur l’onglet All de la fenêtre Add a Group Policy
Object Link.) Si l’on ne consulte pas cette liste de temps en temps pour la
nettoyer, on risque de se retrouver avec des centaines de GPO inutilisés.
Chez Siemens PG, nous gérons les GPO de manière centralisée, en contrôlant
périodiquement les GPO non utilisés. On peut aussi obtenir un produit tiers
comme Full Armor d’United Business Machines (UBM) pour gérer les GPO.
Pour ne plus être encombrés par les GPO non utilisés, nous avons décidé
de refuser aux administrateurs locaux le droit de créer des GPO (par
exemple, en attribuant des paramètres desktop spécifiques aux
utilisateurs), sauf raison très légitime. Nous avons limité
l’appartenance au groupe Group Policy Creator Owners à nos administrateurs
DCSP, lesquels approuvent, créent, gèrent et suppriment les GPO
dans le dossier Group Policies. A partir de ce dossier, les
administrateurs locaux peuvent ajouter un lien Group Policy à un dossier
OU. Les administrateurs DCSP gèrent les GPO à partir de la boîte de
dialogue Properties du dossier GroupPolicies, qui présente tous les GPO
disponibles dans le domaine.
Téléchargez cette ressource
Plan de sécurité Microsoft 365
Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Analyse Patch Tuesday Juin 2026
- La bataille de la 6G se gagne dans la donnée en temps réel
- BlueSecure repense la sensibilisation à la cybersécurité avec des formats immersifs et engageants
- Les agents d’IA fragilisent la sécurité : pour les sécuriser, inutile de repartir de zéro
Articles les + lus
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
Analyse Patch Tuesday Mai 2026
À la une de la chaîne Tech
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
- Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
- Analyse Patch Tuesday Mai 2026
