Pourquoi avons-nous créé un dossier spécial pour les GPO ? Parce que les GPO introduisaient un nouveau type de problèmes affectant notre structure OU. Par défaut, Win2K stocke les GPO dans AD - dans le contexte de nom de domaine à LDAP://cn=Policies,cn=System,dc=domain (LDAP://cn=Policies,cn=System,dc=mycorp,dc=com, par exemple, pour le conteneur Group Policy
Politiques de groupes
dans le domaine mycorp.com) – et stocke les fichiers
Group Policy dans le dossier \%system-root%\sysvol\domain\policies
(C:\winnt\sysvol\domain\policies,
par exemple). Les GPO ne sont pas rattachés aux OU mais résident dans le
système de fichiers et relient aux OU. Rappelons que Win2K réplique
automatiquement le dossier \sysvol sur chaque DC d’un domaine. La création
d’un grand nombre de GPO freine considérablement les performances sur
chaque DC qui réside dans le même domaine. Un grand nombre de GPO
n’affectera pas seulement le temps de logon de l’utilisateur, mais
augmentera aussi la quantité de données répliquées. Quand on modifie un
GPO, le FRS (File Replication Service) réplique tout le fichier – et pas
simplement les modifications – dans chaque DC du domaine.
Un autre problème constaté concerne le retrait d’un GPO. Si
on supprime un lien de GPO sans supprimer le GPO, celui-ci reste dans le
dossier \sysvol – et le FRS le réplique sur chaque nouveau DC. (On ne peut
voir les GPO non liés que sur l’onglet All de la fenêtre Add a Group Policy
Object Link.) Si l’on ne consulte pas cette liste de temps en temps pour la
nettoyer, on risque de se retrouver avec des centaines de GPO inutilisés.
Chez Siemens PG, nous gérons les GPO de manière centralisée, en contrôlant
périodiquement les GPO non utilisés. On peut aussi obtenir un produit tiers
comme Full Armor d’United Business Machines (UBM) pour gérer les GPO.
Pour ne plus être encombrés par les GPO non utilisés, nous avons décidé
de refuser aux administrateurs locaux le droit de créer des GPO (par
exemple, en attribuant des paramètres desktop spécifiques aux
utilisateurs), sauf raison très légitime. Nous avons limité
l’appartenance au groupe Group Policy Creator Owners à nos administrateurs
DCSP, lesquels approuvent, créent, gèrent et suppriment les GPO
dans le dossier Group Policies. A partir de ce dossier, les
administrateurs locaux peuvent ajouter un lien Group Policy à un dossier
OU. Les administrateurs DCSP gèrent les GPO à partir de la boîte de
dialogue Properties du dossier GroupPolicies, qui présente tous les GPO
disponibles dans le domaine.
Téléchargez cette ressource
Comment sécuriser une PME avec l’approche par les risques ?
Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.