> Tech > Politiques de groupes

Politiques de groupes

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

  Pourquoi avons-nous créé un dossier spécial pour les GPO ? Parce que les GPO introduisaient un nouveau type de problèmes affectant notre structure OU. Par défaut, Win2K stocke les GPO dans AD - dans le contexte de nom de domaine à  LDAP://cn=Policies,cn=System,dc=domain (LDAP://cn=Policies,cn=System,dc=mycorp,dc=com, par exemple, pour le conteneur Group Policy

dans le domaine mycorp.com) – et stocke les fichiers
Group Policy dans le dossier \%system-root%\sysvol\domain\policies

(C:\winnt\sysvol\domain\policies,
par exemple). Les GPO ne sont pas rattachés aux OU mais résident dans le
système de fichiers et relient aux OU. Rappelons que Win2K réplique

automatiquement le dossier \sysvol sur chaque DC d’un domaine. La création
d’un grand nombre de GPO freine considérablement les performances sur

chaque DC qui réside dans le même domaine. Un grand nombre de GPO

n’affectera pas seulement le temps de logon de l’utilisateur, mais
augmentera aussi la quantité de données répliquées. Quand on modifie un
GPO, le FRS (File Replication Service) réplique tout le fichier – et pas

simplement les modifications – dans chaque DC du domaine.

  Un autre problème constaté concerne le retrait d’un GPO. Si

on supprime un lien de GPO sans supprimer le GPO, celui-ci reste dans le

dossier \sysvol – et le FRS le réplique sur chaque nouveau DC. (On ne peut

voir les GPO non liés que sur l’onglet All de la fenêtre Add a Group Policy

Object Link.) Si l’on ne consulte pas cette liste de temps en temps pour la

nettoyer, on risque de se retrouver avec des centaines de GPO inutilisés.

Chez Siemens PG, nous gérons les GPO de manière centralisée, en contrôlant

périodiquement les GPO non utilisés. On peut aussi obtenir un produit tiers

comme Full Armor d’United Business Machines (UBM) pour gérer les GPO.
Pour ne plus être encombrés par les GPO non utilisés, nous avons décidé
de refuser aux administrateurs locaux le droit de créer des GPO (par

exemple, en attribuant des paramètres desktop spécifiques aux

utilisateurs), sauf raison très légitime. Nous avons limité
l’appartenance au groupe Group Policy Creator Owners à  nos administrateurs
DCSP, lesquels approuvent, créent, gèrent et suppriment les GPO
dans le dossier Group Policies. A partir de ce dossier, les

administrateurs locaux peuvent ajouter un lien Group Policy à  un dossier
OU. Les administrateurs DCSP gèrent les GPO à  partir de la boîte de

dialogue Properties du dossier GroupPolicies, qui présente tous les GPO

disponibles dans le domaine.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010