TechTarget

Maxim_Kazmin - Fotolia

Conseil

Administration Windows : comment protéger les GPO

Les objets de stratégie de groupe, ou GPO, sont des configurations si importantes pour Windows Server et si longues à écrire qu’il est essentiel de savoir les sauvegarder pour les restaurer en cas d’incident.

Damon Garn
par
Publié le: 21 août 2024

Les stratégies de groupe (alias « Group Policy ») sont des configurations centrales dans Windows qui sont essentielles au fonctionnement d’Active Directory. Elles comprennent des milliers de paramètres qui contrôlent tout, de la sécurité au déploiement de logiciels en passant par les options d’interface utilisateur. Avec autant de paramètres et de possibilités de personnalisation, il est essentiel de protéger votre infrastructure de stratégie de groupe contre les pertes accidentelles ou les modifications involontaires.

L’optimisation et la gestion des stratégies de groupe peuvent prendre beaucoup de temps, en particulier dans les grands environnements distribués où divers systèmes jouent des rôles différents.

Les stratégies de groupe permettent aux utilisateurs de définir plusieurs fonctions importantes. Voici quelques exemples de ce que vous pouvez faire avec :

  • Stratégie de mot de passe.
  • Configuration du bureau.
  • Restreindre l’accès au Panneau de configuration.
  • Désactiver les mises à jour automatiques des pilotes.
  • Blocage de l’USB.
  • Gestion des logiciels.

Les paramètres sont stockés dans des jeux de données appelés objets de stratégie de groupe, ou GPO (Group Policy Object). Les GPO peuvent être liés aux sites Active Directory (AD), au domaine et aux unités d’organisation (OU), ce qui permet des configurations granulaires et spécifiques à un rôle. L’utilisation judicieuse des autorisations NTFS permet de mieux contrôler les périphériques qui reçoivent les paramètres.

Screenshot Group Policy objects
Figure 1. Les entreprises disposent souvent d'un grand nombre d'objets de stratégie de groupe.

La conception distribuée d’AD permet de maintenir la disponibilité des stratégies de groupe en répliquant les GPO entre les contrôleurs de domaine (DC), mais les administrateurs doivent envisager des mesures supplémentaires pour les protéger.

Les sauvegardes – toutes les sauvegardes – sont essentielles. Les GPO contiennent de nombreux paramètres qui personnalisent votre environnement AD, ce qui représente de nombreuses heures de travail pour votre équipe. La stratégie de groupe fournit aux utilisateurs les configurations et les outils dont ils ont besoin pour faire leur travail, et elle leur interdit les options qui pourraient les gêner ou générer des appels au support. Il est essentiel de protéger la stratégie de groupe.

Cet article explique comment créer des sauvegardes de la stratégie de groupe dans Windows Server. À la fin, vous serez en mesure de maintenir efficacement cet élément essentiel de votre infrastructure AD.

Sauvegarder tous les GPO

La principale raison de sauvegarder les données est la reprise après sinistre (en anglais Disaster Recovery et DR en forme abrégée). La conception d’AD intègre la reprise après sinistre en répliquant les informations sur tous les DC. Cependant, vous pouvez trouver des sauvegardes séparées de la stratégie de groupe, utiles dans les scénarios où vous voulez restaurer la stratégie de groupe comme une action indépendante de la récupération d’AD.

Accédez aux fonctions de sauvegarde de la stratégie de groupe à partir de la console de gestion de la stratégie de groupe (GPMC). Sélectionnez le dossier parent nommé Objets de stratégie de groupe, cliquez avec le bouton droit de la souris et choisissez Sauvegarder tout. Sélectionnez un emplacement de stockage des sauvegardes.

Veillez à conserver les sauvegardes sur un lecteur différent de celui de la base de données AD. Le stockage en réseau ou en nuage est certainement acceptable si vous pouvez garantir la sécurité et l’intégrité. Saisissez une description raisonnable incluant la date de sauvegarde. Envisagez de créer une convention de dénomination pour les sauvegardes afin de simplifier leur identification.

Le travail de sauvegarde doit être rapide – environ une minute. Comme pour les autres stratégies de sauvegarde, envisagez de stocker une copie hors site pour une plus grande tranquillité d’esprit.

Screenshot of Back Up All option in menu
Figure 2. Sélectionnez Back Up All pour sauvegarder l'ensemble de la bibliothèque de GPO.
Screenshot of Back Up Group Policy Object window
Figure 3. Indiquez l'endroit où sauvegarder les GPO et fournissez une description.
Screenshot of GPO backup progress interface
Figure 4. Interface de progression de la sauvegarde des GPO.

Restaurer les GPO

La restauration des GPO est également simple. Cliquez avec le bouton droit de la souris sur le nœud objets de stratégie de groupe dans la GPMC et sélectionnez Gérer les sauvegardes. Accédez au dossier qui stocke vos sauvegardes de stratégie de groupe et choisissez le GPO à restaurer. Cliquez sur le bouton Restaurer et observez la barre de progression. Le processus de restauration devrait se dérouler rapidement.

La restauration d’un GPO ne met pas automatiquement à jour les paramètres des systèmes auxquels il est lié. Vous devez trouver un autre moyen d’actualiser ces systèmes si vous avez besoin que les paramètres soient mis en place rapidement. Sinon, attendez les deux heures prévues par défaut pour l’actualisation automatique de la stratégie de groupe, et vous devriez voir les configurations restaurées.

Screenshot of Manage Backups option in menu
Figure 5. Restauration des sauvegardes à l'aide de l'option Gérer les sauvegardes.
Screenshot of the Manage Backups interface and the Restore option
Figure 6. L'interface de gestion des sauvegardes et l'option Restaurer.
Screenshot of the Restore progress page
Figure 7. Page de progression de la restauration.

L’interface Gestion des sauvegardes vous permet également de voir les configurations spécifiques des stratégies de groupe pour un GPO donné. Vous pouvez aussi effacer la sauvegarde.

Sauvegarder des GPO spécifiques

Une autre option consiste à sauvegarder des GPO individuels. Cette approche résout un problème différent de celui de la DR. Elle offre une option de retour en arrière en cas de résultats imprévus.

Considérons le scénario suivant : Vous avez développé un GPO pour configurer les postes de travail du département des ventes. Il comprend des sélections de bureau (par exemple, les icônes par défaut), des options du menu Démarrer, des configurations de sécurité, des paramètres d’imprimante et d’autres éléments pertinents pour le rôle des commerciaux. Vous envisagez certaines modifications, mais si elles ne fonctionnent pas, vous devez être en mesure de rétablir la configuration actuelle des machines.

Pour ce faire, sauvegardez le GPO existant avant de commencer à modifier les paramètres. Si les nouvelles configurations ne fournissent pas l’interface nécessaire, restaurez le GPO d’origine.

Pour sauvegarder un seul GPO, sélectionnez-le dans le nœud Objets de stratégie de groupe de l’outil GPMC. Le menu contextuel comprend une option Sauvegarder. L’interface restante est similaire à celle décrite ci-dessus, où vous avez sauvegardé tous les GPO. Choisissez un emplacement de stockage et une description utile.

Les figures 8, 9 et 10 illustrent le processus à l’aide d’un GPO de blocage de la mise à jour des pilotes.

Screenshot of user choosing to Back Up single GPO
Figure 8. Cliquez avec le bouton droit de la souris sur une seule GPO pour la sauvegarder avant d'y apporter des modifications majeures.
Screenshot of Back Up GPO pane with location selected.
Figure 9. Spécifiez un emplacement de stockage et une description.
Screenshot of backup progress interface for a single GPO
Figure 10. L'interface de progression de la sauvegarde pour un seul GPO.

Utilisez la même procédure que celle décrite ci-dessus pour restaurer un seul GPO. N’oubliez pas d’actualiser les paramètres.

Dupliquer un GPO

Bien que la copie d’un GPO ne soit pas la même chose que la sauvegarde, il s’agit d’une fonction utile. Elle permet de dupliquer rapidement les paramètres d’un GPO pour les utiliser sur un autre site ou une autre OU. Vous pouvez par exemple prendre la configuration de l’interface de vente mentionnée ci-dessus, la modifier et l’appliquer ensuite aux systèmes du service marketing. Cliquez avec le bouton droit de la souris sur le GPO et choisissez Copier.

Screenshot of user selecting Copy option for GPO
Figure 11. Cliquez avec le bouton droit de la souris sur un GPO et sélectionnez Copier pour le dupliquer.

Pour coller le GPO copié dans l’interface, cliquez avec le bouton droit de la souris sur le nœud Objets de stratégie de groupe et sélectionnez Coller. La console vous invite à conserver les autorisations NTFS par défaut sur le GPO ou à les définir par défaut. Choisissez l’une de ces options et cliquez sur OK. Une confirmation de réussite s’affiche. La copie est affichée dans la liste. Il suffit de la renommer et de commencer à la modifier si nécessaire.

Screenshot of user selecting Paste option for GPO
Figure 12. Sélectionnez le nœud GPO et collez le GPO dupliqué.
Screenshot of permissions window for Copy GPO
Figure 13. Choisissez de préserver ou non les autorisations existantes sur le GPO.
Screenshot of the copy progress bar
Figure 14. La barre de progression de la copie.
Screenshot of copied GPO highlighted to rename.
Figure 15. Renommez le GPO copié.

Sauvegarder et restaurer des GPO à l’aide de PowerShell

Il est facile de sauvegarder tous les GPO à l’aide de PowerShell. La cmdlet appropriée est Backup-GPO. Si vous souhaitez sauvegarder l’ensemble des GPO, par exemple à des fins de reprise après sinistre, utilisez le paramètre – All et indiquez un chemin de destination. Voici un exemple :

backup-gpo -all -path C:\GPO-backups\

Screenshot of GPO backup process in PowerShell
Figure 16. Utiliser PowerShell pour sauvegarder les GPO.

Vous pouvez également sauvegarder des GPO individuels à l’aide de PowerShell. Dans ce cas, ajoutez le paramètre -Name, spécifiez le nom du GPO et ajoutez le chemin d’accès :

backup-gpo -name 'Dev Desktop Configurations' -path C:\GPO-backups\

Screenshot of single GPO backup process in PowerShell
Figure 17. Utilisez PowerShell pour sauvegarder un seul GPO.

Utilisez une syntaxe similaire avec la cmdlet Restore-GPO pour restaurer un GPO.

Screenshot of the restore-gpo cmdlet in PowerShell
Figure 18. Utilisez la cmdlet restore-gpo pour restaurer un GPO.

Qu’en est-il des sauvegardes du système ?

AD stocke les GPO dans le répertoire du volume système (SYSVOL), qui se trouve généralement sur le lecteur C: de l’ordinateur central. Toute sauvegarde standard qui capture cet emplacement sauvegarde les GPO.

Par exemple, si vous utilisez l’utilitaire standard Windows Server Backup pour sauvegarder le lecteur C: de l’unité centrale, vous disposez déjà d’un double des GPO. La différence est qu’une sauvegarde à l’échelle du système est plus difficile à utiliser, en particulier lorsqu’il s’agit de sauvegarder un seul GPO avant de le modifier. L’outil de sauvegarde de GPMC est plus rapide et plus simple.

Screenshot of GPO ID numbers in SYSVOL folder
Figure 19. Les GPO sont affichés à l'aide des numéros d'identification des GPO dans le dossier SYSVOL.

Les GPO sont affichés avec leur ID de GPO, ce qui les rend plus difficiles à identifier dans le dossier SYSVOL. Utilisez la fonction Gérer les sauvegardes de GPMC pour différencier les GPO.

Figure 20. Reliez les noms de GPO et les ID de GPO à l'aide de l'interface de gestion des sauvegardes.

Pour approfondir sur Administration de systèmes

Close