Accueil Articles Active Directory
Active Directory
Gestion des GPO dans Active Directory : Guide complet pour les admins

Gestion des GPO dans Active Directory : Guide complet pour les admins

04 Mar 2026 Mis à jour le 10 Jun 2026 MAKHZOUM Hussein
Active Directory GPO Group Policy Windows Server Sécurité Administration

Qu'est-ce qu'une GPO ?

Une Group Policy Object (GPO) est un ensemble de paramètres de configuration appliqués automatiquement aux ordinateurs et utilisateurs d'un domaine Active Directory. Elles permettent de centraliser et d'automatiser la gestion de la sécurité, des logiciels et de l'environnement utilisateur.

Ordre d'application des GPO (LSDOU)

  1. Local : GPO locale de chaque machine (priorité la plus faible)
  2. Site : appliquée au site Active Directory
  3. Domaine : appliquée à l'ensemble du domaine
  4. OU : appliquée à l'Unité d'Organisation spécifique (priorité la plus haute)

En cas de conflit, la GPO la plus proche (OU) prend la priorité. Le paramètre Enforced permet de forcer l'application d'une GPO parent malgré une GPO enfant contraire.

Créer et lier une GPO

# Créer une GPO
New-GPO -Name "GPO-Securite-Postes" -Comment "Politique de sécurité des postes de travail"

# Lier la GPO à une OU
New-GPLink -Name "GPO-Securite-Postes" -Target "OU=Postes,DC=contoso,DC=com" -Enforced No

# Définir une valeur de registre via GPO
Set-GPRegistryValue -Name "GPO-Securite-Postes" `
  -Key "HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem" `
  -ValueName "DisableLockWorkstation" `
  -Type DWord `
  -Value 0

GPO essentielles pour la sécurité

  • Politique de mots de passe : longueur ≥ 12 caractères, complexité activée, historique de 10
  • Verrouillage de compte : 5 tentatives maximum, déverrouillage après 30 minutes
  • Audit des connexions : enregistrer succès et échecs
  • Restriction des supports USB : bloquer les médias amovibles non autorisés
  • Windows Defender Firewall : activer et verrouiller les règles
  • BitLocker : chiffrement TPM sur tous les postes portables

Déboguer les GPO

# Forcer l'application immédiate
gpupdate /force

# Générer un rapport HTML des GPO appliquées sur la machine locale
gpresult /H C:TempGPO-Report.html /F

# Rapport via PowerShell pour un poste distant
Get-GPResultantSetOfPolicy -Computer "POSTE-01" -ReportType Html -Path "C:Temp
sop.html"

Bonnes pratiques

  • Une GPO = un objectif (ne pas mélanger des paramètres sans rapport)
  • Testez systématiquement sur un groupe pilote avant déploiement massif
  • Documentez chaque GPO : rôle, cible, auteur, date de création
  • Ne modifiez pas la Default Domain Policy sauf pour les paramètres de mots de passe
  • Utilisez la modélisation de stratégie de groupe (RSOP what-if) pour simuler les effets

Conclusion

Maîtriser les GPO est une compétence fondamentale pour tout administrateur Active Directory. Bien utilisées, elles constituent un levier puissant pour sécuriser et standardiser l'environnement informatique de l'organisation.

MAKHZOUM Hussein
Auteur
MAKHZOUM Hussein
Consultant Cloud & Infrastructure Engineer
Voir le profil

Articles similaires