Maxim_Kazmin - Fotolia
Administration Windows : comment protéger les GPO
Les objets de stratégie de groupe, ou GPO, sont des configurations si importantes pour Windows Server et si longues à écrire qu’il est essentiel de savoir les sauvegarder pour les restaurer en cas d’incident.
Les stratégies de groupe (alias « Group Policy ») sont des configurations centrales dans Windows qui sont essentielles au fonctionnement d’Active Directory. Elles comprennent des milliers de paramètres qui contrôlent tout, de la sécurité au déploiement de logiciels en passant par les options d’interface utilisateur. Avec autant de paramètres et de possibilités de personnalisation, il est essentiel de protéger votre infrastructure de stratégie de groupe contre les pertes accidentelles ou les modifications involontaires.
L’optimisation et la gestion des stratégies de groupe peuvent prendre beaucoup de temps, en particulier dans les grands environnements distribués où divers systèmes jouent des rôles différents.
Les stratégies de groupe permettent aux utilisateurs de définir plusieurs fonctions importantes. Voici quelques exemples de ce que vous pouvez faire avec :
- Stratégie de mot de passe.
- Configuration du bureau.
- Restreindre l’accès au Panneau de configuration.
- Désactiver les mises à jour automatiques des pilotes.
- Blocage de l’USB.
- Gestion des logiciels.
Les paramètres sont stockés dans des jeux de données appelés objets de stratégie de groupe, ou GPO (Group Policy Object). Les GPO peuvent être liés aux sites Active Directory (AD), au domaine et aux unités d’organisation (OU), ce qui permet des configurations granulaires et spécifiques à un rôle. L’utilisation judicieuse des autorisations NTFS permet de mieux contrôler les périphériques qui reçoivent les paramètres.
La conception distribuée d’AD permet de maintenir la disponibilité des stratégies de groupe en répliquant les GPO entre les contrôleurs de domaine (DC), mais les administrateurs doivent envisager des mesures supplémentaires pour les protéger.
Les sauvegardes – toutes les sauvegardes – sont essentielles. Les GPO contiennent de nombreux paramètres qui personnalisent votre environnement AD, ce qui représente de nombreuses heures de travail pour votre équipe. La stratégie de groupe fournit aux utilisateurs les configurations et les outils dont ils ont besoin pour faire leur travail, et elle leur interdit les options qui pourraient les gêner ou générer des appels au support. Il est essentiel de protéger la stratégie de groupe.
Cet article explique comment créer des sauvegardes de la stratégie de groupe dans Windows Server. À la fin, vous serez en mesure de maintenir efficacement cet élément essentiel de votre infrastructure AD.
Sauvegarder tous les GPO
La principale raison de sauvegarder les données est la reprise après sinistre (en anglais Disaster Recovery et DR en forme abrégée). La conception d’AD intègre la reprise après sinistre en répliquant les informations sur tous les DC. Cependant, vous pouvez trouver des sauvegardes séparées de la stratégie de groupe, utiles dans les scénarios où vous voulez restaurer la stratégie de groupe comme une action indépendante de la récupération d’AD.
Accédez aux fonctions de sauvegarde de la stratégie de groupe à partir de la console de gestion de la stratégie de groupe (GPMC). Sélectionnez le dossier parent nommé Objets de stratégie de groupe, cliquez avec le bouton droit de la souris et choisissez Sauvegarder tout. Sélectionnez un emplacement de stockage des sauvegardes.
Veillez à conserver les sauvegardes sur un lecteur différent de celui de la base de données AD. Le stockage en réseau ou en nuage est certainement acceptable si vous pouvez garantir la sécurité et l’intégrité. Saisissez une description raisonnable incluant la date de sauvegarde. Envisagez de créer une convention de dénomination pour les sauvegardes afin de simplifier leur identification.
Le travail de sauvegarde doit être rapide – environ une minute. Comme pour les autres stratégies de sauvegarde, envisagez de stocker une copie hors site pour une plus grande tranquillité d’esprit.
Restaurer les GPO
La restauration des GPO est également simple. Cliquez avec le bouton droit de la souris sur le nœud objets de stratégie de groupe dans la GPMC et sélectionnez Gérer les sauvegardes. Accédez au dossier qui stocke vos sauvegardes de stratégie de groupe et choisissez le GPO à restaurer. Cliquez sur le bouton Restaurer et observez la barre de progression. Le processus de restauration devrait se dérouler rapidement.
La restauration d’un GPO ne met pas automatiquement à jour les paramètres des systèmes auxquels il est lié. Vous devez trouver un autre moyen d’actualiser ces systèmes si vous avez besoin que les paramètres soient mis en place rapidement. Sinon, attendez les deux heures prévues par défaut pour l’actualisation automatique de la stratégie de groupe, et vous devriez voir les configurations restaurées.
L’interface Gestion des sauvegardes vous permet également de voir les configurations spécifiques des stratégies de groupe pour un GPO donné. Vous pouvez aussi effacer la sauvegarde.
Sauvegarder des GPO spécifiques
Une autre option consiste à sauvegarder des GPO individuels. Cette approche résout un problème différent de celui de la DR. Elle offre une option de retour en arrière en cas de résultats imprévus.
Considérons le scénario suivant : Vous avez développé un GPO pour configurer les postes de travail du département des ventes. Il comprend des sélections de bureau (par exemple, les icônes par défaut), des options du menu Démarrer, des configurations de sécurité, des paramètres d’imprimante et d’autres éléments pertinents pour le rôle des commerciaux. Vous envisagez certaines modifications, mais si elles ne fonctionnent pas, vous devez être en mesure de rétablir la configuration actuelle des machines.
Pour ce faire, sauvegardez le GPO existant avant de commencer à modifier les paramètres. Si les nouvelles configurations ne fournissent pas l’interface nécessaire, restaurez le GPO d’origine.
Pour sauvegarder un seul GPO, sélectionnez-le dans le nœud Objets de stratégie de groupe de l’outil GPMC. Le menu contextuel comprend une option Sauvegarder. L’interface restante est similaire à celle décrite ci-dessus, où vous avez sauvegardé tous les GPO. Choisissez un emplacement de stockage et une description utile.
Les figures 8, 9 et 10 illustrent le processus à l’aide d’un GPO de blocage de la mise à jour des pilotes.
Utilisez la même procédure que celle décrite ci-dessus pour restaurer un seul GPO. N’oubliez pas d’actualiser les paramètres.
Dupliquer un GPO
Bien que la copie d’un GPO ne soit pas la même chose que la sauvegarde, il s’agit d’une fonction utile. Elle permet de dupliquer rapidement les paramètres d’un GPO pour les utiliser sur un autre site ou une autre OU. Vous pouvez par exemple prendre la configuration de l’interface de vente mentionnée ci-dessus, la modifier et l’appliquer ensuite aux systèmes du service marketing. Cliquez avec le bouton droit de la souris sur le GPO et choisissez Copier.
Pour coller le GPO copié dans l’interface, cliquez avec le bouton droit de la souris sur le nœud Objets de stratégie de groupe et sélectionnez Coller. La console vous invite à conserver les autorisations NTFS par défaut sur le GPO ou à les définir par défaut. Choisissez l’une de ces options et cliquez sur OK. Une confirmation de réussite s’affiche. La copie est affichée dans la liste. Il suffit de la renommer et de commencer à la modifier si nécessaire.
Sauvegarder et restaurer des GPO à l’aide de PowerShell
Il est facile de sauvegarder tous les GPO à l’aide de PowerShell. La cmdlet appropriée est Backup-GPO. Si vous souhaitez sauvegarder l’ensemble des GPO, par exemple à des fins de reprise après sinistre, utilisez le paramètre – All et indiquez un chemin de destination. Voici un exemple :
backup-gpo -all -path C:\GPO-backups\
Vous pouvez également sauvegarder des GPO individuels à l’aide de PowerShell. Dans ce cas, ajoutez le paramètre -Name, spécifiez le nom du GPO et ajoutez le chemin d’accès :
backup-gpo -name 'Dev Desktop Configurations' -path C:\GPO-backups\
Utilisez une syntaxe similaire avec la cmdlet Restore-GPO pour restaurer un GPO.
Qu’en est-il des sauvegardes du système ?
AD stocke les GPO dans le répertoire du volume système (SYSVOL), qui se trouve généralement sur le lecteur C: de l’ordinateur central. Toute sauvegarde standard qui capture cet emplacement sauvegarde les GPO.
Par exemple, si vous utilisez l’utilitaire standard Windows Server Backup pour sauvegarder le lecteur C: de l’unité centrale, vous disposez déjà d’un double des GPO. La différence est qu’une sauvegarde à l’échelle du système est plus difficile à utiliser, en particulier lorsqu’il s’agit de sauvegarder un seul GPO avant de le modifier. L’outil de sauvegarde de GPMC est plus rapide et plus simple.
Les GPO sont affichés avec leur ID de GPO, ce qui les rend plus difficiles à identifier dans le dossier SYSVOL. Utilisez la fonction Gérer les sauvegardes de GPMC pour différencier les GPO.