La stratégie de groupes restreints permet de définir le contenu des groupes locaux de vos postes de travail et serveurs qui sont dans votre domaine. Vous pouvez donc définir par GPO quels groupes de votre domaine seront administrateur locaux, utilisateurs avec pouvoir, utilisateurs du bureau à distance… de vos machines Windows.
Pour plus de détails sur ce type de GPO vous pouvez lire l’article de Jonathan sur Portail MCSE. Comme il l’explique nous pouvons mettre en place ces groupes restreints par remplacement ou bien par ajout. Ceci grâce au paramétrage via “membres” ou “membre de”, cette fonctionnalité est supportée par MS à partir de Windows 2000 SP4.
Nous allons dans cet article nous intéresser à la mise en place d’une GPO de groupes restreints par remplacement qui modifie le groupe administrateur local et utilisateurs avec pouvoir de nos postes de travail.
Read more »

Nous allons voir dans ce post comment sécuriser vos postes en autologon, appelés aussi postes en mode kiosque. Ces postes sont accessibles par toutes les personnes de votre entreprise car aucun compte et mot de passe ne sont demandés pour y accéder, d’où le besoin de les sécuriser au mieux.

Le poste en mode kiosque utilise un compte de service pour ouvrir une session, la manière la plus connue pour configurer un tel poste est de passer via l’édition de clefs de registre. Cette méthode n’est pas ce qui se fait de mieux en matière de sécurité car le mot de passe du compte apparaît en clair dans le registre, le compte peut donc facilement être utilisé à d’autres fins.
Read more »

Nous pouvons en analysant le journal de sécurité de chaque DC surveiller les changements de liens d’objets de stratégie de groupe. L’attribut à auditer est GPLink, de cette manière nous pourrons savoir comment les GPOs sont appliquées sur notre domaine.

Pour pouvoir enregistrer les modifications dans le journal de sécurité de chaque DC vous devez opter pour des solutions payantes type Snare et/ou Kiwi, ou bien mettre en place un système maison pour effectuer de la surveillance de journaux d’événements sur plusieurs DCs en utilisant la redirection de ceux ci sous 2008, vous pouvez aussi voir si on peut surveiller ce journal de sécurité par un script, mais cela risque de trop solliciter votre DC.
Read more »

Nous allons dans ce post expliquer comment monitorer les changements sur les GPOs de votre domaine en contrôllant le GPT. Seuls les effacements, modifications de la configuration ordinateur/utilisateur, créations de GPOs sont surveillés. A propos du monitoring d’objets de stratégie de groupe via le journal d’événements vous pouvez lire cet article. Les méthodes utilisées dans le lien précédent indiquent, entre autres, comment activer un audit sur le partage \\domainname\sysvol\domainfqdn\Policies et remonter via le journal de sécurité de chaque DC les changements intervenus sur la partie GPT d’une GPO. Nous allons décrire une autre méthode pour enregistrer les modifications de vos GPOs dans votre domaine.
Read more »