Dans ce post nous allons étudier comment mettre en place des règles pare-feu via GPO avec Windows 2008 Server. Quand vous intallez un composant Windows les ouvertures nécessaires se font automatiquement, pour certaines applications la configuration firewall ad-hoc est appliquée lors de l’installation. Par contre d’autres nécessitent l’ouverture explicite de certains ports, nous allons voir comment importer ces paramètres dans une GPO via la commande netsh advfirewall.
Read more »

Dans ce post nous allons décrire quelques problèmes que vous pouvez rencontrer lors de l’extension de schéma pour Active Directory 2008 ou 2008R2. Les étapes de cette preparation de schéma sont décrites dans ce post de askDS.
Read more »

Afin de changer les permissions sur une GPO vous pouvez utiliser le CmdLet Set-GPPermissions disponible avec les RSAT (import-module grouppolicy). Ce CmdLet ne permet pas de mettre des permissions du type “deny” ou de remplacer directement des permissions. Nous allons voir comment remplacer des permissions à l’aide du Security Descriptor Definition Language qui est utilisé pour éditer les permissions de tous types d’objets (système de fichiers, objets AD…). Pour mieux appréhender ce langage et un outil pour lire le contenu d’une chaine SDDL je vous conseille cet article.

L’opération de remplacement de permission sur une GPO peut servir quand un administrateur d’une OU créé une GPO, il en est alors propriétaire et ne donne pas les droits en contrôle total au groupe d’administration auquel il appartient. Sur notre domaine composé de deux sites, un par OU, nous avons deux types de GPOs: Read more »

Nous allons dans ce post expliquer comment monitorer les changements sur les GPOs de votre domaine en contrôllant le GPT. Seuls les effacements, modifications de la configuration ordinateur/utilisateur, créations de GPOs sont surveillés. A propos du monitoring d’objets de stratégie de groupe via le journal d’événements vous pouvez lire cet article. Les méthodes utilisées dans le lien précédent indiquent, entre autres, comment activer un audit sur le partage \\domainname\sysvol\domainfqdn\Policies et remonter via le journal de sécurité de chaque DC les changements intervenus sur la partie GPT d’une GPO. Nous allons décrire une autre méthode pour enregistrer les modifications de vos GPOs dans votre domaine.
Read more »