Le but de la fonctionnalité des groupes restreints est de spécifier d'un point de vue global quel groupe doit faire partie de quel autre. "Autant ajouter un groupe dans un autre directement me répondrez-vous!"

Et que faites vous des groupes locaux des postes? Comment faites vous pour être sur que vous n'avez rien oublié dans votre modèle de délégation? Vous n'oserez quand même pas faire le tour de vos 15.000 postes à la main non? La réponse est juste en dessous :)

Petite précision au cas où : cette fonctionnalité n'est pas une nouveauté Windows 2008. En fait, dès Windows 2000, on pouvait utiliser cette méthode avancée d'administration AD. Ceux qui ne la connaissent pas ne vont pas en revenir!

Introduction

Avant toute chose, un groupe restreint -malgré ce titre ronflant- n'est qu'un groupe comme les autres, voir même un groupe que vous connaissez déjà : le groupe global admins du domaine ou le groupe local Opérateurs de serveur en sont de bons exemples, tout comme le groupe G-TEST42 que vous auriez pu créer histoire de.

De ce fait, vous devinerez peut être que ça n'est pas dans utilisateur & ordinateurs Active Directory que vous trouverez ce paramétrage, mais bien dans votre GPMC préféré. Et oui, encore une GPO!


Le fonctionnement des groupes restreint peut être défini de deux manières. La première vous permet de spécifier un groupe, puis dans énumérer le contenu. Dans ce cas précis, l'intégralité du contenu du groupe sera vidé et remplacé par le contenu défini juste avant.

La seconde vous permet de spécifier un groupe puis de spécifier de quels autres groupes il fera partie. Dans ce cas, les groupes cibles ne sont pas vidés, et un simple ajout à lieu.

1- Création de groupes restreints par remplacement

Pour être plus concret, ce type de groupes restreints est à utiliser dans le cas de protection de groupes ou plus simplement de machines sensibles. Il sera ainsi possible de spécifier le contenu du groupe local administrateurs d'un serveur applicatif critique, et ainsi être sur qu'aucune personne mal intentionnée ne puisse y usurper des droits ou simplement s'y connecter, puisque la GPO ré écrasera toute manipulation faite en local.

Attention toutefois à la puissance de cette implémentation si vous souhaitez la généraliser!

Ainsi, si l'un de vos utilisateurs VIP était administrateur de son poste... il ne l'est plus après passage de la GPO sur l'OU contenant son ordinateur. Dans neuf fois sur dix, le compte d'un VIp est systématiquement ajouté comme administrateur local de son poste AVANT que celui-ci ne se logue pour la première fois. Son profil est alors créé avec comme propriétaire le groupe Administrateurs... donc plus lui... donc plus d'accès à son propre profil... Je vous laisse donc trouver une explication à lui fournir pour cette "petite erreur"...


Pour mettre en place une stratégie de groupes restreints par remplacement, il vous suffit de suivre la procédure suivante :
  • Créez et liez une nouvelle GPO à une OU contenant les ordinateurs à protéger puis éditez la.
  • Dans l'arborescence, rendez vous dans Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Groupes restreints
  • Dans la fenêtre de droite, faites clique droit puis "Ajouter un groupe"
  • Dans la fenêtre qui s'affiche, entrez le groupe à protéger, par exemple Administrateurs. Une nouvelle fenêtre ressemblant à celle-ci s'affiche alors :

  • Dans le champs du haut "Membres de ce groupe", cliquez sur Ajouter puis sélectionner le ou les groupes devant faire partie de groupe local Administrateurs, puis validez jusqu'à revenir à la fenêtre de base, éventuellement faites de mêmes pour tous les groupes à verrouiller.
  • Terminé :)

2- Création de groupes restreints par ajout

Ce type de groupes restreints est donc à privilégier dans le cas où vous souhaitez vous assurer que le groupe X fera toujours partie du groupe Y, quelque soit les modifications faites à celui-ci mais sans influer sur le contenu de ce dernier. Pour reprendre l'exemple précédent, votre fameux utilisateur VIP reste administrateur de son poste (pas de hurlements) mais n'arrivera que temporairement à supprimer le groupe Admins du domaine de son groupe local administrateurs, puisqu'au rafraichissement de la GPO, il y sera automatiquement remis. Vous serez donc sur de récupérer la main sur la machine quelque soit l'action effectuée "parce qu'il a lu que c'était mieux de supprimer tous les groupes qu'il ne connaissait pas de son poste".

Pour mettre en place une stratégie de groupes restreints par ajout, il vous suffit donc de suivre la procédure suivante (dont vous vous doutez fortement) :

  • Créez et liez une nouvelle GPO à une Ou contenant les ordinateurs concernés puis éditez la.
  • Dans l'arborescence, rendez vous dans Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Groupes restreints
  • Dans la fenêtre de droite, faites clique droit puis "Ajouter un groupe"
  • Dans la fenêtre qui s'affiche, entrez le groupe à protéger, choisissons par exemple le groupe Domain admins
  • Cette fois-ci, c'est dans le champs du bas "Ce groupe est membre de" qu'il va falloir cliquer sur Ajouter. Sélectionnez ensuite le ou les groupes desquels il doit faire partie, par exemple ce bon vieux groupe local Administrateurs. Validez ensuite jusqu'à revenir à la fenêtre de base et éventuellement faites de même pour tous les groupe pour lesquels vous souhaitez garantir l'appartenance.
  • Terminé! 90 minutes (ou un gpupdate /force) plus tard, la stratégie est mise en place et vous serez assurés de ne plus avoir de mauvaise surprise.

Conclusion

Pour ceux qui se sont toujours questionnés sur des termes comme délégation d'administration, j'espère que ce petit billet à permis de donner quelques idées sur son intérêt, non pas que les groupes restreints suffisent par eux même, mais ils peuvent servir et servent souvent comme base pour la stabilité des membres des groupes.

Pour les autres, j'espère surtout que la différenciation entre les groupes restreints par ajout et par remplacement vous permettra d'assouplir ou au contraire de renforcer votre modèle de délégation sur les groupes locaux des postes et serveurs.

A bientôt