Mini projet : GPO

Voici le rapport d’un projet effectué au mois d’Octobre après 5 jours de cours sur l’administration d’un environnement réseau Microsoft Windows.

Le but était de savoir organiser les OU mais aussi de déterminer les GPO adéquates en foncion des besoins réels d’une entreprise fictive.

Petite anecdote : L’idée de l’entreprise fictive « TousAuRestaurant »est venue pour la simple raison que je travail le soir au Mac Donalds. Ils ont eux aussi une infra sytème dans chaque restaurant dont je souhaitai étudier si j’étais à la place de l’administrateur en charge des réseaux MacDo.

Place au rapport :

 

 

 

 

 

 

L’entreprise TousAuRestaurant propose de la restauration rapide abordable pour tous avec comme valeur ajoutée le choix des menus en fonction des spécialités des régions. Cela leur permet de travailler avec les agriculteurs locaux et ainsi baisser les frais d’acheminement des produits et donc de réduire le prix des menus.

TousAuRestaurant a été créée en 2008 et a réussi à s’implanter dans chaque région de France. L’entreprise dispose de 22 restaurants et d’un siège en Ile de France. Forte de son modèle original TousAuRestaurant est en perpétuelle croissance et compte 2 500 salariés dont 500 au siège avec +20% d’effectif sur 5 ans.

L’entreprise possède un service de vente à domicile avec des commerciaux en déplacement qui sont rattachés au siège. Chaque restaurant met à disposition de ses clients  des PC  en libre service pour avoir un atout concurrentielle.

L’entreprise est segmentée en 5 services qui sont rattachés au siège :

  • La direction
  • le service commercial
  • le service RH
  • le service informatique
  • le service financier

 

 

 

Organisation en département

 

      Chaque département ayant des besoins informatiques qui lui sont propres,  l’entreprise a décidé de retranscrire ces besoins informatiquement. Une différenciation au niveau des pc portables en libre service et les autres sera faite.

 

Restriction de l’accès Internet

 

      L’entreprise souhaite modérer l’accès internet à ses employés ainsi qu’au client utilisant les postes en libre service. Ainsi, le service commercial, et les finances  devront avoir un accès limité. En ce qui concerne le service informatique, la R&D seul l’accès aux réseaux sociaux et site de streaming sera bloqué. Enfin pour la direction ils auront un accès total.

 

Partage de fichiers et répertoire personnel

 

      Pour la bonne communication au sein de l’entreprise, un espace de partage commun à tous devra être mis en place. Chaque département devra également posséder un espace de partage propre à son département. Les employés devront avoir accès à leurs documents depuis n’importe quel poste et ne devront pas être en mesure de perdre leurs données.

 

Impression

 

      Chaque utilisateur devra pouvoir imprimer depuis le poste où il se trouve.

 

Installations personnalisées d’applications

 

      Des logiciels de bureautique devront être installés sur chaque poste, certains services devront disposer de logiciels spécifiques.

 

Assurer la sécurité du réseau de l’entreprise

 

      Un poste vérolé suffit à compromettre la sécurité du réseau de l’entreprise, c’est pourquoi une protection complète contre les différents virus et autres devra être effective.

 

Assistance et administration des postes utilisateurs

 

      Les utilisateurs étant sujets à rencontrer des problèmes, ils devront avoir la possibilité d’être assistés par les personnes habilitées.  De plus, afin d’éviter des déplacements, le service informatique devra être en mesure d’administrer tout poste à distance.

 

Réduire la consommation d’électricité

 

      TousAuRestaurant souhaite s’impliquer auprès de l’environnement en proposant des emballages en papiers recyclés, mais souhaite également  réduire significativement ses factures électriques notamment dans la consommation de son parc informatique.

 

Réstreindre les postes en libre service

 

      L’entreprise souhaite mettre à disposition des postes en libre service mais avec un environnement limité afin de ne pas avoir d’intrusion sur les autres postes du parc informatique.

 

Un domaine Active Directory

 

Un serveur dédié au domaine Active directory « tousaurestaurant.lan » sera divisé en plusieurs unités d’organisations. Ces UO contiendront les employés et représenteront virtuellement les  différents services  au siège.

 

Un serveur de messagerie

 

      Un serveur serveur de mail, Exchange 2010 sera configuré afin que chaque employé puisse avoir une boite mail professionnel qui sera réservé pour des échanges en interne. Le client de messagerie sera Outlook 2010

 

Un serveur proxy

 

      Un serveur proxy permettra de mettre en application les différentes restrictions liées à l’Internet. Ce serveur sera configuré dans les navigateurs utilisateurs.

 

Serveur de fichiers et partages des ressources.

 

Un serveur de fichiers permettra à chaque employé de partager du contenu avec tout autre employé de TousAuRestaurant. Mais également à chaque département de disposer de son propre répertoire sécurisé. Ce serveur aura également pour fonction la sauvegarde des données utilisateurs ainsi que le stockage des paramètres d’environnement des utilisateurs notamment pour les profils itinérants comme les commerciaux.

 

Imprimantes

 

Deux imprimantes par département seront installées afin de faire de la tolérance de panne. Elles seront automatiquement configurées sur les postes de leur département.

 

Serveur d’applications

 

Afin que chaque utilisateur dispose des outils qui lui sont nécessaires, un serveur d’applications sera mis en place. Ce serveur couplé à celui de l’Active directory va permettre de personnaliser et d’automatiser les installations.

 

Protection

 

Pour assurer la sécurité du réseau, Microsoft Security Essentials sera déployé sur chaque poste.

 

Assistance et Administration

 

En vue d’assister et d’administrer les postes utilisateurs, l’installation d’un Terminal serveur sera mis en place.

 

Energies

 

Les mises en veille seront configurées sur chaque poste.

 

schéma gpo

 

 

 

OU ORDINATEURS

  • · Changement du nom de l’ordinateur
  • · Modification du mot de passe Administrateur local
  • · Forcé l’utilisation des clés de registre qui déterminent IE comme navigateur
  • · Autoriser la prise en main à distance
  • · Interdire d’utiliser l’accès à l’Assistant Nouvelle connexion
  • · Déploiement du logiciel Microsoft Security Essentials
  • · Déploiement de la suite Office 2010
  • · Blocage des paramètres Internet
  • · Blocage des accès aux propriétés de Mes Documents et du Poste de Travail

 OU Fixes (Filtre GPP)

    • · Désactiver fichiers hors connexions
    • · Activation du verrouillage de la session au bout de 5 minutes d’inactivité

 

OU Portables (Filtre GPP)

    • · Activer fichiers hors connexion
    • · Désactivation du verrouillage de l’ordinateur (pour les postes en libre service)
    • · Activer les quotas de disques à 1Go
    • · Ajout du raccourcis Mes documents sur le bureau

 OU UTILISATEURS

  • · Installation des lecteurs réseau communs
  • · Déploiement des certificats utilisateurs
  • · Configuration du mot de passe pour le changer tous les mois
  • · Automatisation de mise en veille au bout de 5 minutes d’inactivité par script
  • · Configurer l’intranet en page par défaut sur IE
  • · Désactivation de la modification des paramètres de la page de démarrage IE
  • · Désactivation de l’onglet Sécurité d’IE.
  • · Activation de la prise en charge EFS (Encrypting File System)
  • · Désactivation du Panneau de configuration 
  • · Désactivation du verrouillage d’accès aux outils de modification du registre.
  • · Désactivation des mises à jour automatique Windows Update

  OU DIRECTION

    • · Installation du lecteur réseau de la Direction
    • · Déploiement des deux imprimantes du département Direction

  OU COMMERCIAL

    • · Installation du lecteur réseau
    • · Redirection du dossier Mes Documents vers le serveur de fichier
    • · Blocage des accès d’administration de logiciels
    • · Interdire l’accès au panneau de configuration
    • · Déploiement des deux imprimantes du département Commercial

 

OU FINANCE

    • · Installation du lecteur réseau
    • · Déploiement des logiciels métiers
    • · Blocage des accès d’administration de logiciels
    • · Interdire l’accès au panneau de configuration
    • · Déploiement des deux imprimantes du département Comptabilité

 OU INFORMATIQUE

    • · Installation du lecteur réseau
    • · Déploiement des logiciels métier
    • · Déploiement des mises à jour logicielles
    • · Déploiement des deux imprimantes du département Informatique

 OU R & D

    • · Installation du lecteur réseau
    • · Déploiement des logiciels métier
    • · Déploiement des mises à jour logicielles
    • · Déploiement des deux imprimantes du département R&D
    • · Empêcher la détection  des clés USB

 OU LIBRE-SERVICE

    • Désactivation du menu Documents dans le menu Démarrer
    • Désactivation  l’accès aux connexions réseau et accès distant du menu Démarrer
    • Suppression du menu Exécuter dans le menu Démarrer
    • Désactivation de la fermeture de session dans le menu Démarrer
    • Désactivation de la commande Arrêter
    • Désactivation de la modification du mot de passe
    • Désactivation de l’onglet Sécurité d’IE
    • Masquer le lecteur c:
    • Bloquer l’explorateur
    • Désactiver clic droit pour la souris avec la clé registre
    • Supprimer le gestionnaire des tâches
    • Désactivation du service « Réseau et Accès distant » (interdire l’utilisation d’un pont réseau)

15 commentaires

  • Thomas dit :

    Bonjour,
    Est-il possible de savoir comment procéder pour mettre en place ces GPOs. Comme « Déploiement des logiciels métier
    Déploiement des mises à jour logicielles ». Ou aussi « Déploiement du logiciel Microsoft Security Essentials ». Merci

    • Nicolas dit :

      Bonjour Thomas,

      Voici une vidéo qui permettra de te montrer étape par étape comment déployer un logiciel métier par GPO avec un fichier MSI :
      http://www.youtube.com/watch?v=WJ-vV5lIRGw

      Tu peu aussi créer créer un package MSI à partir de fichier exe :
      http://support.microsoft.com/kb/257718

      Concernant Microsoft Security Essentials le problème est que légalement il n’est pas possible de le déployer à plus de 10.

      Mais rien ne t’en empêche techniquement …
      Je vais l’enlever de l’article car je ne savais pas à l’époque.

      Cordialement

  • Thomas dit :

    Merci, vous avez donc remplacé par un autre antivirus ?
    Pour monter les lecteurs réseaux vous utilisé une GPO ou c’est renseigné directement dans les profils utilisateurs ?

  • Thomas dit :

    Je souhaites devenir des GPOs utiles pour un parc.
    Mais aussi gérer les lecteurs réseaux avec les GPO (cacher et afficher certains). Gérer les droits d’accès a des fichiers sur le réseau via des GPOs (Je n’ais toujours pas trouvé comment faire).
    Et déployer des logiciels sur le parc si il ne sont pas déjà installés comme un antivirus.
    Merci pour tes réponses

    • Nicolas dit :

      Si tu veux « cacher » des répertoires partagés il suffit de ne pas les partager aux personnes concernés. Notamment ne pas appliquer la GPO aux personnes qui ne doivent pas les voir.

      Ensuite oui il est possible de gérer les droits d’accès sur les répertoires partagés grâe aux GPOs.
      au niveau de la stratégie : Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Système de fichiers

      T’as réponse est là :
      « 4.Paste the batch file into the into the sysvol folder in the following location C:WindowsSYSYVOLsysvolscripts (or the drivelocation that you designated for the SYSVOL folder during dcpromo). »

      Je ne connais pas bien 2003 autant te dire qu’à partir de 2008 R2 tout est plus facile :
      http://technet.microsoft.com/fr-fr/library/cc770902.aspx

  • Thomas dit :

    Pour les lecteurs réseaux cela ne marche pas avec la méthode indiqué sur le site microsoft. Cela doit venir de mon AD qui est en modèle fonctionnel 2003 étant donné que j’ai deux serveurs. Un 2003 et un 2008.

  • Thomas dit :

    Bonjour, et encore merci.
    J’ai une question, il est possible de cacher des répertoires partagés sur le réseau avec des GPO ?
    Et est-il possible de gérer les droits d’accès sur les répertoires partagés grâce aux GPOs?
    Pour les scripts il est obligatoire de les mètres dans le fichier NETLOGON?
    Merci

  • Thomas dit :

    Il y a donc une GPO qui permet de partager des répertoires ?
    Je n’arrive pas a comprendre la logique au niveau de la stratégie. On peut gérer les droits d’accès par rapport aux ordinateurs. Mais si un utilisateur change de PC les droit ne le suivent pas ?

    • Nicolas dit :

      Fait le test tu verras que tu pourras configurer les droits NTFS sur le dossier.

      Je n’ai pas à dispo une maquette de Windows server 2003 pour tester.

      Il n’y a qu’en faisant tes propres tests que tu pourras trouver 😉

  • Wided dit :

    bonjour,
    est-il possible de me donner le nom du logiciel avec lequel vous avez schématisé votre mini-projet (schéma général GPO) ?
    merci

    • Nicolas dit :

      Bonjour Wided,

      Je l’ai fait avec le logiciel Microsoft Visio en version 2010. La version actuelle est la version 2013.
      Si tu le souhaites je peux te fournir mon schéma général des GPO en format visio ?

  • Wided dit :

    bonjour Nicolas, oui je veux bien merci !

  • astou dit :

    slt,

    J’aimerai bien des videos de gpo stp

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *