Les GPO, ou Objets de Stratégie de Groupe, sont les éléments qui permettent de définir une stratégie de groupe (ou GP, Group Policy). Cette dernière permet de configurer un ensemble d’ordinateurs rapidement, en quelques clics. Les stratégies de groupe peuvent être trouvées sur chaque poste de façon locale, mais elles s’adressent surtout aux ordinateurs faisant partie d’un réseau basé sur les Services de Domaine Active Directory (AD DS).

Active Directory permet de recenser toutes les machines ou applications, ainsi que tous les utilisateurs présents sur le réseau où ce service est activé. Il est basé sur un annuaire de type LDAP. Ainsi, Active Directory constitue un bon moyen de gérer les membres d’un réseau, de s’assurer que chaque utilisateur ne peut faire que ce qui lui est autorisé, et de veiller à la sécurité dudit réseau. Cette gestion a l’avantage d’être totalement centralisée.

Un autre prérequis afin de mettre en place une stratégie de groupe sur un parc informatique est de lier les différents ordinateurs à un même domaine, et que les utilisateurs utilisent leurs identifiants de domaine pour ouvrir une session.

Il faut enfin avoir des droits spécifiques pour mettre en place ou modifier une stratégie de groupe.

Les GPO sont définis grâce à la Console de Gestion des Stratégies de Groupe. Un GPO permet de définir un ensemble de paramètres que l’on peut appliquer au domaine entier ou à des groupes précis.

Exemples : autoriser la comptabilité à accéder aux fichiers qui leur sont spécifiques alors que les commerciaux ne pourraient pas y accéder. Empêcher l’accès au panneau de configuration à tous les utilisateurs standards.

Ces groupes sont appelés unités d’organisation, et peuvent contenir des appareils, des utilisateurs ou encore d’autres objets. Les unités d’organisation sont liées à un ou plusieurs GPO. Ces unités d’organisation peuvent être héritées : ainsi, une unité d’organisation enfant concernant un service héritera des GPO de l’unité d’organisation concernant l’ensemble du domaine.

Si les mêmes propriétés sont modifiées à plusieurs niveaux dans des GPO, la règle appliquée suit l’ordre de priorité suivant : site, domaine, contrôleur du domaine, unité d’organisation, unité d’organisation enfant. De cette façon, une propriété définie dans une unité d’organisation enfant sera prioritaire par rapport à une propriété du domaine. L’ordre de priorité peut être changé pour une configuration avancée.

Toutes les tâches habituelles peuvent être effectuées à condition d’avoir les droits : création, mise à jour, suppression (la suppression d’une GPO supprime la stratégie et les liens qu’elle possède aux unités d’organisations), sauvegarde, restauration.