MENU
  1. Accueil
  2. Windows
  3. Windows Server
  4. Déléguer la création de GPO pour une OU : méthode sûre (Active Directory, GPMC, ADUC)

Déléguer la création de GPO pour une OU : méthode sûre (Active Directory, GPMC, ADUC)

Windows Server

Vous voulez autoriser un groupe à créer des GPO uniquement pour une OU précise ? Bonne nouvelle : c’est faisable… à condition de distinguer création de GPO (objet de domaine) et gestion des liens (au niveau de l’OU). Voici la méthode claire, sûre et reproductible.

Sommaire

Vue d’ensemble de la question

Objectif : permettre à un groupe d’administrateurs de créer des objets de stratégie de groupe (GPO) mais de lier ces GPO uniquement à une OU donnée.

Problèmes courants : on ne trouve pas d’option « Create, delete, and manage Group Policy objects » dans l’assistant de délégation d’ADUC ; on confond « créer une GPO » (objet de domaine) avec « gérer les liens de GPO » (autorisation portée par l’OU).

Réponse & solution

Point clé : une GPO n’est pas créée dans une OU. C’est un objet de domaine (stocké dans Group Policy Objects) qui est ensuite lié à une OU, un domaine ou un site.

Conséquence directe : on ne peut pas restreindre la création d’une GPO à une OU. Ce qu’on fait en pratique : autoriser la création au niveau du domaine puis restreindre le droit de lier la GPO aux seules OU voulues.

Mise en œuvre recommandée

Autoriser la création de GPO au niveau du domaine

  1. Ouvrez GPMC (gpmc.msc)Forest > Domains > VotreDomaine > Group Policy Objects.
  2. Onglet DelegationAdd… le groupe → attribuez Create GPOs.

Alternative équivalente : ajoutez le groupe au groupe intégré “Group Policy Creator Owners”. Ses membres peuvent créer des GPO et modifier celles qu’ils créent.

Pourquoi ici ? Parce que le conteneur Group Policy Objects représente le point de gestion des objets GPO du domaine ; c’est le bon endroit pour déléguer la création.

Limiter le lien de GPO à l’OU ciblée

  1. Ouvrez ADUC (dsa.msc).
  2. Clic droit sur l’OU cibleDelegate Control….
  3. Ajoutez le groupe → choisissez la tâche Manage Group Policy links.

Résultat : le groupe peut lier/délier des GPO seulement dans cette OU (et pas ailleurs).

(Optionnel) Contrôler qui peut modifier les GPO

  • Sur chaque GPO, onglet Delegation → accordez au groupe Edit settings (ou laissez “Group Policy Creator Owners” si vous voulez qu’ils n’éditent que leurs propres GPO).
  • Adoptez un préfixe de nommage (p. ex. OU-Marketing-...) pour identifier clairement les GPO gérées par ce groupe.

Pourquoi ce modèle fonctionne

Une GPO est un objet AD (dans CN=Policies,CN=System,DC=...) possédant un identifiant unique (GUID) et un homologue dans SYSVOL (\\domaine\SYSVOL\...\{GUID\}). Les OU, domaines et sites n’hébergent pas l’objet GPO : ils exposent un lien via l’attribut gPLink. C’est pour cela que la création se délègue au domaine et la liaison à l’OU.

Tableau de synthèse des droits à déléguer

CibleDroit / TâcheOutilEffet concret
Domaine → Group Policy ObjectsCreate GPOs (ou appartenance à Group Policy Creator Owners)GPMC → DelegationPermet de créer de nouvelles GPO dans le domaine
OU cibléeManage Group Policy linksADUC → Delegate ControlAutorise à lier/délier des GPO uniquement dans cette OU
GPO (facultatif)Edit settings / GpoEditGPMC → DelegationAutorise à modifier le contenu de la GPO

Procédure détaillée pas-à-pas

Avec les consoles (méthode GUI)

  1. Création : dans GPMC, nœud Group Policy Objects → vérifiez que votre groupe apparaît bien avec le droit Create GPOs. Demandez à un membre du groupe de créer une GPO : clic droit → New.
  2. Liaison : dans GPMC ou ADUC, sur l’OU cible → Link an Existing GPO… (ou depuis l’OU via Create a GPO in this domain, and link it here… si la création au domaine est autorisée et si le droit Manage Group Policy links est présent).
  3. Édition (optionnel) : sur la GPO → onglet Delegation → ajoutez le groupe avec Edit settings. Pensez à limiter l’édition aux GPO portant votre préfixe.

En PowerShell (rapide et scriptable)

Prérequis : modules ActiveDirectory et GroupPolicy installés sur un poste d’admin.

# Ajouter un groupe au groupe intégré "Group Policy Creator Owners"
Add-ADGroupMember -Identity "Group Policy Creator Owners" -Members "CONTOSO\Grp-GPO-Marketing"

# Créer une GPO (un membre du groupe peut le faire une fois la délégation en place)

New-GPO -Name "OU-Marketing-Baseline" -Comment "Paramètres de base pour l'OU Marketing"

# Lier la GPO à l'OU visée

New-GPLink -Name "OU-Marketing-Baseline" -Target "OU=Marketing,DC=contoso,DC=com" -LinkEnabled Yes

# Déléguer l'édition de la GPO au groupe (si souhaité)

Set-GPPermissions -Name "OU-Marketing-Baseline" -TargetName "CONTOSO\Grp-GPO-Marketing" -TargetType Group -PermissionLevel GpoEdit

Délégation du droit “Manage Group Policy links” en ligne de commande : elle agit sur l’OU (attributs gPLink/gPOptions). Si vous devez automatiser, testez au préalable en labo :

# Exemple DSACLS : autoriser lecture/écriture de gPLink et gPOptions sur l'OU
dsacls "OU=Marketing,DC=contoso,DC=com" /I:S /G "CONTOSO\Grp-GPO-Marketing:RPWP;gPLink"
dsacls "OU=Marketing,DC=contoso,DC=com" /I:S /G "CONTOSO\Grp-GPO-Marketing:RPWP;gPOptions"

Note : l’assistant ADUC « Delegate Control… » reste la voie la plus simple et la plus sûre pour cette étape.

Nuances & pièges relevés

  • Dans ADUC, l’option « Create, delete, and manage Group Policy objects » n’existe pas. C’est normal : ADUC ne délègue que la gestion des liens via Manage Group Policy links. La création de GPO se délègue dans GPMC.
  • Le droit bas niveau « Create groupPolicyContainer objects » visible en sécurité avancée AD n’est pas la voie recommandée. Préférez GPMC → Delegation → Create GPOs ou le groupe Group Policy Creator Owners.
  • Pour que l’action « Create a GPO in this domain, and link it here… » fonctionne pour un utilisateur sur une OU, il faut les deux :
    • (a) Create GPOs au niveau Group Policy Objects (domaine), et
    • (b) Manage Group Policy links sur l’OU.
  • Vous ne voyez toujours pas New dans GPMC après délégation ? Fermez/rouvrez GPMC ou reconnectez la session (renouvellement du jeton d’accès). Vérifiez l’onglet Delegation du nœud Group Policy Objects.
  • Security Filtering (sur une GPO) gère qui applique la GPO, pas qui peut la lier ou l’éditer. Ne confondez pas !
  • Évitez d’accorder Edit settings sur toutes les GPO à un groupe « local » ; limitez l’édition aux GPO qu’il crée et utilisez un préfixe de nommage pour les distinguer.
  • En environnements multi-domaines, Group Policy Creator Owners est par domaine. Un membre dans DomainA ne peut pas créer dans DomainB sans délégation équivalente.
  • Les liens de GPO existent aussi au niveau des Sites (GPMC → Sites). Le principe de délégation est identique : la création reste au domaine, la liaison dépend de l’objet cible (ici le site).

Bonnes pratiques de gouvernance

  • Nommage : OU-<Nom>-<But>-<Num> (ex. OU-Marketing-Baseline-01). C’est lisible, triable et traçable.
  • Commentaires : renseignez le champ Comment de la GPO (justification, contact, ticket de changement).
  • Central Store pour les ADMX : évitez les divergences d’éditeurs de stratégie d’un poste à l’autre.
  • Backups réguliers : exportez toutes les GPO avec chemin daté et contrôlé.
# Sauvegarde complète des GPO
$path = "\\\\srv-admin\\Backups\\GPO\\$(Get-Date -Format yyyy-MM-dd)"
New-Item -ItemType Directory -Force -Path $path | Out-Null
Backup-GPO -All -Path $path

Checklist de validation

  1. Dans GPMC → Group Policy ObjectsDelegation : le groupe figure avec Create GPOs.
  2. Dans ADUC → OU → Delegate Control : le groupe a Manage Group Policy links.
  3. Un membre du groupe peut :
    • Créer une GPO dans GPMC (nœud Group Policy Objects),
    • Lier cette GPO sur l’OU ciblée, mais pas sur d’autres OU,
    • (si prévu) éditer les GPO préfixées OU-....
  4. La GPO s’applique bien (vérifiez avec gpresult /h ou RSoP) aux objets de l’OU si le filtrage de sécurité le permet.

Dépannage ciblé

  • Symptôme : pas d’option “New” dans GPMC → Revoyez la délégation Create GPOs; reconnectez la session; vérifiez l’appartenance de groupe (réplication AD).
  • Symptôme : impossible de lier sur l’OU → Vérifiez Manage Group Policy links sur l’OU; si vous utilisez dsacls, contrôlez les droits RP/WP sur gPLink et gPOptions.
  • Symptôme : la GPO ne s’applique pas → Contrôlez le Security Filtering, la portée (utilisateurs/ordinateurs), les liens désactivés, l’ordre de priorité, et la présence éventuelle de WMI filters.
  • Symptôme : changements non visibles → Patientez la réplication AD/SYSVOL, forcez gpupdate /force sur une machine test, ou redémarrez si des paramètres nécessitent un boot.
  • Audit : consultez Event Viewer → Applications and Services Logs → Microsoft → Windows → GroupPolicy → Operational sur un client de test.

FAQ express

Peut-on empêcher totalement l’édition des GPO existantes ?
Oui. N’accordez Edit settings à ce groupe que sur ses GPO. Pour les GPO sensibles, vérifiez les entrées ACE et retirez tout accès d’édition non nécessaire.

Que se passe-t-il si un membre délier une GPO par erreur ?
Le lien est retiré de l’OU mais la GPO reste intacte dans le domaine. Restaurez le lien (ou utilisez Backup-GPO / Restore-GPO si vous aviez sauvegardé l’ensemble).

La tâche ADUC “Manage Group Policy links” suffit-elle pour créer une GPO ?
Non. Elle ne concerne que les liens. Il faut Create GPOs au niveau du domaine pour la création.

Peut-on faire “tout en un” avec “Create a GPO in this domain, and link it here…” ?
Oui, mais uniquement si l’utilisateur possède Create GPOs (domaine) et Manage Group Policy links (OU).

Les paramètres “Block Inheritance” / “Enforced” affectent-ils la délégation ?
Non. Ils régissent la hiérarchie d’application, pas les droits de création/liaison/édition.

Et pour les Sites ?
Même principe : création au domaine, droits de liaison sur l’objet Site dans GPMC.

Exemple complet et reproductible

  1. Créez un groupe CONTOSO\Grp-GPO-Marketing.
  2. Ajoutez-le à Group Policy Creator Owners (ou GPMC → Group Policy ObjectsDelegationCreate GPOs).
  3. Dans ADUC, sur OU=MarketingDelegate Control…Manage Group Policy links.
  4. Depuis un compte membre du groupe :
    • GPMC → Group Policy ObjectsNewOU-Marketing-Baseline.
    • OU=Marketing → Link an Existing GPO… → choisissez OU-Marketing-Baseline.
    • (Optionnel) GPMC → sur la GPO → Delegation → donnez Edit settings au groupe.

Bonnes pratiques de sécurité et de clarté

  • Principe du moindre privilège : ne donnez Edit que lorsque c’est nécessaire, et plutôt sur des GPO dédiées au périmètre du groupe.
  • Préfixe : toutes les GPO de ce groupe commencent par OU-<NomOU>- pour faciliter recherche, audit et nettoyage.
  • Journalisation : consignez qui a le droit de créer (domaine) et lier (OU), avec captures d’écran des onglets Delegation.
  • Revue périodique : trimensuelle, pour retirer les membres inactifs et supprimer les GPO non liées.

En bref

  • Impossible de restreindre la création d’une GPO à une OU (objet de domaine).
  • Possible et recommandé : créer au domaine + restreindre la liaison à l’OU via Manage Group Policy links.
  • Option pratique : utiliser Group Policy Creator Owners et un nammage clair (OU-...) pour circonscrire les GPO créées et gérées par le groupe.

Astuce finale : si vous déployez ce modèle à grande échelle (plusieurs équipes / OU), préparez un script d’initialisation qui crée (1) le groupe, (2) l’ajoute à Group Policy Creator Owners, (3) délègue Manage Group Policy links sur l’OU, (4) provisionne une ou deux GPO “squelettes” prêtes à l’emploi.

Windows Server
Active Directory Windows Server GPO GPMC Delegation
Sommaire