locked
Strategie de sécurité / Active Directory RRS feed

  • Question

  • Bonjour,

    Petite question anodine :

    Est on obligé de mettre l'ordinateur dans l'OU sur laquelle on applique une strategie de groupe ?

    Aujourd'hui nous fonctionnons en effet comme cela . Par exemple nous avons crée une OU "TSE" dans laquelle on place les ordinateurs TSE, et sur laquelle on applique nos stratégies de sécurité TSE.

    J'espère que ma question est compréhensible ;)

    Merci

    mercredi 9 février 2011 17:01

Réponses

  • Bonjour,

    L'objet pour lequel s'applique une Stratégie de Groupe doit se trouver dans l'Unité d'Organisation sur laquelle est appliquée la GPO. C'est vrai pour les objets ordinateurs et utilisateurs. Si votre objet reste dans le conteneur computer et que votre GPO est appliquée sur une OU "TSE" par exemple, alors la stratégie ne s'appliquera pas, même si il y a un filtre sur un groupe contenant l'objet.

     


    Olivier Detilleux - Service Line Manager | Core Infrastructure Department - vNext http://www.vnext.fr - http://myitforum.com/cs2/blogs/forefrontsecurity/
    mercredi 23 février 2011 17:09

Toutes les réponses

  • les objets GPO s'applique a des ordinateurs / utilisateurs .... Tu peux les positionner sur le site, le domaine et l'OU ... toutes les combinaison sont bonnes du moment que l'on reste dans sa logique ! (ex : appliqué une stratégie pour tout le domaine masquant le panneau de configuration / appliqué une GPO à l'OU qui contient tous les utilisateurs de mon domaine) ...
    Eric Perromat [MVP Remote Desktop Services]
    mercredi 9 février 2011 17:10
  • Si tu appliques une stratégie de groupe à partir de ton OU (donc clic droit sur ton OU / Propriétées / Onglet Stratégies de groupe )et que tu désires appliquer une stratégie contenant des éléments situés dans la branche "Configuration ordinateur", c'est probablement que tu veux que ces éléments s'appliquent à un ou des postes en particulier, à ce moment là, tu n'as pas le choix de glisser ce(s) poste(s) dans ton OU afin que la stratégies de groupe s'applique aussi à eux.
    mercredi 9 février 2011 19:13
  • Notre AD est actuellement construite autour de nos services (example OU compta, gestion, rh, maintenance ...)

    Les utilisateurs se trouve dans l'OU de leur service (Le DRH se trouve dans l'OU RH).

    Pour les Ordinateurs, ils sont historique classés dans une sous OU "WSUS" dans laquelle une arborescence suivant les types de machines a été contruite (sous OU Servers 2003, sous poste de travail XP etc).

    Depuis quelques temps a été crée une OU "TSE3" dans laquelle on place les ordinateurs TSE, et sur laquelle on applique nos stratégies de sécurité TSE.

    Là où je suis un peu embetté, c'est que je suis obligé de sortir mes servers TSE de l'OU WSUS pour venir la mettre dans l'OU TSE sur laquelle j'applique mes strategies (ce sont des GPO aussi bien utilisateur que ordinateur). Du coup, je me demande si l'architecture est bonne

     

    En résumé l'AD ressemble à :

    Mon entreprise

    ---> OU COMPTA

    Utilisateur 1, 2, 3....

    ---> OU GESTION

    Utilisateur 1, 2, 3....

    ---> OU RH

    Utilisateur 1, 2, 3....

    ---> OU TSE (OU sur laquelle j'applique mes stratégies utilisateurs ou ordinateurs)

    Ordinateurs TSE

    ---> OU WSUS

    |--------> Servers

    Ordinateurs servers 2000 ou 2003

    |--------> XP

    Postes de travail client XP ou Seven

    jeudi 10 février 2011 08:36
  • salut ,

    il vaut mieux  de mettre l'ordinateur dans l'OU sur laquelle on applique une strategie de groupe dés le debut , ça vos permettre d'éviter le gaspillage de temps , j'ai connu un cas pareil et j'ai constaté que pour la GPO serat active il faut l'appliquer sur certains comptes utilisateurs et comptes ordinateurs


    System Engineer | vNext Consulting
    jeudi 10 février 2011 15:43
  • Salut,

    La stratégie de groupe  peut être appliqué soit sur le compte utilisateur généralement lié a la  partie affichage ou bien sur  le compte ordinateur généralement lié a la partie sécurité

    Et pour appliqué une stratégie de groupe à une OU il est recommandé qu’elle contient deux sous OU (sOU=users contient les comptes utilisateurs, sOU=computers : contient les comptes ordinateurs)


    Oussama Oueslati | System Engineer | vNext Consulting
    jeudi 10 février 2011 15:57
  • Bonjour,

    Merci de nous tenir au courant.

    Cordialement,

    Roxana



    Roxana PANAIT, MSFT  Follow TechNetFr on Twitter 

    • Votez l’article qui vous est utile ou postez un pour participer au concours : Appel à la contribution

    •Nous vous prions de considérer que dans le cadre de ce forum on n’offre pas de support technique et aucune garantie de la part de Microsoft ne peut être offerte.

    mardi 15 février 2011 16:51
  • J'aimerais bien vous tenir au courant, mais je ne trouve pas la réponse à ma question pour le moment. Ou tout au moins je n'ai pas l'impression.

    Je vais essayer de reposer ma question plus clairement p-e ...

    "Est ton obligé de mettre l'ordinateur dans l'OU sur laquelle on applique une stratégie l'impliquant, ou peut on laisser l'ordinauteur dans l'OU classique computer tout en créant une stratégie sur laquelle on applique un filtrage de sécurité sur l'ordinateur" ?

    Exemple.

    J'ai une machine TSE (Serv_TSE1 par exemple) dans l'OU  "computers".

    J'ai une OU "TSE" dans sur laquelle j'applique une stratégie spéciale pour chaque serveur TSE. Est ce que je peux créer une stratégie avec comme filtre de sécurité l'ordinateur "Serv_TSE1" ?

    Pas toujours facile par texte interposé :p

    mardi 22 février 2011 16:51
  • Bonjour,

    L'objet pour lequel s'applique une Stratégie de Groupe doit se trouver dans l'Unité d'Organisation sur laquelle est appliquée la GPO. C'est vrai pour les objets ordinateurs et utilisateurs. Si votre objet reste dans le conteneur computer et que votre GPO est appliquée sur une OU "TSE" par exemple, alors la stratégie ne s'appliquera pas, même si il y a un filtre sur un groupe contenant l'objet.

     


    Olivier Detilleux - Service Line Manager | Core Infrastructure Department - vNext http://www.vnext.fr - http://myitforum.com/cs2/blogs/forefrontsecurity/
    mercredi 23 février 2011 17:09