locked
Probleme d'application GPO sous W7 RRS feed

  • Question

  • Bonjour tout le monde,

    Voilà je vous expose mon problème :

    Début juillet dans le cadre de mon travail il m'a été demandé de produire un master et de le déployer sur environ 70 machines.

    Lorsque j'ai crée le master, j'avais comme serveur DHCP un serveur scribe (Distribution linux Domain Controler). A noter que le poste source du master n'a jamais été intégré au domaine scribe.

    Au moment de déployé nous effectuons une bascule scribe vers serveur AD + DNS + DHCP 2012 R2. Mon serveur AD est bien paramétré, les GPOs crées et fonctionnelles. Je rentre la totalité du parc dans le nouveau domaine, tout fonctionne!

    A partir du moment ou l'ancien DC a été arrêté, plus rien ne fonctionne niveau GPO. Aucune ne semble vouloir s'appliquer.

    Je suis à la recherche de piste en local sur les postes qui pourraient bloquer les GPOs. Si je déscent un W7 vierge sur un poste, l’intégré au domaine toutes les GPOs fonctionnent (Que ce nom de poste ait déjà été ajouté à l'AD ou non).

    Je vous ajoutes des informations supplémentaire :

    Dans les journaux d'evenement des erreurs apparaissent :

    - NetLogon Evenement 5719

    Cet ordinateur n’a pas pu configurer une session sécurisée avec un contrôleur de domaine dans le domaine XXXX pour la raison suivante : 
    Aucun serveur d’accès n’est actuellement disponible pour traiter la demande d’ouverture de session. 

    - GroupPolicy Evenement : 1129

    Échec du traitement de la stratégie de groupe en raison d’une absence de connectivité réseau vers un contrôleur de domaine. Il peut s’agir d’un problème temporaire. Un message de réussite est généré une fois que l’ordinateur est connecté au contrôleur de domaine et que la stratégie de groupe est correctement traitée. Si aucun message de réussite ne s’affiche pendant plusieurs heures, contactez votre administrateur.

    ServiceControlManager : 7023

    et pour finir des avertissement de TimeService  N°Événement 129 

    NtpClient n’a pas pu définir de domaine homologue utilisable comme source de temps en raison d’une erreur de découverte. Il réessaiera dans 3473457 minutes, puis doublera l’intervalle d’attente pour les tentatives suivantes. L’erreur était : Rubrique introuvable. (0x800706E1)

    Et voila le résultat d'un GPRESULT /r

    Microsoft Windows [version 6.1.7601]
    Copyright (c) 2009 Microsoft Corporation. Tous droits réservés.
    
    Outil de résultat du système d'exploitation Microsoft (R) Windows (R) v2.0
    Copyright (C) Microsoft Corp. 1981-2001
    
    Jeu créé le 24/08/2016 à 15:08:02
    
    
    Données RSOP pour XXXX\user.id sur SPERSO-P2244 : mode journalisation
    ------------------------------------------------------------------------------
    
    Configuration du système d'exploitation : Station de travail membre
    Version du système d'exploitation...... : 6.1.7601
    Nom du site............................ : N/A
    Profil itinérant :             \\XXXX-AD.XXXX.etab.local\mandatory$\Elev
    es.V2
    Profil local........................... : C:\Users\user.id
    Connexion via une liaison lente ? : Non
    
    
    PARAMÈTRES UTILISATEURS
    ------------------------
        CN=XX.XX,OU=Utilisateurs,OU=Lycee,DC=XXXX,DC=etab,DC=local
        Heure de la dernière application de la stratégie de groupe : 24/08/2016 à 15
    :06:47
        Stratégie de groupe appliquée depuis :      XXXX-AD.XXXX.etab.local
        Seuil de liaison lente dans la stratégie de groupe :   500 kbps
        Nom du domaine :                        XXXX
        Type de domaine :                        Windows 2000
    
        Objets Stratégie de groupe appliqués
        -------------------------------------
            L02
            L03
            L05
            Default Domain Policy
            WSUS
    
        Les objets stratégie de groupe n'ont pas été appliqués
        car ils ont été refusés
        ----------------------------------------------------------------------------
    -------
            Stratégie de groupe locale
              Filtrage :  Non appliqué (vide)
    
        L'utilisateur fait partie des groupes de sécurité suivants
        ----------------------------------------------------------
            Utilisateurs du domaine
            Tout le monde
            Utilisateurs
            INTERACTIF
            OUVERTURE DE SESSION DE CONSOLE
            Utilisateurs authentifiés
            Cette organisation
            LOCAL
            Eleves
            207_ELEVES
            Identité déclarée par une autorité d'authentification
            Niveau obligatoire moyen
    
        L'utilisateur dispose des privilèges de sécurité suivants
        ---------------------------------------------------------
    
    
        Jeu de stratégies résultant pour l'utilisateur
        -----------------------------------------------
    
            Installations des logiciels
            ---------------------------
                N/A
    
            Scripts d'ouverture de session
            ------------------------------
                N/A
    
            Scripts de fermeture de session
            -------------------------------
                N/A
    
            Stratégies de clé publique
            --------------------------
                N/A
    
            Modèles d'administration
            ------------------------
                N/A
    
            Redirection de dossiers
            -----------------------
                N/A
    
            Interface utilisateur d'Internet Explorer
            -----------------------------------------
                N/A
    
            Connexion Internet Explorer
            ---------------------------
                N/A
    
            URL d'Internet Explorer
            -----------------------
                N/A
    
            Sécurité d'Internet Explorer
            ----------------------------
                N/A
    
            Programmes Internet Explorer
            ----------------------------
                N/A

    Voila je ne vois pas ce que je pourrais rajouter. Je suis en train de reproduire un master dans le cas ou je ne trouve pas la solution. Mais si je pouvais éviter d'avoir à repasser sur 70 machines je vous serait très reconnaissant !

    Bien cordialement,

    Jean-Baptiste

     
    mercredi 24 août 2016 13:19

Réponses

  • Bonjour,

    J'ai finalement pu identifié le problème.

    Il s’agit d’une MAJ Microsoft du 14 juin 2016  qui pose problème …

    plus particulièrement «  MS16-072 : Mise à jour de sécurité pour la stratégie de groupe 14 juin 2016 »

    cette mise à jour a été intégré au master et c’est pourquoi nous n’avions pas le soucis sur un ancien poste ou fraichement installé.

    Que fait cette mise à jour ? elle change ni plus ni moins le mode de fonctionnement des GPO depuis 2003 …

    MS16-072 modifie le contexte de sécurité dans lequel les stratégies de groupe d'utilisateurs sont récupérées. Cette modification du comportement voulue protège les ordinateurs clients contre une vulnérabilité dans la sécurité. Avant l'installation de MS16-072, les stratégies de groupe d'utilisateurs étaient récupérées à l'aide du contexte de sécurité de l'utilisateur. Après l'installation de MS16-072, les stratégies de groupe d'utilisateurs sont récupérées à l'aide du contexte de sécurité de l'ordinateur.

    Symptômes

    L'application de toutes les stratégies de groupe d'utilisateurs, notamment celles qui ont été filtrées pour la sécurité sur les comptes d'utilisateur ou les groupes de sécurité, ou les deux, peut échouer sur les ordinateurs joints à un domaine.

    (nous sommes exactement dans ce cas de figure en filtrant les GPO pour élèves et professeurs par groupe d’utilisateurs)

    Cause

    Ce problème peut se produire si l'objet de stratégie de groupe ne dispose pas des autorisations de lecture pour le groupe Utilisateurs authentifiés ou si vous utilisez un filtrage de sécurité et ne disposez pas des autorisations de lecture pour le groupe d'ordinateurs du domaine.

    Solution

    Pour résoudre ce problème, utilisez la console de gestion des stratégies de groupe (GPMC.MSC) et procédez de l'une des manières suivantes :

    • Si vous utilisez le filtrage de sécurité, ajoutez le groupe Ordinateurs du domaine disposant de l'autorisation de lecture.
    https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622/

     Mon problème est donc résolu !

    Merci

    • Marqué comme réponse Senetaire jb vendredi 26 août 2016 08:31
    vendredi 26 août 2016 08:30

Toutes les réponses

  • A partir du moment ou l'ancien DC a été arrêté, plus rien ne fonctionne niveau GPO. Aucune ne semble vouloir s'appliquer.

    Fait déjà un Dcdiag sur tes DC + repadmin /showrepl afin de vérifier l'état de ton DC.

     

    mercredi 24 août 2016 14:52
  • Bonjour,

    Tout d'abord merci pour votre réponse.

    Je n'ai pas la main sur le DC, c'est une autre société qui s'occupe de l'administration du DC.

    Le problème semble vraiment venir du master. Lorsque je décent mon image de base tout fonctionne. Après l'installation de quelque logiciels, le problème semble apparaître...  

    Je suis vraiment à la recherche d'un élément sur W7 qui pourraient bloquer les GPO. (Driver? Virus? Base de registre?)

    Au niveau MaJ pas de souci puisque entre le moment ou ça fonctionne et le moment ou tout s’arrête aucune MaJ n'est appliquée.

    jeudi 25 août 2016 11:45
  • Bonjour,

    J'ai finalement pu identifié le problème.

    Il s’agit d’une MAJ Microsoft du 14 juin 2016  qui pose problème …

    plus particulièrement «  MS16-072 : Mise à jour de sécurité pour la stratégie de groupe 14 juin 2016 »

    cette mise à jour a été intégré au master et c’est pourquoi nous n’avions pas le soucis sur un ancien poste ou fraichement installé.

    Que fait cette mise à jour ? elle change ni plus ni moins le mode de fonctionnement des GPO depuis 2003 …

    MS16-072 modifie le contexte de sécurité dans lequel les stratégies de groupe d'utilisateurs sont récupérées. Cette modification du comportement voulue protège les ordinateurs clients contre une vulnérabilité dans la sécurité. Avant l'installation de MS16-072, les stratégies de groupe d'utilisateurs étaient récupérées à l'aide du contexte de sécurité de l'utilisateur. Après l'installation de MS16-072, les stratégies de groupe d'utilisateurs sont récupérées à l'aide du contexte de sécurité de l'ordinateur.

    Symptômes

    L'application de toutes les stratégies de groupe d'utilisateurs, notamment celles qui ont été filtrées pour la sécurité sur les comptes d'utilisateur ou les groupes de sécurité, ou les deux, peut échouer sur les ordinateurs joints à un domaine.

    (nous sommes exactement dans ce cas de figure en filtrant les GPO pour élèves et professeurs par groupe d’utilisateurs)

    Cause

    Ce problème peut se produire si l'objet de stratégie de groupe ne dispose pas des autorisations de lecture pour le groupe Utilisateurs authentifiés ou si vous utilisez un filtrage de sécurité et ne disposez pas des autorisations de lecture pour le groupe d'ordinateurs du domaine.

    Solution

    Pour résoudre ce problème, utilisez la console de gestion des stratégies de groupe (GPMC.MSC) et procédez de l'une des manières suivantes :

    • Si vous utilisez le filtrage de sécurité, ajoutez le groupe Ordinateurs du domaine disposant de l'autorisation de lecture.
    https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622/

     Mon problème est donc résolu !

    Merci

    • Marqué comme réponse Senetaire jb vendredi 26 août 2016 08:31
    vendredi 26 août 2016 08:30
  • Du coup ceci n'est pas valable :

    "A partir du moment ou l'ancien DC a été arrêté, plus rien ne fonctionne niveau GPO. Aucune ne semble vouloir s'appliquer."

    ----

    "Au niveau MaJ pas de souci puisque entre le moment ou ça fonctionne et le moment ou tout s’arrête aucune MaJ n'est appliquée."

    ----

    Effectivement la mise à jour du mois de juin modifie la manière dont les postes accèdent aux dossiers des stratégies de groupes le system étant utilisé pour les paramètres utilisateurs et ordinateurs ... Si vous utilisez du filtrage de sécurité sur les GPo utilisateurs il faut ajouter "ordinateur du domaine" en plus du groupe d'utilisateur.


    vendredi 26 août 2016 14:21