locked
filtrer GPO RRS feed

  • Question

  • Salut tout le monde

    Existe-il un moyen pour filtrer une GPO par rapport à un groupe de comptes machines ?

    Je sais qu'en général, on fait plusieurs OU , on met les comptes dedans et les GPO dessus, mais là ça me serais vraiment pratique de pouvoir filtrer une GPO par rapport à un groupe de comptes machines

    Merci


    Ascadix.
    jeudi 7 octobre 2010 20:52

Réponses

  • Bonjour,

    C'est en effet possible. Quand vous cliquez sur votre GPO, dans la partie droite, il y a une section "Security Filtering". Vous pouvez ici positionner le groupe pour lequel la GPO doit s'appliquer, et supprimer le groupe "Utilisateurs Authentifiés".

    Pour aller plus loin, dans l'onglet "Delegation", vous pouvez fixer plus finement les droits, en spécifiant aussi des groupes qui n'ont pas le droit d'appliquer la GPO.


    Olivier Detilleux - Service Line Manager | Core Infrastructure Department http://myitforum.com/cs2/blogs/forefrontsecurity/
    • Proposé comme réponse khalil Benz vendredi 8 octobre 2010 10:22
    • Marqué comme réponse Anouar KETAT vendredi 8 octobre 2010 13:50
    vendredi 8 octobre 2010 07:48

Toutes les réponses

  • Bonjour,

    C'est en effet possible. Quand vous cliquez sur votre GPO, dans la partie droite, il y a une section "Security Filtering". Vous pouvez ici positionner le groupe pour lequel la GPO doit s'appliquer, et supprimer le groupe "Utilisateurs Authentifiés".

    Pour aller plus loin, dans l'onglet "Delegation", vous pouvez fixer plus finement les droits, en spécifiant aussi des groupes qui n'ont pas le droit d'appliquer la GPO.


    Olivier Detilleux - Service Line Manager | Core Infrastructure Department http://myitforum.com/cs2/blogs/forefrontsecurity/
    • Proposé comme réponse khalil Benz vendredi 8 octobre 2010 10:22
    • Marqué comme réponse Anouar KETAT vendredi 8 octobre 2010 13:50
    vendredi 8 octobre 2010 07:48
  • Olivier DETILLEUX a émis l'idée suivante :

    Bonjour,

    C'est en effet possible. Quand vous cliquez sur votre GPO, dans la partie droite, il y a une section "Security Filtering". Vous pouvez ici positionner le groupe pour lequel la GPO doit s'appliquer, et supprimer le groupe "Utilisateurs Authentifiés".

    J'ai déjà essayé, d'où ma question

    ça marche avec:
    - des groupes de comptes utilisateurs
    - des comptes utilisateurs
    - des comptes machines

    -- mais pas avec des groupes de comptes machines dans ce champs.
     J'ai testé sur 2 AD sans aucun liens, à chaque coup c'est kifkif, la GPO n'est pas appliquée sur les machines, et GPresult donne "non appliquée, raison inconnue"  ( c'est p'tet pas la phrase exacte, mais c'est l'idée , c'est pas "refusé" ni "vide", c'est "inconnu" )

    Pour aller plus loin, dans l'onglet "Delegation", vous pouvez fixer plus finement les droits, en spécifiant aussi des groupes qui n'ont pas le droit d'appliquer la GPO.

    Avant d'affiner, je voudrais déjà trouver pkoi ça marche pas avec un bête filtrage de base et si on peut le faire marcher.


    Ascadix.
    vendredi 8 octobre 2010 20:08
  • Bonsoir,

    Je suis sûr que vous avez déjà vérifié tous ces points, mais je me permets de les mentionner :

    • La GPO doit s'appliquer sur une OU contenant les ordinateurs faisant partie du groupe. Un ordinateur faisant partie du groupe, mais qui n'est pas dans une OU où la GPO est liée
    • Vous pouvez lancer la commande gpupdate /force pour forcer l'application de la GPO
    • Il est souvent nécessaire de redémarrer le poste de travail pour appliquer la GPO
    Pouvez vous donner poster l'intégralité du retour de la commande gpresult ?


    Olivier Detilleux - Service Line Manager | Core Infrastructure Department http://myitforum.com/cs2/blogs/forefrontsecurity/
    vendredi 8 octobre 2010 20:38
  • Olivier DETILLEUX a présenté l'énoncé suivant :

    Bonsoir,

    Je suis sûr que vous avez déjà vérifié tous ces points, mais je me permets de les mentionner :

    ça peut pas faire de mal de revérifier la check-list ...


    * La GPO doit s'appliquer sur une OU contenant les ordinateurs faisant partie du groupe.

    C'est bien rangé comme ça

    Un ordinateur faisant partie du groupe, mais qui n'est pas dans une OU où la GPO est liée

    Il manque pas un bout de la phrase ?

    * Vous pouvez lancer la commande gpupdate /force
    pour forcer l'application de la GPO * Il est souvent nécessaire de redémarrer le poste de travail pour appliquer la GPO

    le gpudate réagit correctement, si je change les options de filtrages de la GPO, je vois bien la GPO dans GPresult suivant que le serveur est / n'est pas filtré.
    Si le serveur n'est pas dans le filtre, le GPresult me donne bien un "non appliqué - refusé"

    - Il y a d'autres GPO sur cette OU, mais que j'applique à tous les serveurs de l'OU avec le filtrage standard ( "utilisateurs authentifiés" )  et celles-là apparaissent bien comme appliqués avec GPresult

    - La GPO que je veux filter est bien sur L'OU ou est le compte machine

    Pouvez vous donner poster l'intégralité du retour de la commande gpresult ?

    Faudra que je récupére ça au boulot pour le message exact, mais en gros ça donne :

    - GPO non filtrée ("utilisateurs authentifiés") -> GPresult : appliqué
    - GPO filtré avec le compte machine ->  GPresult : appliqué
    - GPO filtré avec un groupe contenant le compte machine ->  GPresult : non-appliqué : motif inconnu

    - sur une machine dont le compte est dans l'OU, mais n'est pas dans le filtrage ->  GPresult : non-appliqué : refusé


    Ascadix.
    samedi 9 octobre 2010 16:25
  • Bonjour,

    j'ai déjà eu le souci lorsque je venais d'ajouter le compte de l'ordinateur au groupe AD.

    Lors de ton gpresult, tu peux voir les groupes d'appartenance de l'ordinateur.

    Y a t'il bien le groupe de sécurité de l'ordinateur qui a le droit d'appliquer la GPO ?

    En tout cas, je te confirme que cela doit marcher de cette façon et le "motif inconnu" renvoyé par gpresult est généralement dû au fait que le compte ordinateur n'est pas vu comme faisant parti du groupe de sécurité.


    a bientôt

     


    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    lundi 11 octobre 2010 13:48
  • Bonjour  tout le monde

    j'ai un problème similaire avec une de mes gpo et je suis totalement bloqué , je m'explique :

    Je veux en fait installer un logiciel par exemple via les gpo, donc je crée une gpo qui s'appelle ici GPo_Printcsreen, je la modifie je rentre dans la config ordinateur, je rajoute le package en mettant bien avec le nom UNC du serveur ,   ma gpo est crée à la racine du domaine donc toutes mes UO en héritent voila et donc dans cet GPo je rajoute un filtre car je veux en fait que mon logiciel s'installe que sur un groupe de machines , donc j'ai bien au préalable crée un groupe qui s'appelle g_app_prinstscreen et donc je le rajoute sur les machine sur lesquelles je souhaite que l'installation du logiciel se fasse. Donc j'ai bien enlevé du filtre le groupe utilisateurs authentifiés sinon l'install se fait sur tous les ordinateurs et meme sur les serveurs ce qui ne me convient pas du tout

    Et donc , après avoir fait tout cela je lance un gpresult voir si mes gpo s'appliquent correctement et c'est la que je m'apercois a chaque fois que ma gpo ne fonctionne pas cela me marque : filtrage  refusé (sécurité)

    J'ai vraiment besoin d'aide si quelqu'un aurait une réponse a m'apporter ce serait sympa

    Merci a tout le monde

     

    samedi 24 septembre 2011 12:58