none
Désactivation GPO sur une seule machine du domaine RRS feed

  • Question

  • Bonjour à tous et meilleurs voeux.

    Je suis dans un domaine / foret en 2016

    J'ai une machine en particulier qui nous sert à faire de la supervision de notre SI

    Elle reçoit toutes les GPO de notre domaine (dont la mise en veille et l'activation de l'écran de veille)

    Est-il possible sur cette machine (qui reste accroché au mur au service informatique) de désactiver les GPO mis sur le domaine ?

    Peut être en faisant une GPO contraire ?

    Du coup est-ce que des spécialiste on un conseil à me donner ?

    Merci d'avance pour vos retours

    mardi 5 janvier 2021 15:54

Réponses

  • Bonjour,

    Oui, la sortir et la remettre peut être une solution. En général on estime que ce n'est pas une solution car cela reste "incohérent" par rapport au comportement du système. Cependant parfois, peu importe pourquoi, c'est la seule solution.

    Essaie et regarde si ça a résolu ton souci. Tiens-nous au courant.

    PS : Faire des GPOs "inverse" est une très mauvaise chose, car c'est impossible à tenir à jour au fur et à mesure.


    The key of learning is practice.

    • Marqué comme réponse Yannix63 jeudi 4 février 2021 13:08
    lundi 11 janvier 2021 12:50

Toutes les réponses

  • salut, oui c'est possible, de désactiver les GPO à partir de l'onglet sécurité, ou du filtre de sécurité,

    mais la meilleure pratique sera de créer une OU (appelé supervision par exemple) de mettre la machine dedans et de désactiver l'héritage


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    mardi 5 janvier 2021 16:07
  • Bonjour et merci pour votre réponse

    C'est effectivement ce que j'ai fait

    Mais la machine était déjà présente dans une autre OU ou les gpo s'appliquaient

    Le fait de la déplacer n'a rien changé et les modifications ont déjà été effectué dans la BDR.

    (PS : J'ai aussi essayer de faire une nouvelle GPO contraire mais sans succès)

    Est-ce que la sotie du domaine et la remettre pourrait résoudre le problème ?

    Merci d'avance pour vos retour

    jeudi 7 janvier 2021 07:48
  • Bonjour,

    Oui, la sortir et la remettre peut être une solution. En général on estime que ce n'est pas une solution car cela reste "incohérent" par rapport au comportement du système. Cependant parfois, peu importe pourquoi, c'est la seule solution.

    Essaie et regarde si ça a résolu ton souci. Tiens-nous au courant.

    PS : Faire des GPOs "inverse" est une très mauvaise chose, car c'est impossible à tenir à jour au fur et à mesure.


    The key of learning is practice.

    • Marqué comme réponse Yannix63 jeudi 4 février 2021 13:08
    lundi 11 janvier 2021 12:50
  • Bonjour,

    Pouvons-nous considérer que vous avez résolu votre problème avec les scénarios proposés? Si les conseils vous ont aidé, veuillez marquer comme réponses les contributions pertinentes qui ont conduit à la solution.
    Si vous avez trouvé une autre solution, partagez-la avec la communauté afin que d'autres utilisateurs avec le même problème puissent profiter de cette solution.

    Merci d'avance!

    Cordialement,

    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    jeudi 4 février 2021 11:48
  • Bonjour Yannix63

    Il  y a plusieurs solutions pour répondre à ton besoin :

    • Mettre LA machine dans une OU spécifique qui soit en dehors du scope de ta GPO WSUS
    • Mettre Ta machine dans une OU spécifique et bloquer l'héritage des GPOs. Solution citée pour principe mais à proscrire formellement, car cette machine ne se prendrait alors aucune GPO (y compris la Default Domain Policy)
    • Laissez ta machine ton son OU actuelle, mais sur ta GPO WSUS ajouter un filtre WMI afin d'exclure le HostName de ta machine.

    Enfin, si tu mets en œuvre une des solutions ci-dessus (une des 2 valables), sur ta machine le client Windows Update ne sera pas configuré : Ni le serveur de mise à jour (WSUS), ce sera update.microsoft.com (défaut), ni le comportement du dudit client Windows Update.

    Tu peux alors, si tu as un serveur WSUS, lui claquer juste les 2 entrées (en registre) pour lui indiquer que son serveur de mise à jour est ton serveur WSUS - ou tu ne peux rien faire du tout et laissez cette seule machine aller chercher ses mises à jour sur le Net.  Quand au comportement ? Tu lanceras à la mano un Windows Update sur cette machine pour lui indiquer d'aller chercher et d'installer quand TU le voudras. Faut juste pas oublier :-)

    On peut même envisager une tâche planifiée qui dise à la machine "tu vas chercher tes mises à jour à telle ou telle heure" ou une autre solution équivalente.

    Cordialement

    Olivier

    jeudi 4 février 2021 14:44
  • Bonjour Oliv-TheFrog,

    Petite précision quand même c'est qu'avec une GPO en "enforce" elle passera meme si l'héritage est bloqué. Mais je suis tout à fait d'accord avec toi. A proscrire. Il faut éviter par tous les moyens de jouer avec des bloquage et des forcing.



    The key of learning is practice.

    jeudi 4 février 2021 14:51
  • Bonjour Arnaud

    Tout à fait, et je ne dis pas le contraire. Il faut absolument limiter à des cas très exceptionnels les GPOs "enforced" ("appliqué" en Fr, quelle traduction bizarre. Sic!), ainsi que les blocages d'héritage.

    Le besoin concerne uniquemernt la GPO WSUS, donc pour moi, le plus facile, c'est juste de rajouter un filtre WMI sur ladite GPO qui exclu HostName = NomDuPoste.

    L'autre solution (déplacement de la machine dans une OU hors du scope de la GPO WUS) est une solution tout aussi valable.

    Comme je l'indiquais, dans ces 2 cas, le poste (en fait le client Windows Update) n'est plus configuré pour son Serveur de mise à jour (WSUS), (mais est-ce réellement un pb pour 1 seule machine ? ) et lson comportement (Encore une fois, est-ce réellement un pb de lancer un Windows Update manuellement sur 1 poste ? Je pense que non. Cependant sur le long terme, ça peut le devenir).

    cordialement

    Olivier

    vendredi 5 février 2021 08:01