none
GPO Utilisateurs

    Question

  • Bonjour,

    J'ai observé un comportement inhabituel, j'ai crée une GPO uniquement avec des paramètre utilisateurs que j'ai lier à une OU ou se trouve uniquement des machines!

    Dans la sécurité, j'ai "Utilisateur Authentifier"

    Et la la GPO s'applique et je n'ai aucun utilisateurs dans l'OU!

    Est-ce normal? Microsoft aurai modifié quelque chose?

    Je suis sur Windows 2012 R2, GPO sur Windows 10

    Merci de votre retour

    Jeremy


    Jeremy HEBERT


    mercredi 7 mars 2018 07:51

Réponses

  • Oui et Non ....
    Le comportement va être différent en fonction du mode de (remplacement ou fusion)

    https://support.microsoft.com/fr-fr/help/231287/loopback-processing-of-group-policy


    "Mode de fusion
    Les paramètres utilisateurs sont fusionnés avec les paramètres utilisateurs des autres GPOs dans la boucle de rappel.


    Mode de remplacement
    Les paramètres utilisateurs venant des autres GPO ne sont pas fusionné aux paramètre de la GPO de la boucle de rappel.

    Voir aussi :

    https://blogs.technet.microsoft.com/askds/2013/02/08/circle-back-to-loopback/

    Dans tous les cas, l'assistant de résultat te donne la réponse en clair immédiatement sur le paramètre qui est appliqué et le nom de la GPO ou il est définit.
    Tu peux voir dans ce tuto que les GPO sont réellement appliquées de la moins prioritaire à la plus. Chaque GPO peut remplacer un paramètre précédent.
    L'application des GPO est facile a retrouver dans l'observateur d'événement.

    http://pbarth.fr/node/182

    Au niveau des paramètres ordinateurs, ils sont appliqués la première fois au démarrage de la machine. 

    Les paramètres utilisateurs sont appliqués la première fois çà l'ouverture de session ( donc forcément après les machines).


    Tu peux utiliser les 2 types de paramètres (ordi ou users) dans la même GPO, il suffit de comprendre, l'ordre d'application.
    En général la boucle de rappel est utilisé au plus près de la cible donc sur les sous-OU les plus imbriqués.

    Faire une boucle de rappel sur une GPO lié à la racine du domaine n'est pas une bonne pratique par exemple.

    Attention, bloquer l'héritage ou forcer( option appliqué) une GPO peut également modifier l'application et l'ordre des GPO.

    En général lorqu'on doit couper l'héritage ou forcer l'application, cela signifie que les GPO sont mal organisés




    vendredi 9 mars 2018 08:31
    Modérateur
  • Puis-je appliquer les elements Utilisateurs pour un groupe definis de quelques utilisateur? Exemple : Groupe A a la place de "Utilisateur Authentifier"

    Les GPO requiert que la machine est un accès dessus : il faut donc, en plus de cibler un groupe de users, s'assurer que les machines sont aussi concernées; dans ce cas, vous pouvez par défaut mettre le groupe de User + Ordinateurs du domaines.

    Deux GPO avec boucle de rappel sur la même OU est-ce possible?

    Techniquement oui, mais c'est une source de problème. 

    lundi 19 mars 2018 12:27

Toutes les réponses

  • Tu as essayé l'assistant de résultat de stratégie ou gpresult ?

    Tu n'as pas activé la boucle de rappel de la stratégie utilisateur ? Voir :

    http://pbarth.fr/node/99

    Pas de modification a ma connaissance. Les paramètres  utilisateurs ne s'appliquent que si la GPO est lié à une OU contenant des utilisateurs, sauf pour la boucle de rappel ...

    mercredi 7 mars 2018 10:52
    Modérateur
  • J'ai un GPO "UEM-Etudiant" avec boucle de rappel mais au niveau supérieur, cela peut-il influer?

    Voici ma GPO, je suis certain de na pas avoir d'utilisateurs dans mes OU inférieur.



    Jeremy HEBERT



    mercredi 7 mars 2018 13:52
  • Re => Tu as essayé l'assistant de résultat de stratégie ou gpresult ?

    http://pbarth.fr/node/206 

    Tu devrais retrouver les paramètres et la GPO qui les a appliqués.

    La boucle de rappel ne s'applique que pour les paramètre de la GPo dans laquelle elle est activé. Les autres GPO de même niveau au de niveau inférieur ne sont pas impliqués par la boucle de rappel.

    La boucle de rappel s'appliquant en dernier elle écrase les paramètres identique venant d'autres GPO même sur des GPO dans des sous OU. Elle est donc plus prioritaire qu'une GPO sans boucle de rappel?


    mercredi 7 mars 2018 15:57
    Modérateur
  • je viens de faire l'assistant de résultat de stratégie et un GPresult.

    La GPO utilisateur s'applique bien alors que je n'ai pas de user dans l'OU.


    Jeremy HEBERT

    jeudi 8 mars 2018 13:14
  • Tu as recherché si des paramètres de la GPO de la partie configuration utilisateur de cette GPO sont appliqués ?

    La même GPO peut contenir des param ordi ou utilisateurs. Si elle est associé à une OU contenant des ordi seuls les paramètres ordi seront appliqués.

    Le fait qu'elle soit indiqué comme appliqué ne veut pas dire que l'ensemble de ses paramètres le sont.

    De plus dans ton image on ne voit pas clairement si c'est la rubrique GPO appliquée de la conf  utilisateur ou de la conf ordinateur.

    jeudi 8 mars 2018 13:32
    Modérateur
  • Je résume, j'ai une GPO avec des paramètre Utilisateurs uniquement sans "Loopback", qui s'applique sur une OU uniquement compose de computer.

    Filtrage de sécurité : uniquement des user ou groupe de User.

    Les paramètres de la GPO s'applique bien.

    Ce sont des paramètre simple de configuration d'écran de veille.


    Jeremy HEBERT

    jeudi 8 mars 2018 14:05
  • Tu es sur que ta GPO n'est pas lié à une autre OU ?

    Enfin dans l'assistant de résultat ou gpresult tu peux retrouver pour chaque valeur, la GPO qui l'a appliqué :

    jeudi 8 mars 2018 14:30
    Modérateur
  • La GPO est liée a d'autre biensur, mais que sur des OU contenant des computer.

    je vais refaire un test avec de nouvelle machine et une nouvelles GPO


    Jeremy HEBERT

    jeudi 8 mars 2018 16:53
  • J'ai un GPO "UEM-Etudiant" avec boucle de rappel mais au niveau supérieur, cela peut-il influer?

    Oui, le loopback fait réappliquer tous les paramètres présent dans la chaine de GPO.

    jeudi 8 mars 2018 21:38
  • Bah voila j'ai ma réponse alors.Je trouve cela pas très propre ou alors je ne fais pas les GPO comme il faut.

    J'ai besoin d'un confirmation. Que dois-je avoir dans le scope d'une GPO avec boucle de rappel?

    Utilisateurs et Ordinateurs? Seulement Utilisateurs? Seulement Ordinateurs?

    Merci


    Jeremy HEBERT


    vendredi 9 mars 2018 06:55
  • Oui et Non ....
    Le comportement va être différent en fonction du mode de (remplacement ou fusion)

    https://support.microsoft.com/fr-fr/help/231287/loopback-processing-of-group-policy


    "Mode de fusion
    Les paramètres utilisateurs sont fusionnés avec les paramètres utilisateurs des autres GPOs dans la boucle de rappel.


    Mode de remplacement
    Les paramètres utilisateurs venant des autres GPO ne sont pas fusionné aux paramètre de la GPO de la boucle de rappel.

    Voir aussi :

    https://blogs.technet.microsoft.com/askds/2013/02/08/circle-back-to-loopback/

    Dans tous les cas, l'assistant de résultat te donne la réponse en clair immédiatement sur le paramètre qui est appliqué et le nom de la GPO ou il est définit.
    Tu peux voir dans ce tuto que les GPO sont réellement appliquées de la moins prioritaire à la plus. Chaque GPO peut remplacer un paramètre précédent.
    L'application des GPO est facile a retrouver dans l'observateur d'événement.

    http://pbarth.fr/node/182

    Au niveau des paramètres ordinateurs, ils sont appliqués la première fois au démarrage de la machine. 

    Les paramètres utilisateurs sont appliqués la première fois çà l'ouverture de session ( donc forcément après les machines).


    Tu peux utiliser les 2 types de paramètres (ordi ou users) dans la même GPO, il suffit de comprendre, l'ordre d'application.
    En général la boucle de rappel est utilisé au plus près de la cible donc sur les sous-OU les plus imbriqués.

    Faire une boucle de rappel sur une GPO lié à la racine du domaine n'est pas une bonne pratique par exemple.

    Attention, bloquer l'héritage ou forcer( option appliqué) une GPO peut également modifier l'application et l'ordre des GPO.

    En général lorqu'on doit couper l'héritage ou forcer l'application, cela signifie que les GPO sont mal organisés




    vendredi 9 mars 2018 08:31
    Modérateur
  • Bonjour et Merci pour toutes ces précisions.

    J'ai une deux autre question :

    J 'au une GPO avec boucle de rappel qui s'applique sur une OU composéé de machines uniquement. Actuellement le scope est seulement "Utilisateur Authentifier"

    Puis-je appliquer les elements Utilisateurs pour un groupe definis de quelques utilisateur?

    Exemple : Groupe A a la place de "Utilisateur Authentifier"

    Deuxième question :

    Deux GPO avec boucle de rappel sur la même OU est-ce possible?

    Merci d'avance


    Jeremy HEBERT

    lundi 19 mars 2018 10:31
  • Puis-je appliquer les elements Utilisateurs pour un groupe definis de quelques utilisateur? Exemple : Groupe A a la place de "Utilisateur Authentifier"

    Les GPO requiert que la machine est un accès dessus : il faut donc, en plus de cibler un groupe de users, s'assurer que les machines sont aussi concernées; dans ce cas, vous pouvez par défaut mettre le groupe de User + Ordinateurs du domaines.

    Deux GPO avec boucle de rappel sur la même OU est-ce possible?

    Techniquement oui, mais c'est une source de problème. 

    lundi 19 mars 2018 12:27
  • Merci beaucoup tout fonctionne comme je le voulais.

    Jeremy HEBERT

    lundi 19 mars 2018 15:39