none
GPO inter-domaine RRS feed

 > 

  • Question

  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,
    Mon infrastructure se compose d'un domaine parent (root.lan) sur lequel je crée et j'applique des GPO.
    La forêt contient 33 domaines enfant de root.lan (dom1.root.lan, dom2.root.lan, etc...)
    J'applique sans problème une GPO de root.lan sur dom1.root.lan.
    Mais lorsque je vais dans sur dom1.root.lan dans C:\Windows\SYSVOL\domain\policies, je ne retrouve pas le SID de la GPO liée de root.lan.

    Tout porte à croire que la GPO n'est pas synchronisée sur le domaine enfant.
    Or, chacun de ces domaines enfants reçoit un très grand nombre de connexion, mon réseau ne tiendrait pas la charge si a chaque connexion sur un domaine enfant, une requête était envoyée au domaine parent.

    De plus, la GPO étant amenée à évoluer fréquement, il n'est pas envisageable d'en faire une copie manuelle, à chaque modification, sur tous les domaines enfants.

    J'ai imaginé utiliser DFS pour synchroniser mes GPO entre-elles mais le dossier C:\Windows\SYSVOL\domain est déjà configuré dans DFS, il m'est impossible de créer un nouveau groupe de réplication sur un sous-dossier de C:\Windows\SYSVOL\domain.

    Pour résumer, ma question est :
    Quelles sont les bonnes pratiques pour synchroniser des GPO inter-domaine ?

    mercredi 24 septembre 2014 06:36
    |

Réponses

  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    J'applique sans problème une GPO de root.lan sur dom1.root.lan.

    Vous pouvez configurer une GPO dans le domaine enfant depuis un DC du domaine parent avec un compte admin de l'enteprise mais  la limite des GPO est le domaine.

    il n'y a pas de synchro des GPO d'un domaine parent à un domaine enfant.

    Vous ne pouvez pas juste copiez des dossiers representant une GPO du partage sysvol ...

    Chaque domaine a son propre sysvol et netlogon et ses propres GPO...

    On peut copier des GPO d'un domaine à l'autre un assistant s'ouvre mais il n'y a pas de bonnes pratiques pour synchroniser.

    Pourquoi crée 33 domaines enfants si c'est pour appliquer les mêmes stratégies ?

    mercredi 24 septembre 2014 16:53
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    Merci pour vos réponses.

    Chacun de ces domaines enfant est un collège du département.
    Nous souhaitons mettre en place une administration simplifiée de ces GPO pour l'ensemble de ces collèges.
    Malheureusement, le nombre d'utilisateurs est trop important pour pouvoir tout mettre dans un seul domaine sans avoir de doublons. De plus, nous souhaitons que chaque collège conserve son autonomie.

    Si aucune solution déjà implémentée n'existe, je pense faire une tâche planifiée qui recopie, via script, la GPO sur l'ensemble des domaines.
    Cette page semble pouvoir répondre à mon besoin : http://msdn.microsoft.com/en-us/library/aa814151%28v=vs.85%29.aspx

    Mais avant tout développement, j'aurais aimé m'assurer que je m'oriente vers la meilleure solution.

    Encore merci pour le temps que vous m'avez accordé.

    Thom.
    jeudi 25 septembre 2014 06:33
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    voir powershell

    http://technet.microsoft.com/en-us/library/hh967476.aspx

    jeudi 25 septembre 2014 08:46
    |
    Modérateur

Toutes les réponses