none
GPO par ordinateurs RRS feed

  • Question

  • Bonjour,

    Je galère depuis ce matin avec une GPO par ordinateur qui ne veut pas s'appliquer.

    Ma config :

    2 DC en windows serveurs 2012 R2

    1pc en Windows 7 SP1

    1pc en Windows XP SP3

    J'ai créé une GPO qui doit exécuter un script.bat (qui va installer Office 2010) lorsque le pc s'éteint. La GPO s'applique par ordinateur.

    Sur le PC en Windows 7, aucun problème, lorsque je redémarre le PC, la GPO s'applique et office 2010 est bien installé.

    Sur le Pc en Windows XP, la GPO ne s'applique pas... Par contre si j'utilise une GPO par utilisateur, alors là, pas de problème la GPO s’exécute (bon par contre il me faut les droits admins pour que le script s’exécute, d'où la nécessité de passer par une GPO ordinateur)

    Rassurez moi, windows XP est bien capable de comprendre les GPO par ordinateur ? faut-il faire des manipulations en plus par rapport à un pc Win7 ?

    L'observateur d'événement reste muet ... et je tourne un peu en rond, d'où mon appel à l'aide !

    Le GPRESULT me montre bien que la GPO est appliqué sur le PC 

    Pour info:

    J'ai créé une OU, dedans j'y ai mis la GPO et ajouter les ordinateurs. Au niveau des droits sur la GPO j'ai mis Utilisateurs authentifiés (pour autorisé users+ordinateurs). 

    Merci beaucoup pour votre aide.


    mercredi 9 avril 2014 13:48

Réponses

  • donc c bien lié aux clients W XP.

    J'ai eu le cas un jour chez un client ou les machines XP n'arrivaient pas à récupérer des paramètres de stratégies de groupes, mais les DC étaient sous 2K3 SP2. avec l'install de l'extension côté client ça a résolu le problème. dans votre cas, il s'agit de W2K12, peut être que c'est un bug sur lequel microsoft n'as pas encore fait de comms.

    Pour ne pas perdre trop de temps, je vous préconise l'utilisation de la GPO sur les users (à l'ouverture de session) plutôt que sur les ordis.

    En attendant, je vous souhaite goodluck.

    A+ :).

    HK.


    Hicham KADIRI | IT Consultant /Director. MCP - MCSA - MCTS - MCSE - MCITP - MCT

    • Marqué comme réponse fabien12330 jeudi 10 avril 2014 18:20
    • Non marqué comme réponse fabien12330 vendredi 11 avril 2014 06:27
    • Marqué comme réponse Florin Ciuca vendredi 11 avril 2014 18:44
    jeudi 10 avril 2014 17:53
  • bon j'ai fini par trouvé ... il aura fallu de la persévérance.

    Dans mon script, j'utilisais \\Adresse IP du serveur de fichiers.

    Si j'utilise \\nondsnduserveur de fichier 

    Dans ce cas je suis authentifié en kerberos et le compte local system utilise le compte d'ordinateur stocké dans l'AD. Arf desfois je me demande pourquoi j'ai pas vu ça avant <boulet>

    • Marqué comme réponse fabien12330 vendredi 11 avril 2014 06:26
    jeudi 10 avril 2014 21:38

Toutes les réponses

  • de mémoire il faut installer une extension client (côté Windows XP).

    Je vous invite à lire cet article :

    http://technet.microsoft.com/en-us/library/cc731892(WS.10).aspx


    Hicham KADIRI | IT Consultant /Director. MCP - MCSA - MCTS - MCSE - MCITP - MCT

    jeudi 10 avril 2014 07:58
  • Bonjour,

    J'ai bien installé les extensions mais toujours rien niveau GPO par ordinateurs pour les Pc en XP

    J'ai remarqué que lorsque je redémarre le PC en winxp cela m'affiche la fenêtre exécution des script de fermeture de session pendant quelques secondes puis ça reboot sans rien installer. 

    J'ai l'impression que la GPO se lit bien, mais que le script.bat n'arrive pas à s’exécuter autrement que dans un contexte utilisateur. Qu'en pensez-vous ?

    jeudi 10 avril 2014 09:38
  • Bonjour,

    Peux-tu copier ici le contenu du .bat ?


    Blog

    jeudi 10 avril 2014 09:45
  • Bonjour,

    Pourriez-vous svp lancer la commande suivante depuis la machine XP posant pb.

    => d'abord, lancer cmd.exe en tant qu'admin, et saisir : gpresult /h c:\GPO_Result.htm

    => attachez le contenu de votre fichier htm ici

    Si les extensions sont présentes, il ne doit pas y avoir de problème niveau application de la GPO.

    Dans l'attente de votre retour.

    A+

    HK.


    Hicham KADIRI | IT Consultant /Director. MCP - MCSA - MCTS - MCSE - MCITP - MCT

    jeudi 10 avril 2014 10:05
  • biensur, voici le code (nota : le script fonctionne sur XP lorsqu'il est exécuter à la main ou lorsque j'utilise une GPO par utilisateur)

    @echo off

    echo test > "c:\program Files\Microsoft Office\Office14\WINWORD.EXE"
    if exist "c:\program Files\Microsoft Office\Office14\WINWORD.EXE" goto exit
    echo test > "c:\program Files (x86)\Microsoft Office\Office14\WINWORD.EXE"
    if exist "c:\program Files (x86)\Microsoft Office\Office14\WINWORD.EXE" goto exit

    echo force les programme a fermer
    tskill winword /a
    tskill outlook /a
    tskill excel /a
    echo mise a jour de office 2010 
    "\\serveurfichiersIP\Deploiement\Office2010\Office2010SP1x86\setup.exe" /adminfile "\\serveurfichiersIP\Deploiement\Office2010\Office2010SP1x86\Updates\CONFIG.MSP"

    :exit
    exit

    jeudi 10 avril 2014 11:29
  • le gpresult /h ne fonctionne pas. Du coup je post le gpresult tout cours ici :

    R‚sultats RSOP pour DOMAIN\testdsi sur TESTFP2010 : mode journalisation
    --------------------------------------------------------------------------

    Type de systŠme d'exploitationÿ:                     Microsoft Windows XP Professionnel
     Configuration du systŠme d'exploitation :                  Station de travail membre
    Version du systŠme d'exploitation :                  5.1.2600
    Nom du domaineÿ:DOMAIN
    Type de domaine :Windows 2000
    Nom du site :                   Premier-Site-par-defaut
    Profil itin‚rant :             
    Profil local :C:\Documents and Settings\testdsi
    Connexion via une liaison lente ? : Non


    ParamŠtre de l'ordinateur
    --------------------------
        CN=TESTFP2010,OU=TEST Migration Office 2010,OU=COMPUTERS_GPO,DC=DOMAIN,DC=ssdomain,DC=fr
        Heure de la derniŠre application de la strat‚gie de groupe : 10/04/2014 at 13:51:19
        Strat‚gie de groupe appliqu‚e depuis :      SRVDC1.DOMAIN.ssdomain.fr
        Seuil de liaison lente dans la strat‚gie de groupe :   500 kbps

        Objets Strat‚gie de groupe appliqu‚s
        -------------------------------------
            GPO_DOMAIN_USR
            GPO_DOMAIN_PC
            Deploiement Office 2010 SP1
            Default Domain Policy
            WSUS
            Deploiement OficeScan 10.6
            Deploiement OscInventory 2.1

        Les objets strat‚gie de groupe n'ont pas ‚t‚ appliqu‚s car ils ont ‚t‚ refus‚
        ------------------------------------------------------------------------------
            Strat‚gie de groupe locale
                Filtrage :  Non appliqu‚ (vide)

        L'ordinateur fait partie des groupes de s‚curit‚ suivants :
        -----------------------------------------------------------
            Administrateurs
            Tout le monde
            Utilisateurs
            RESEAU
            Utilisateurs authentifi‚s
            TESTFP2010$
            Ordinateurs du domaine
            
            Administrateurs DHCP
            DnsAdmins
            

    PARAMÔTRES UTILISATEURS
    ------------------------
        CN=testdsi,OU=DSI,DC=DOMAIN,DC=ssdomain,DC=fr
        Heure de la derniŠre application de la strat‚gie de groupe : 10/04/2014 at 13:51:19
        Strat‚gie de groupe appliqu‚e depuis :      SRVDC1.DOMAIN.ssdomain.fr
        Seuil de liaison lente dans la strat‚gie de groupe :   500 kbps

        Objets Strat‚gie de groupe appliqu‚s
        -------------------------------------
            GPO_DOMAIN_USR
            GPO_DOMAIN_PC
            GPO_STI_USR
            GPO_STI_PC
            IMP_LEXT620_DSI
            IMP_RICOH3001_DSI_BA2
            IMP_RICOH4001_DSI
            IMP_E360_QSE_TEST
            Default Domain Policy
            Deploiement OscInventory 2.1

        Les objets strat‚gie de groupe n'ont pas ‚t‚ appliqu‚s car ils ont ‚t‚ refus‚
        ------------------------------------------------------------------------------
            OCS_GPO
                Filtrage :  Non appliqu‚ (vide)

            IMP_HP5000_EXPLOIT_METHODE
                Filtrage :  Refus‚ (S‚curit‚)

            renald-tem-test-script-computer
                Filtrage :  Refus‚ (S‚curit‚)

            Deploiement OficeScan 10.6
                Filtrage :  Non appliqu‚ (vide)

            WSUS
                Filtrage :  Non appliqu‚ (vide)

            Strat‚gie de groupe locale
                Filtrage :  Non appliqu‚ (vide)

        L'utilisateur fait partie des groupes de s‚curit‚ suivants :
        ------------------------------------------------------------
            Utilisa. du domaine
            Tout le monde
            Proposer des applications d'assistance … distance
            Utilisateurs
            Administrateurs
            INTERACTIF
            Utilisateurs authentifi‚s
            LOCAL
            bon de commande
            Google Earth
            Rep_Exports
            Commun_exploit_meth
            Putty
            PSPad Editor
            Admins du domaine
            gantt project
            Hastest
            journal trafic
            Commun_sticom
            MP2
            Itunes
            STI_ADMIN
            LibreCad
            Rep_reclamations
            Spotify
            PDF XChange Viewer
            serveur group
            administrator
            FreeWgViewer
            Auto_Tao
            MEDV Admins
            Java 7u10
            adminpack
            MapInfo (x64)
            
            Groupe de r‚plication dont le mot de passe RODC est refus‚
            Administrateurs DHCP
            Proposer des applications d'assistance … distance
            DnsAdmins
            

    jeudi 10 avril 2014 12:08
  • La GPO "Deploiement Office 2010 SP1" est apparemment appliquée.

    Si vous liez la GPO à l'utilisateur (via un logon script) et que ça marche et que ce n'est pas le cas quand vous l'appliquez à l'ordinateur.

    Je pense plutôt que c'est un problème de droit.

    Pouvez vous me dire les droits que vous avez configuré /vérifiés en ce qui concerne les users authentifiés ?

    A+

    HK.


    Hicham KADIRI | IT Consultant /Director. MCP - MCSA - MCTS - MCSE - MCITP - MCT

    jeudi 10 avril 2014 12:31
  • Ok pour le problème de droit, mais ça ne devrait alors pas fonctionner sous Windows 7 alors non ?

    users authentifié à les droits NTFS sur le répertoire en question si c'est bien cela dont vous voulez savoir. J'ai mis contrôle total sur le dossier \\serveurfichiersIP\Deploiement\Office2010\Office2010SP1x86

    jeudi 10 avril 2014 12:49
  • non je parle plutôt des droits niveau AD, en fait le moteur de stratégie de groupe doit être capable de lire les objets AD de tes OU.

    lancez dsa.msc => affichage => fonctionnalités avancées

    faites un right click sur l'OU contenant vos objets computers (incluant les comptes d'ordi XP) ensuite propriétés et dites moi ce qui est configuré dans :

     --> onglet sécurité : utilisateurs authentifiés | qu'est ce qu'ils ont comme droit ?

    --> onglet stratégie de groupe : utilisateurs authentifiés | qu'est ce qu'ils ont comme droit ?

    A+

    HK.


    Hicham KADIRI | IT Consultant /Director. MCP - MCSA - MCTS - MCSE - MCITP - MCT

    jeudi 10 avril 2014 13:10
  • --> onglet sécurité : utilisateurs authentifiés | qu'est ce qu'ils ont comme droit ?

    Lire

    --> onglet stratégie de groupe : utilisateurs authentifiés | qu'est ce qu'ils ont comme droit ?

    J'ai pas l'onglet stratégie de groupe dans les propriétés de l'OU contenant les computers

    jeudi 10 avril 2014 13:18
  • ok très bien.

    une dernière question.

    qu'est ce qu'il remonte l'event viewer ?

    auriez-vous (par hasard) des logs ayant les ID : 1101 & 1030 ?

    A+

    HK.


    Hicham KADIRI | IT Consultant /Director. MCP - MCSA - MCTS - MCSE - MCITP - MCT

    jeudi 10 avril 2014 13:59
  • non pas de log ayant ces ID là. 

    jeudi 10 avril 2014 15:08
  • je crois que je vais faire le déploiement par une GPO utilisateur car je sèche vraiment là ... 

    Avec un script AutoIT pour l’exécution en tant qu'administrateur ça devrait le faire, et puis voilà 

    Sauf si vous avez une idée de dernière minute je prend ;) Merci en tout cas pour votre aide.

    jeudi 10 avril 2014 15:56
  • on va essayer de cerner le problème.

    Pour valider (ou pas) mon hypothèse.

    Je vous invite à essayer l'application de la GPO localement, en utilisant l'éditeur de stratégie de groupe local (gpedit).

    Donc, depuis une machine Windows XP, ouvrez une session en tant qu'utilisateur local faisant parti du groupe admin local (ou sinon utilisez le compte admin local), démarrer => exécuter => gpedit.msc => config ordinateur => paramètre Windows => Script (startup/shutdown) => ajoutez votre script.

    la par contre, il faut copier le contenu de votre MS Office à déployer localement (dans D:\DeploiementMSOffice2K10SP1 par exemple. et faites pointer le script dessus.

    Notez le résultat SVP et informez moi.

    On verra si c'est lié à l'application de la GPO du domaine (donc pb au niveau du moteur de S2G) ou à autre chose.

    On gardera l'application de la GPO Utilisateur comme plan Z.


    Hicham KADIRI | IT Consultant /Director. MCP - MCSA - MCTS - MCSE - MCITP - MCT

    jeudi 10 avril 2014 16:16
  • Alors le résultat est le même rien ne se passe, toujours pas d'installation de office 2010 lorsque je redémarre le PC :(

    mon script serait en cause ?

    jeudi 10 avril 2014 16:39
  • pour moi le script est OK.

    d'ailleurs vous dites que ça marche pour W7 n'est ce pas ?

    Pour valider à 100% la partie script, est ce qu'on peut tout simplement reformuler le script batch et mettre :

    Echo Programme d'installation MàJ Office 2010 
    "\\serveurfichiersIP\Deploiement\Office2010\Office2010SP1x86\setup.exe" /adminfile 

    "\\serveurfichiersIP\Deploiement\Office2010\Office2010SP1x86\Updates\CONFIG.MSP"

    Le compte avec lequel vous ouvrez une session doit avoir les droits suffisants sur votre share "\\serveurfichiersIP\Deploiement\Office2010\Office2010SP1x86\

    Faites un test et dites moi si le script arrive à déclencher l'install de l'update d'Office 2010.

    Pour cerner cette partie script.


    Hicham KADIRI | IT Consultant /Director. MCP - MCSA - MCTS - MCSE - MCITP - MCT

    jeudi 10 avril 2014 16:53
  • je le fait avec la GPO locale ?
    jeudi 10 avril 2014 16:54
  • Oui tout à fait.


    Hicham KADIRI | IT Consultant /Director. MCP - MCSA - MCTS - MCSE - MCITP - MCT

    jeudi 10 avril 2014 17:06
  • je l'ai fait avec GPO du domaine et GPO locale. Rien y fait ça fonctionne toujours pas.

    J'ai redirigé la sortie de la GPO dans un fichier texte pour voir si cela fonctionnait. J’obtiens bien le fichier texte sur le WinXP. Donc la GPO s'applique bien.

    Par contre dans le fichier texte je n'ai que le texte echo. Je n'obtient pas d'erreur.

    Et oui tout fonctionne parfaitement sur un W7. D'ailleurs le script fonctionne bien sur W7 et WXP avec une GPO Utilisateurs. 

    Pour le compte utilisateur, je suis pour le moment avec un compte admins du domaine, donc pas de soucis de ce point de vu là. 


    jeudi 10 avril 2014 17:13
  • Exécutez le script localement pour voir ce qui se passe.

    Ne double cliquez pas dessus, lancer cmd.exe en tant qu'admin, copiez le script dans d:\monScript.bat par exemple et depuis l'invite de commande, saisissez d:\monScript.bat

    Notez le résultat et tenez moi au courant.


    Hicham KADIRI | IT Consultant /Director. MCP - MCSA - MCTS - MCSE - MCITP - MCT

    jeudi 10 avril 2014 17:34
  • mon script s’exécute bien de cette manière.
    jeudi 10 avril 2014 17:48
  • donc c bien lié aux clients W XP.

    J'ai eu le cas un jour chez un client ou les machines XP n'arrivaient pas à récupérer des paramètres de stratégies de groupes, mais les DC étaient sous 2K3 SP2. avec l'install de l'extension côté client ça a résolu le problème. dans votre cas, il s'agit de W2K12, peut être que c'est un bug sur lequel microsoft n'as pas encore fait de comms.

    Pour ne pas perdre trop de temps, je vous préconise l'utilisation de la GPO sur les users (à l'ouverture de session) plutôt que sur les ordis.

    En attendant, je vous souhaite goodluck.

    A+ :).

    HK.


    Hicham KADIRI | IT Consultant /Director. MCP - MCSA - MCTS - MCSE - MCITP - MCT

    • Marqué comme réponse fabien12330 jeudi 10 avril 2014 18:20
    • Non marqué comme réponse fabien12330 vendredi 11 avril 2014 06:27
    • Marqué comme réponse Florin Ciuca vendredi 11 avril 2014 18:44
    jeudi 10 avril 2014 17:53
  • ok merci beaucoup en tout cas pour l'aide apportée et pour ce diagnostique. 

    Je vous en suis très reconnaissant. 

    Bonne soirée à vous.

    jeudi 10 avril 2014 18:01
  • je vous en prie :)

    PS : si vous pouvez ajouter un vote sur la ou les réponses que vous jugerez utiles :). merci par avance et bonne continuation.


    Hicham KADIRI | IT Consultant /Director. MCP - MCSA - MCTS - MCSE - MCITP - MCT

    jeudi 10 avril 2014 18:12
  • Je reviens sur ce problème. J'ai refait plein de tests et je m'aperçoit probablement d'un truc.

    J'ai l'impression que lorsque je configure une GPO par ordinateur elle ne fonctionne pas sous XP car la carte réseau n'est pas activée au moment où la GPO doit s’exécuter. D'où le fait que la GPO fonctionne avec une GPO par utilisateur puisque la carte réseau est montée lors de l'ouverture de session. Sous Win7 la gestion de la carte réseau est probablement différente.

    Il n'y a -t-il pas un paramètre qui permettrait d'éxécuter la GPO avec un temps de latence pour que la carte réseau ai le temps de monter ? ça me dit vaguement quelque chose mais je n'arrive pas à remettre la main desssus.

    jeudi 10 avril 2014 20:08
  • As-tu essayé de toucher :

    Computer Configuration\Administrative Templates\System\Logon\ Always wait for the network at computer startup and logon


    Blog

    jeudi 10 avril 2014 21:16
  • Bonsoir,

    Regarder ce lien :

    Comment faire pour modifier l'ordre de liaison de cartes réseau dans Windows XP et Windows 2000


    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    jeudi 10 avril 2014 21:20
    Modérateur
  • Yes j'ai essayé mais ça change pas grand chose.

    Par contre, je viens de rediriger les erreurs de mon script (j'ai galéré à trouver la commande :  >c:\log.txt 2>&1)

    Voici ce que j'obtient :

    accss refus..

    Tout est dit. Mais pourquoi c'est refusé. J'ai fini par mettre les autorisations sur tout le monde sur le dossier de partage "\\serveurfichiersIP\Deploiement\Office2010\Office2010SP1x86 mais rien y fait.


    jeudi 10 avril 2014 21:21
  • bon j'ai fini par trouvé ... il aura fallu de la persévérance.

    Dans mon script, j'utilisais \\Adresse IP du serveur de fichiers.

    Si j'utilise \\nondsnduserveur de fichier 

    Dans ce cas je suis authentifié en kerberos et le compte local system utilise le compte d'ordinateur stocké dans l'AD. Arf desfois je me demande pourquoi j'ai pas vu ça avant <boulet>

    • Marqué comme réponse fabien12330 vendredi 11 avril 2014 06:26
    jeudi 10 avril 2014 21:38