locked
Exclure un utilisateur ou un groupe de l'application d'une stratégie de groupe RRS feed

  • Discussion générale

  •  

    Pour exclure un utilisateur ou un groupe de l’application d’une stratégie de groupe, veuillez procéder comme suit :

    • Cliquez sur démarrer > exécuter, tapez gpmc.msc et cliquez sur OK

     

    Figure 1 : Interface de l’utilitaire Exécuter de Windows

     

    • Sélectionnez votre stratégie de groupe, cliquez sur Délégation puis cliquez sur Avancé…

    Figure 2 : Interface de gestion de stratégie de groupe

    • Cliquez sur Ajouter…

    Figure 3 : Interface de paramètres de sécurité pour test GPO


    •  Sélectionnez votre utilisateur / groupe puis cliquez sur OK

    Figure 4 : Interface de sélection d’un utilisateur, un ordinateur ou un groupe


    • Sélectionnez votre utilisateur / groupe et cochez Refuser pour l’autorisation Appliquer la stratégie de groupe

    Figure 5 : Interface de paramètres de sécurité pour test GPO

    • Lisez l’avertissement puis cliquez sur Oui

    Figure 6 : Interface de rappel de l’impact de l’utilisation des entrées Refuser

     

    Remarques :

    Il est recommandé d’utiliser des groupes au lieu des comptes d’utilisateur pour exclure l’application d’une stratégie de groupe.

    Si vous voulez appliquer une stratégie de groupe sur tout les utilisateurs / ordinateurs de votre domaine et exclure un groupe / utilisateur de l’application de cette dernière, veuillez créer un nouvel objet de stratégie de groupe et l’appliquer sur votre domaine en tenant compte des étapes mentionnées précédemment. Il n’est pas recommandé d’appliquer cette technique sur la stratégie par défaut appliquée sur un domaine Active Directory.

     

    Malek Ahmed

    Tunisie

    jeudi 17 mars 2011 23:19
    Auteur de réponse

Toutes les réponses

  • Il faut préciser que cela ne fonctionne que pour les stratégies "Utilisateurs" et non pour les stratégies "Ordinateurs"

    Il faut simplement que le user ai le droit en lecture sur la GPO pour qu'elle lui soit appliquées.

    mercredi 23 mars 2011 13:11
  • Hello Univ-Nantes,

    il est évident qui si vous procédez comme je l'ai déjà mentionné et vous appliquez cette procédure sur un utilisateur, les "Users group policy settings" ne seront pas appliqués et les "Computer group policy settings" seront appliqués.

    Les "Users group policy settings" sont appliqués sur les utilisateurs.

    Les "Computers group policy settings" sont appliqués sur les ordinateurs.

    => Si vous faites l'exclusion d'un utilisateur de l'application d'une stratégie de groupe, les "Computer group policy settings" vont être appliqués sur les ordinateurs vu que vous n'avez pas fait leur exclusion de l'application de cette stratégie de groupe.

    Si vous voulez que les "Computers group policy settings" et les "User group policy settings" ne seront pas appliqués sur les ordinateurs / utilisateurs d'une OU (Organizational Unit), vous pouvez procéder comme suit:

    • Créer un groupe de sécurité global
    • Faites des utilisateurs / ordinateurs cibles membres de ce groupe
    • Faites l'exclusion de l'application de votre stratégie d'être appliquée sur ce groupe

    En procédant comme je l'ai mentionné, les "Computers group policy settings" et les "User group policy settings" ne seront pas appliqués sur les utilisateurs / ordinateurs membres de ce groupe.

    Vous pouvez également ajouter le compte d'ordinateur directement et faire un "deny" pour l'application de cette stratégie.

    Vous avez mentionné qu'il faut simplement que les user a le droit en lecture sur la GPO pour qu'elle soit appliquée. Pour que cette "group policy" ne soit pas appliqué vous pouvez procéder par deux façon:

    • Faire un refus explicite pour la permission "Read"
    • Faire un refus explicite pour la permission "Apply group policy"

    Un refus implicite de la permission "Read" ou "apply group policy" n'induit pas l'exclusion de l'application de la stratégie de groupe sur un utilisateur vu que le groupe "Authenticated Users" dispose du droit "Read" et "Apply group policy".

    Techniquement, on peux avoir plusieurs solutions pour aboutir au même résultat.

     


    This posting is provided "AS IS" with no warranties or guarantees , and confers no rights.

    Microsoft Student Partner
    Microsoft Certified Professional
    Microsoft Certified Systems Administrator: Security
    Microsoft Certified Systems Engineer: Security
    Microsoft Certified Technology Specialist: Windows Server 2008 Active Directory, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Network Infrastructure, Configuration

     

     




    mercredi 23 mars 2011 13:46
    Auteur de réponse