Meilleur auteur de réponses
[GPO] Est-il possible de refuser toutes les GPO d'une OU pour un groupe ?

Question
-
Bonjour,
La problématique est la suivante, j'ai un groupe d'utilisateurs qui ne doit pas appliquer les GPO pour un certain nombre de serveurs répartis dans plusieurs OU.
La méthode que je connais consiste à appliquer pour chaque GPO un deny pour le groupe. C'est lourd, fastidieux et surtout il ne faudrait pas que soit oubliée cette exception pour les futures GPO.
Donc est-il possible de traiter cette problématique au niveau de l'OU, afin de ne pas appliquer toutes les GPO d'une OU ?
Merci pour vos réponses !
- Modifié Stéphane LOPEZ jeudi 20 avril 2017 06:42
Réponses
-
Bonjour,
Une GPO étant lié à une OU, si vous souhaitez qu'elle ne s'applique pas à certains utilisateur/serveur présent dans cette ou, vous pouvez faire un groupe de sécurité contenant uniquement les utilisateurs/ordinateurs pour lesquels vous souhaitez que la GPO s'applique ou alors utiliser la solution de mettre ce que vous ne souhaitez pas en deny.
Quand on en arrive la, c'est que l'architecture AD ne correspond peut être pas au besoin donc peut être qu'il serait nécessaire dans votre cas d'étudier une réorganisation des OU.
Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.
- Modifié matteu31400 mercredi 19 avril 2017 20:58
- Proposé comme réponse Thameur BOURBITAMVP, Moderator mercredi 19 avril 2017 23:16
- Marqué comme réponse Thameur BOURBITAMVP, Moderator jeudi 20 avril 2017 17:16
-
J'ajoute à la réponse de Matteu que la structure des OU est la pour s'adapter à la manière dont l'AD est gérer (GPO , déléguation de droits) et pas forcément l’organigramme de l'entreprise.
Sinon pour des ordinateurs particuliers (poste libre service, serveur RDS) il est possible d'utiliser les boucles de rappel : http://pbarth.fr/node/99
- Proposé comme réponse Thameur BOURBITAMVP, Moderator mercredi 19 avril 2017 23:16
- Marqué comme réponse Thameur BOURBITAMVP, Moderator jeudi 20 avril 2017 17:16
-
Bonjour,
Je rejoins Philippe et mattieu31400 d'optimiser la structure des OU.
Même powershell ne peut pas vous aider pour automatiser le refus d'un GPO sur un groupe de sécurité.
La commande powershell Set-GPPermission ne permet pas de refuser l'application du GPO à un groupe de sécurité, voici les valeurs possible:
Accepted values: None, GpoApply, GpoRead, GpoEdit, GpoEditDeleteModifySecurity, GpoCustom, WmiFilterEdit, WmiFilterFullControl, WmiFilterCustom, StarterGpoRead, StarterGpoEdit, StarterGpoFullControl, StarterGpoCustom, SomCreateWmiFilter, SomWmiFilterFullControl, SomCreateGpo, SomCreateStarterGpo, SomLogging, SomPlanning, SomLink
Si vous refuser la GPO pour un utilisateur c'est la valeur GpoCustom qui s'affiche sans spécifier les détails:
Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/
- Modifié Thameur BOURBITAMVP, Moderator mercredi 19 avril 2017 23:17
- Marqué comme réponse Thameur BOURBITAMVP, Moderator jeudi 20 avril 2017 17:16
-
Bonjour,
Merci pour vos réponses et vos suggestions. En l’occurrence c'est un cas est identifié et justifié.
Je me permet de reformuler l'objectif, est-il possible à partir de faire une seule exception à partir d'une OU ou doit-on obligatoirement appliqué sur chaque GPO l'ACL.
Merci
Bonjour,
La réponse est non parce que ce droit est géré au niveau de l'ACL de la GPO et pas au niveau de l'OU, pour cela il faut modifier l'ACL de chaque GPO.
Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/
- Modifié Thameur BOURBITAMVP, Moderator jeudi 20 avril 2017 07:05
- Marqué comme réponse Stéphane LOPEZ jeudi 20 avril 2017 15:42
Toutes les réponses
-
Bonjour,
Une GPO étant lié à une OU, si vous souhaitez qu'elle ne s'applique pas à certains utilisateur/serveur présent dans cette ou, vous pouvez faire un groupe de sécurité contenant uniquement les utilisateurs/ordinateurs pour lesquels vous souhaitez que la GPO s'applique ou alors utiliser la solution de mettre ce que vous ne souhaitez pas en deny.
Quand on en arrive la, c'est que l'architecture AD ne correspond peut être pas au besoin donc peut être qu'il serait nécessaire dans votre cas d'étudier une réorganisation des OU.
Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.
- Modifié matteu31400 mercredi 19 avril 2017 20:58
- Proposé comme réponse Thameur BOURBITAMVP, Moderator mercredi 19 avril 2017 23:16
- Marqué comme réponse Thameur BOURBITAMVP, Moderator jeudi 20 avril 2017 17:16
-
J'ajoute à la réponse de Matteu que la structure des OU est la pour s'adapter à la manière dont l'AD est gérer (GPO , déléguation de droits) et pas forcément l’organigramme de l'entreprise.
Sinon pour des ordinateurs particuliers (poste libre service, serveur RDS) il est possible d'utiliser les boucles de rappel : http://pbarth.fr/node/99
- Proposé comme réponse Thameur BOURBITAMVP, Moderator mercredi 19 avril 2017 23:16
- Marqué comme réponse Thameur BOURBITAMVP, Moderator jeudi 20 avril 2017 17:16
-
Bonjour,
Je rejoins Philippe et mattieu31400 d'optimiser la structure des OU.
Même powershell ne peut pas vous aider pour automatiser le refus d'un GPO sur un groupe de sécurité.
La commande powershell Set-GPPermission ne permet pas de refuser l'application du GPO à un groupe de sécurité, voici les valeurs possible:
Accepted values: None, GpoApply, GpoRead, GpoEdit, GpoEditDeleteModifySecurity, GpoCustom, WmiFilterEdit, WmiFilterFullControl, WmiFilterCustom, StarterGpoRead, StarterGpoEdit, StarterGpoFullControl, StarterGpoCustom, SomCreateWmiFilter, SomWmiFilterFullControl, SomCreateGpo, SomCreateStarterGpo, SomLogging, SomPlanning, SomLink
Si vous refuser la GPO pour un utilisateur c'est la valeur GpoCustom qui s'affiche sans spécifier les détails:
Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/
- Modifié Thameur BOURBITAMVP, Moderator mercredi 19 avril 2017 23:17
- Marqué comme réponse Thameur BOURBITAMVP, Moderator jeudi 20 avril 2017 17:16
-
Bonjour,
Merci pour vos réponses et vos suggestions. En l’occurrence c'est un cas est identifié et justifié.
Je me permet de reformuler l'objectif, est-il possible de faire une seule exception à partir d'une OU ou doit-on obligatoirement appliqué sur chaque GPO l'ACL d'exception.
Merci
- Modifié Stéphane LOPEZ jeudi 20 avril 2017 07:04
-
Bonjour,
Merci pour vos réponses et vos suggestions. En l’occurrence c'est un cas est identifié et justifié.
Je me permet de reformuler l'objectif, est-il possible à partir de faire une seule exception à partir d'une OU ou doit-on obligatoirement appliqué sur chaque GPO l'ACL.
Merci
Bonjour,
La réponse est non parce que ce droit est géré au niveau de l'ACL de la GPO et pas au niveau de l'OU, pour cela il faut modifier l'ACL de chaque GPO.
Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/
- Modifié Thameur BOURBITAMVP, Moderator jeudi 20 avril 2017 07:05
- Marqué comme réponse Stéphane LOPEZ jeudi 20 avril 2017 15:42
-
Bonjour,
Merci pour vos réponses et vos suggestions. En l’occurrence c'est un cas est identifié et justifié.
Je me permet de reformuler l'objectif, est-il possible à partir de faire une seule exception à partir d'une OU ou doit-on obligatoirement appliqué sur chaque GPO l'ACL.
Merci
Bonjour,
La réponse est non parce que ce droit est géré au niveau de l'ACL de la GPO et pas au niveau de l'OU, pour cela il faut modifier l'ACL de chaque GPO.
Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/
OK merci !