none
[GPO] Est-il possible de refuser toutes les GPO d'une OU pour un groupe ? RRS feed

  • Question

  • Bonjour,

    La problématique est la suivante, j'ai un groupe d'utilisateurs qui ne doit pas  appliquer les GPO pour un certain nombre de serveurs répartis  dans plusieurs OU.

    La méthode que je connais consiste à appliquer pour chaque GPO un deny pour le groupe. C'est lourd, fastidieux et surtout il ne faudrait pas que soit oubliée cette exception pour les futures GPO.

    Donc est-il possible de traiter cette problématique au niveau de l'OU, afin de ne pas appliquer toutes les GPO d'une OU ?

    Merci pour vos réponses !


    mercredi 19 avril 2017 20:15

Réponses

  • Bonjour,

    Une GPO étant lié à une OU, si vous souhaitez qu'elle ne s'applique pas à certains utilisateur/serveur présent dans cette ou, vous pouvez faire un groupe de sécurité contenant uniquement les utilisateurs/ordinateurs pour lesquels vous souhaitez que la GPO s'applique ou alors utiliser la solution de mettre ce que vous ne souhaitez pas en deny.

    Quand on en arrive la, c'est que l'architecture AD ne correspond peut être pas au besoin donc peut être qu'il serait nécessaire dans votre cas d'étudier une réorganisation des OU.


    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.


    mercredi 19 avril 2017 20:58
  • J'ajoute à la réponse de Matteu que la structure des OU est la pour s'adapter à la manière dont l'AD est gérer (GPO , déléguation de droits) et pas forcément l’organigramme de l'entreprise.

    Sinon pour des ordinateurs particuliers (poste libre service, serveur RDS) il est possible d'utiliser les boucles de rappel : http://pbarth.fr/node/99

     

    mercredi 19 avril 2017 22:21
    Modérateur
  • Bonjour,

    Je rejoins Philippe et mattieu31400 d'optimiser la structure des OU.

    Même powershell ne peut pas vous aider pour automatiser le refus d'un GPO sur un groupe de sécurité.

    La commande powershell Set-GPPermission ne permet pas de refuser l'application du GPO à un groupe de sécurité, voici les valeurs possible:

    Accepted values: None, GpoApply, GpoRead, GpoEdit, GpoEditDeleteModifySecurity, GpoCustom, WmiFilterEdit, WmiFilterFullControl, WmiFilterCustom, StarterGpoRead, StarterGpoEdit, StarterGpoFullControl, StarterGpoCustom, SomCreateWmiFilter, SomWmiFilterFullControl, SomCreateGpo, SomCreateStarterGpo, SomLogging, SomPlanning, SomLink

    Si vous refuser la GPO pour un utilisateur c'est la valeur GpoCustom qui s'affiche sans spécifier les détails:



    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    mercredi 19 avril 2017 23:11
    Modérateur
  • Bonjour,

    Merci pour vos réponses et vos suggestions. En l’occurrence c'est un cas est identifié et justifié.

    Je me permet de reformuler l'objectif, est-il possible à partir de faire une seule exception à partir d'une OU ou doit-on obligatoirement appliqué sur chaque GPO l'ACL.

    Merci

    Bonjour,

    La réponse est non parce que  ce droit est géré  au niveau de l'ACL de la GPO et pas au niveau de l'OU, pour cela il faut modifier l'ACL de chaque GPO.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    jeudi 20 avril 2017 07:05
    Modérateur

Toutes les réponses

  • Bonjour,

    Une GPO étant lié à une OU, si vous souhaitez qu'elle ne s'applique pas à certains utilisateur/serveur présent dans cette ou, vous pouvez faire un groupe de sécurité contenant uniquement les utilisateurs/ordinateurs pour lesquels vous souhaitez que la GPO s'applique ou alors utiliser la solution de mettre ce que vous ne souhaitez pas en deny.

    Quand on en arrive la, c'est que l'architecture AD ne correspond peut être pas au besoin donc peut être qu'il serait nécessaire dans votre cas d'étudier une réorganisation des OU.


    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.


    mercredi 19 avril 2017 20:58
  • J'ajoute à la réponse de Matteu que la structure des OU est la pour s'adapter à la manière dont l'AD est gérer (GPO , déléguation de droits) et pas forcément l’organigramme de l'entreprise.

    Sinon pour des ordinateurs particuliers (poste libre service, serveur RDS) il est possible d'utiliser les boucles de rappel : http://pbarth.fr/node/99

     

    mercredi 19 avril 2017 22:21
    Modérateur
  • Bonjour,

    Je rejoins Philippe et mattieu31400 d'optimiser la structure des OU.

    Même powershell ne peut pas vous aider pour automatiser le refus d'un GPO sur un groupe de sécurité.

    La commande powershell Set-GPPermission ne permet pas de refuser l'application du GPO à un groupe de sécurité, voici les valeurs possible:

    Accepted values: None, GpoApply, GpoRead, GpoEdit, GpoEditDeleteModifySecurity, GpoCustom, WmiFilterEdit, WmiFilterFullControl, WmiFilterCustom, StarterGpoRead, StarterGpoEdit, StarterGpoFullControl, StarterGpoCustom, SomCreateWmiFilter, SomWmiFilterFullControl, SomCreateGpo, SomCreateStarterGpo, SomLogging, SomPlanning, SomLink

    Si vous refuser la GPO pour un utilisateur c'est la valeur GpoCustom qui s'affiche sans spécifier les détails:



    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    mercredi 19 avril 2017 23:11
    Modérateur
  • Bonjour,

    Merci pour vos réponses et vos suggestions. En l’occurrence c'est un cas est identifié et justifié.

    Je me permet de reformuler l'objectif, est-il possible de faire une seule exception à partir d'une OU ou doit-on obligatoirement appliqué sur chaque GPO l'ACL d'exception.

    Merci



    jeudi 20 avril 2017 06:56
  • Bonjour,

    Merci pour vos réponses et vos suggestions. En l’occurrence c'est un cas est identifié et justifié.

    Je me permet de reformuler l'objectif, est-il possible à partir de faire une seule exception à partir d'une OU ou doit-on obligatoirement appliqué sur chaque GPO l'ACL.

    Merci

    Bonjour,

    La réponse est non parce que  ce droit est géré  au niveau de l'ACL de la GPO et pas au niveau de l'OU, pour cela il faut modifier l'ACL de chaque GPO.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    jeudi 20 avril 2017 07:05
    Modérateur
  • Bonjour,

    Merci pour vos réponses et vos suggestions. En l’occurrence c'est un cas est identifié et justifié.

    Je me permet de reformuler l'objectif, est-il possible à partir de faire une seule exception à partir d'une OU ou doit-on obligatoirement appliqué sur chaque GPO l'ACL.

    Merci

    Bonjour,

    La réponse est non parce que  ce droit est géré  au niveau de l'ACL de la GPO et pas au niveau de l'OU, pour cela il faut modifier l'ACL de chaque GPO.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    OK merci !

    jeudi 20 avril 2017 15:42