none
Application GPO UO RRS feed

  • Question

  • Bonjour,

    J'ai une UO qui contient mes nouveaux ordinateurs Windows 10.

    J'ai créé une GPO lié à cette UO et bloqué l'héritage afin que seule celle ci s'applique.

    Cependant, lorsque je fait un "gpresult /r" sur mon client Windows 10, il n'applique pas cette GPO mais une située plus haut dans l'arborescence.

    Au niveau du filtrage de sécurité, j'ai "utilisateurs authentifiés".

    J'avoue ne pas comprendre...

    Merci pour votre aide.


    • Modifié Stevous mercredi 9 octobre 2019 12:51
    mercredi 9 octobre 2019 12:48

Réponses

  • Vous utilisez des paramètres ordinateurs ou utilisateurs ? Si vous utilisez des paramètres ordinateurs la GPO doit être lié à une OU contenant des ordinateurs et pour des paramètres utisateurs sur une OU contenant des utilisateurs.

    Il n'est pas recommandé de bloquer l'héritage, généralement cela n'est pas utile si les éléments sont bien structuré.

    Si vous souhatiez filtré une GPO sur des utilisateurs, il faut déja la lié sur une OU contenant les utilisateurs. Ensuite vous pouvez supprimer utilisatateur authentifié et rajouter le groupe contenant les utilisateurs AINSI QUE le groupe ordinateurs du domaine. En effet le téléchargement de GPO y compris les paramètres de l'utilisateur se font avec le contexte de la machine depuis une mise à jour de 2016: http://www.pbarth.fr/node/186

    • Marqué comme réponse Stevous vendredi 11 octobre 2019 11:15
    jeudi 10 octobre 2019 19:39
  • oui users et computers ne sont pas des OU, il n'est pas possible de lier les GPO directement à ce container.

    Il est possible de modifier l'emplacement par défaut pour les utilisateur et pour les ordinateurs :

    http://www.pbarth.fr/node/252

    Les utilisateurs dans users héritent des GPO lié aux domaines.

    Pour que les paramètres utilisateurs dans la GPO soient traités il faut qu'elle soit lié à une OU contenant des users (sauf boucle de rappel http://www.pbarth.fr/node/99 ) .

    Dans une GPO avec des paramètres ordinateurs et utilisateurs, les deux éléments sont traités séparément. Pour l'ordinateur, au démarrage de la machine puis actualiser régulièrement. Pour l'utilisateur à l'ouverture de session.

    • Marqué comme réponse Stevous vendredi 11 octobre 2019 11:15
    vendredi 11 octobre 2019 09:28

Toutes les réponses

  • Bonjour,

    Vous avez bloqué l'héritage sur l'OU qui contient vos ordinateurs Windows 10, c'est parfait : seulement, cela bloque l'héritage uniquement pour les objets de cette OU.

    Dans quelle OU sont vos utilisateurs ? Le GPO s'applique certainement toujours à eux (selon le contenu)...

    Que cherchez vous à faire exactement?


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    WWW : http://snsv.consulting | Blog : http://sylvaincoudeville.fr

    "Aléatoire" et "Mystérieux" sont des qualificatifs inventés par l'Homme pour éviter de dire qu'il n'a pas trouvé la root cause du problème...

    mercredi 9 octobre 2019 12:59
  • Bonjour,

    Merci pour votre retour.

    Je suis en phase de préparation de la migration de mon parc.

    Je ne suis là que depuis un mois et l'ancien admin n'était pas un grand fan de Windows.

    Pour l'instant, je veux juste tester l'application de ma nouvelle GPO sur mes postes en test. 

    Tous mes utilisateurs sont dans Users. 

    J'ai bloqué l'héritage car je pensais que ça forcerait l'utilisation de la GPO. Il vaut mieux que je crée un groupe d'utilisateurs de test et que je remplace "Utilisateurs authentifiés" par ce groupe ?

    Merci d'avance.

    Cordialement

    mercredi 9 octobre 2019 13:21
  • Bonjour,

    Toucher à la sécurité des GPO n'est pas une bonne idée : en effet, pour s'appliquer convenablement, un GPO doit pouvoir être lu autant par le compte utilisateur que le compte ordinateur.

    Donc, "Utilisateurs authentifiés" doit être laissé.

    Si vous avez "des tests" à effectuer, le mieux est de créer des OU dédiées à ces tests :

    • Une OU pour les utilisateurs de test
    • Une OU pour les machines de test

    Ensuite, vous liez les GPO à tester sur ces OU, et placez les comptes ordinateurs / utilisateur dans leur OU respective.

    Ensuite, si vous voulez "démystifier" l'application / non-application de GPO, je vous conseille d'utiliser "l'assistant résultat de la stratégie de groupes" qui vous permet d'avoir un compte rendu des GP appliquées ou non, et des paramètres finaux appliqués à la machine et à l'utilisateur.


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    WWW : http://snsv.consulting | Blog : http://sylvaincoudeville.fr

    "Aléatoire" et "Mystérieux" sont des qualificatifs inventés par l'Homme pour éviter de dire qu'il n'a pas trouvé la root cause du problème...

    jeudi 10 octobre 2019 06:28
  • Bonjour,

    Pour répondre à votre première question, je ne vois qu'une possibilitée.

    Le fait de bloquer l'héritage bloque toutes les GPO A CONDITION qu'elle ne soient pas de type "Appliquer".

    Si les GPO parentes à cette OU ont un cadenas, elles s'appliqueront. Le seul moyen de ne pas les appliquer est de mettre un groupe / utilisateur avec un droit de refus dans l'onglet délégation.

    Cet article est plutôt complet sur cette partie : https://blogs.technet.microsoft.com/musings_of_a_technical_tam/2012/02/15/group-policy-basics-part-2-understanding-which-gpos-to-apply/


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    jeudi 10 octobre 2019 06:35
  • Vous utilisez des paramètres ordinateurs ou utilisateurs ? Si vous utilisez des paramètres ordinateurs la GPO doit être lié à une OU contenant des ordinateurs et pour des paramètres utisateurs sur une OU contenant des utilisateurs.

    Il n'est pas recommandé de bloquer l'héritage, généralement cela n'est pas utile si les éléments sont bien structuré.

    Si vous souhatiez filtré une GPO sur des utilisateurs, il faut déja la lié sur une OU contenant les utilisateurs. Ensuite vous pouvez supprimer utilisatateur authentifié et rajouter le groupe contenant les utilisateurs AINSI QUE le groupe ordinateurs du domaine. En effet le téléchargement de GPO y compris les paramètres de l'utilisateur se font avec le contexte de la machine depuis une mise à jour de 2016: http://www.pbarth.fr/node/186

    • Marqué comme réponse Stevous vendredi 11 octobre 2019 11:15
    jeudi 10 octobre 2019 19:39
  • Bonjour Stevous,

    Dans votre explication initiale, une chose m'a marqué : "Tous mes utilisateurs sont dans Users".

    En ce qui concerne l'AD, il faut savoir que ni users, ni Computers (Utilisateurs et ordinateurs en français) ne sont des Unités d'organisation. Ce sont des containers Builtin.

    - Et ?

    Aucune GPO ne s'applique sur ces containers builtin hors la default Domain Policy (stratégie de domaine par défaut).

    quelques liens :

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/2122fe4b-c9b4-47ab-b3b9-f114309c7b83/why-cant-i-assign-group-policy-to-quotcomputersquot-container

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc778890(v=ws.10)?redirectedfrom=MSDN

    https://servergeeks.wordpress.com/2012/10/26/containers-in-active-directory/

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/a59d2065-6f1c-4d9a-b61e-e4a4ca1a768d/cannot-apply-gpo-to-default-container

    Je suis certain que Philippe Barth, entre autres, réagirons à cette information.

    Olivier

    vendredi 11 octobre 2019 08:45
  • oui users et computers ne sont pas des OU, il n'est pas possible de lier les GPO directement à ce container.

    Il est possible de modifier l'emplacement par défaut pour les utilisateur et pour les ordinateurs :

    http://www.pbarth.fr/node/252

    Les utilisateurs dans users héritent des GPO lié aux domaines.

    Pour que les paramètres utilisateurs dans la GPO soient traités il faut qu'elle soit lié à une OU contenant des users (sauf boucle de rappel http://www.pbarth.fr/node/99 ) .

    Dans une GPO avec des paramètres ordinateurs et utilisateurs, les deux éléments sont traités séparément. Pour l'ordinateur, au démarrage de la machine puis actualiser régulièrement. Pour l'utilisateur à l'ouverture de session.

    • Marqué comme réponse Stevous vendredi 11 octobre 2019 11:15
    vendredi 11 octobre 2019 09:28
  • Bonjour à tous,

    Merci en tout cas pour vos retours.

    En effet, en créant une UO Utilisateurs et en liant ma GPO à cette UO, cette dernière s'applique bien pour les paramètres utilisateurs.




    • Modifié Stevous lundi 14 octobre 2019 07:14
    vendredi 11 octobre 2019 11:16
  • Faut dire que c'est grâce à toi, tu as donné suffisamment d'éléments pour que l'on puisse t'aider. C'est pas si courant.

    Olivier

    vendredi 11 octobre 2019 11:37