none
GPo

    Question

  • Bonjour,

    Je veux appliquer une GPo sur des utilisateurs qui sont répartis sur des différentes OU.

    Je voulais savoir si je peux appliquer une GPO sur un utilisateur sans l'appliquer sur son OU (je veux appliquer la GPO sur un utilisateur et pas sur tous qui appartiennent à une OU.

    Cordialement;

    mardi 7 novembre 2017 09:47

Réponses

  • Hajem,

    Tu n'as pas compris le fonctionnement des GPO : elles s'appliquent soient sur un objet utilisateur, soit sur un objet ordinateur. L'objet Ordinateur recevra les paramètres définis dans la section "computer setting" ; l'objet utilisateur recevra les paramètres définis dans la section "user settings". Partant de ce constat, la GPO doit impérativement être liée à une Unité d'Organisation pour que l'objet puisse la détecter.

    Vient ensuite une deuxième phase de filtrage de sécurité qui permet d'identifier à quels objets précisément la GPO doit être appliquée : par défaut, le filtrage est défini sur "authenticated users", c'est à dire tout objet ayant été préalablement authentifié par un contrôleur de domaine (ce qui inclus ordinateurs et utilisateurs!). 

    Lorsque l'on souhaite que la GPO ne s'applique qu'à certains objets (par exemple certains utilisateurs ici), on modifie le filtre de sécurité : idéalement, en utilisant un groupe contenant les utilisateurs concernés. Lorsque l'objet récupérera la GPO (pour un utilisateur, ce sera donc à l'ouverture de session principalement) et avant que celle-ci ne soit appliquée, le filtre de sécurité sera comparer aux adhérences de l'objet (ici, de quel groupe est membre l'utilisateur). Si le filtre est positif (l'utilisateur est membre du groupe), alors la GPO s'applique. Sinon, elle sera refusée et apparaitra dans la section "stratégie refusée" du GPRESULT. 

    Les bases étant posées, pour résoudre votre problème :

    1. Créer un groupe de sécurité de portée globale 
    2. Ajouter les utilisateurs devant recevoir la GPO au groupe
    3. Modifier la GPO en ajouter le groupe créé à l'étape 1 dans le filtre de sécurité et le groupe "ordinateurs du domaine" (cf le lien de Philippe plus haut qui explique très bien pourquoi)
    4. Lier la GPO sur la ou les OU contenant les utilisateurs

    A noter que vous pouvez lier la GPO à une OU supérieure qui engloberaient toutes les OU contenant les utilisateurs cibles : l'héritage de GPO l'appliquera également.



    mardi 7 novembre 2017 20:49
  • Vous pouvez utiliser le filtrage de sécurité sur une GPO pour limiter les personnes concernés.

    AVEC LES FILTRES LA GPO NE S'APPLIQUENT PAS A TOUS LE MONDE ... mais comme expliqué dans le lien précédent, il faut mettre les utilisateurs, ou un groupe utilisateur ET "ordinateurs du domaine" dans le filtre. Les utilisateurs doivent être présent dans l'OU ou dans une sous OU sur laquelle la GPO est liée.




    mardi 7 novembre 2017 20:57
    Modérateur

Toutes les réponses

  • Bonjour,

    Bien sûr, il suffit de paramétrer les options de sécurité de la GPO. Vous pouvez l'appliquer à des utilisateurs ou des groupes, ou des ordinateurs.

    Il faudra bien sûr que l'utilisateur ou l'ordinateur soit dans l'UO où s'applique la GPO.

    mardi 7 novembre 2017 10:05
  • Bonjour,

    Je veux appliquer cette GPO sur des utilisateurs répartis  ou appartiennent à  des OU différents (pas sur tous les utilisateurs d'OU)

    Cdt;

    mardi 7 novembre 2017 10:13
  • Vous pouvez utiliser le filtrage de sécurité sur une GPO pour limiter les personnes concernés. Le plus simple est de faire un groupe. Néanmoins une GPO est forcément lié à un objet conteneur comme une OU.

    Attention également aux mises à jour de juin 2016 qui modifie l'application des GPO. Il faut laisser en plus de l'utilisateur ou du groupe , le groupe ordinateurs du domaine.

    Voir :

    http://pbarth.fr/node/186

    mardi 7 novembre 2017 11:01
    Modérateur
  • Bonjour,

    J'ai crée un groupe dont le quel j'ai ajouté des utilisateurs , j'ai aplliqué la GPO sur le groupe , rien du nouveau , la GPO n'est pas appliquée , ci-dessous Gpresult /r:

    

    mardi 7 novembre 2017 13:55
  • La GP doit être appliquée sur une OU ou se trouve l'utilisateur et il faut configurer le filtrage.

    Les GPO ne s'appliquent JAMAIS sur des OU contenant des groupes .

    mardi 7 novembre 2017 15:17
    Modérateur
  • Bonjour,

    Je ne veux appliquer cette GPO sur tous les utilisateurs qui existent dans l'OU ,comment je fais ça ?

    Cordialement;

    mardi 7 novembre 2017 20:19
  • Hajem,

    Tu n'as pas compris le fonctionnement des GPO : elles s'appliquent soient sur un objet utilisateur, soit sur un objet ordinateur. L'objet Ordinateur recevra les paramètres définis dans la section "computer setting" ; l'objet utilisateur recevra les paramètres définis dans la section "user settings". Partant de ce constat, la GPO doit impérativement être liée à une Unité d'Organisation pour que l'objet puisse la détecter.

    Vient ensuite une deuxième phase de filtrage de sécurité qui permet d'identifier à quels objets précisément la GPO doit être appliquée : par défaut, le filtrage est défini sur "authenticated users", c'est à dire tout objet ayant été préalablement authentifié par un contrôleur de domaine (ce qui inclus ordinateurs et utilisateurs!). 

    Lorsque l'on souhaite que la GPO ne s'applique qu'à certains objets (par exemple certains utilisateurs ici), on modifie le filtre de sécurité : idéalement, en utilisant un groupe contenant les utilisateurs concernés. Lorsque l'objet récupérera la GPO (pour un utilisateur, ce sera donc à l'ouverture de session principalement) et avant que celle-ci ne soit appliquée, le filtre de sécurité sera comparer aux adhérences de l'objet (ici, de quel groupe est membre l'utilisateur). Si le filtre est positif (l'utilisateur est membre du groupe), alors la GPO s'applique. Sinon, elle sera refusée et apparaitra dans la section "stratégie refusée" du GPRESULT. 

    Les bases étant posées, pour résoudre votre problème :

    1. Créer un groupe de sécurité de portée globale 
    2. Ajouter les utilisateurs devant recevoir la GPO au groupe
    3. Modifier la GPO en ajouter le groupe créé à l'étape 1 dans le filtre de sécurité et le groupe "ordinateurs du domaine" (cf le lien de Philippe plus haut qui explique très bien pourquoi)
    4. Lier la GPO sur la ou les OU contenant les utilisateurs

    A noter que vous pouvez lier la GPO à une OU supérieure qui engloberaient toutes les OU contenant les utilisateurs cibles : l'héritage de GPO l'appliquera également.



    mardi 7 novembre 2017 20:49
  • Vous pouvez utiliser le filtrage de sécurité sur une GPO pour limiter les personnes concernés.

    AVEC LES FILTRES LA GPO NE S'APPLIQUENT PAS A TOUS LE MONDE ... mais comme expliqué dans le lien précédent, il faut mettre les utilisateurs, ou un groupe utilisateur ET "ordinateurs du domaine" dans le filtre. Les utilisateurs doivent être présent dans l'OU ou dans une sous OU sur laquelle la GPO est liée.




    mardi 7 novembre 2017 20:57
    Modérateur