Meilleur auteur de réponses
GPo

Question
-
Bonjour,
Je veux appliquer une GPo sur des utilisateurs qui sont répartis sur des différentes OU.
Je voulais savoir si je peux appliquer une GPO sur un utilisateur sans l'appliquer sur son OU (je veux appliquer la GPO sur un utilisateur et pas sur tous qui appartiennent à une OU.
Cordialement;
Réponses
-
Hajem,
Tu n'as pas compris le fonctionnement des GPO : elles s'appliquent soient sur un objet utilisateur, soit sur un objet ordinateur. L'objet Ordinateur recevra les paramètres définis dans la section "computer setting" ; l'objet utilisateur recevra les paramètres définis dans la section "user settings". Partant de ce constat, la GPO doit impérativement être liée à une Unité d'Organisation pour que l'objet puisse la détecter.
Vient ensuite une deuxième phase de filtrage de sécurité qui permet d'identifier à quels objets précisément la GPO doit être appliquée : par défaut, le filtrage est défini sur "authenticated users", c'est à dire tout objet ayant été préalablement authentifié par un contrôleur de domaine (ce qui inclus ordinateurs et utilisateurs!).
Lorsque l'on souhaite que la GPO ne s'applique qu'à certains objets (par exemple certains utilisateurs ici), on modifie le filtre de sécurité : idéalement, en utilisant un groupe contenant les utilisateurs concernés. Lorsque l'objet récupérera la GPO (pour un utilisateur, ce sera donc à l'ouverture de session principalement) et avant que celle-ci ne soit appliquée, le filtre de sécurité sera comparer aux adhérences de l'objet (ici, de quel groupe est membre l'utilisateur). Si le filtre est positif (l'utilisateur est membre du groupe), alors la GPO s'applique. Sinon, elle sera refusée et apparaitra dans la section "stratégie refusée" du GPRESULT.
Les bases étant posées, pour résoudre votre problème :
- Créer un groupe de sécurité de portée globale
- Ajouter les utilisateurs devant recevoir la GPO au groupe
- Modifier la GPO en ajouter le groupe créé à l'étape 1 dans le filtre de sécurité et le groupe "ordinateurs du domaine" (cf le lien de Philippe plus haut qui explique très bien pourquoi)
- Lier la GPO sur la ou les OU contenant les utilisateurs
A noter que vous pouvez lier la GPO à une OU supérieure qui engloberaient toutes les OU contenant les utilisateurs cibles : l'héritage de GPO l'appliquera également.
- Modifié Loïc Veirman mardi 7 novembre 2017 20:51
- Marqué comme réponse Hajjem Mohamed mercredi 8 novembre 2017 09:51
-
Vous pouvez utiliser le filtrage de sécurité sur une GPO pour limiter les personnes concernés.
AVEC LES FILTRES LA GPO NE S'APPLIQUENT PAS A TOUS LE MONDE ... mais comme expliqué dans le lien précédent, il faut mettre les utilisateurs, ou un groupe utilisateur ET "ordinateurs du domaine" dans le filtre. Les utilisateurs doivent être présent dans l'OU ou dans une sous OU sur laquelle la GPO est liée.
- Modifié Philippe BarthMVP, Moderator mardi 7 novembre 2017 21:01
- Marqué comme réponse Hajjem Mohamed mercredi 8 novembre 2017 09:51
Toutes les réponses
-
-
-
Vous pouvez utiliser le filtrage de sécurité sur une GPO pour limiter les personnes concernés. Le plus simple est de faire un groupe. Néanmoins une GPO est forcément lié à un objet conteneur comme une OU.
Attention également aux mises à jour de juin 2016 qui modifie l'application des GPO. Il faut laisser en plus de l'utilisateur ou du groupe , le groupe ordinateurs du domaine.
Voir :
-
-
-
-
Hajem,
Tu n'as pas compris le fonctionnement des GPO : elles s'appliquent soient sur un objet utilisateur, soit sur un objet ordinateur. L'objet Ordinateur recevra les paramètres définis dans la section "computer setting" ; l'objet utilisateur recevra les paramètres définis dans la section "user settings". Partant de ce constat, la GPO doit impérativement être liée à une Unité d'Organisation pour que l'objet puisse la détecter.
Vient ensuite une deuxième phase de filtrage de sécurité qui permet d'identifier à quels objets précisément la GPO doit être appliquée : par défaut, le filtrage est défini sur "authenticated users", c'est à dire tout objet ayant été préalablement authentifié par un contrôleur de domaine (ce qui inclus ordinateurs et utilisateurs!).
Lorsque l'on souhaite que la GPO ne s'applique qu'à certains objets (par exemple certains utilisateurs ici), on modifie le filtre de sécurité : idéalement, en utilisant un groupe contenant les utilisateurs concernés. Lorsque l'objet récupérera la GPO (pour un utilisateur, ce sera donc à l'ouverture de session principalement) et avant que celle-ci ne soit appliquée, le filtre de sécurité sera comparer aux adhérences de l'objet (ici, de quel groupe est membre l'utilisateur). Si le filtre est positif (l'utilisateur est membre du groupe), alors la GPO s'applique. Sinon, elle sera refusée et apparaitra dans la section "stratégie refusée" du GPRESULT.
Les bases étant posées, pour résoudre votre problème :
- Créer un groupe de sécurité de portée globale
- Ajouter les utilisateurs devant recevoir la GPO au groupe
- Modifier la GPO en ajouter le groupe créé à l'étape 1 dans le filtre de sécurité et le groupe "ordinateurs du domaine" (cf le lien de Philippe plus haut qui explique très bien pourquoi)
- Lier la GPO sur la ou les OU contenant les utilisateurs
A noter que vous pouvez lier la GPO à une OU supérieure qui engloberaient toutes les OU contenant les utilisateurs cibles : l'héritage de GPO l'appliquera également.
- Modifié Loïc Veirman mardi 7 novembre 2017 20:51
- Marqué comme réponse Hajjem Mohamed mercredi 8 novembre 2017 09:51
-
Vous pouvez utiliser le filtrage de sécurité sur une GPO pour limiter les personnes concernés.
AVEC LES FILTRES LA GPO NE S'APPLIQUENT PAS A TOUS LE MONDE ... mais comme expliqué dans le lien précédent, il faut mettre les utilisateurs, ou un groupe utilisateur ET "ordinateurs du domaine" dans le filtre. Les utilisateurs doivent être présent dans l'OU ou dans une sous OU sur laquelle la GPO est liée.
- Modifié Philippe BarthMVP, Moderator mardi 7 novembre 2017 21:01
- Marqué comme réponse Hajjem Mohamed mercredi 8 novembre 2017 09:51