none
Acces refusé gpresult RRS feed

  • Question

  • Bonjour,

    Cela fait plusieurs jours que lorsque je veux faire un gpresult j'ai un acces refusé que ce soit en admin ou utilisateur. Seul l'admin du domaine arrive à faire un gpresult mais pas pour vérifier les GPO sur un autre utilisateur (gpresult /user username /r) 

    En faisant des recherches, j'ai eu plusieurs choses faites (rsop.msc mais j'ai une erreur : "le composant logiciel enfichable RSoP n'a pas pu générer les données RSoP en raison de l'erreur indiquée ci-dessous détails : (aucun)" ).

    J'ai également fait un winmgmt /resetrepository mais rien ne change.

    Alors j'ai le soucis sur tous les postes...

    Pour info il y a deux AD en WS 2012 (principale secondaire) avec une réplication qui fonctionne.

    Une idée ? Une piste du moins ?

    Merci.

    mardi 7 décembre 2021 14:06

Toutes les réponses

  • Bonjour,

    Pouvez-vous confirmer si la démarche ci-dessous va marcher:

    • Connectez-vous avec une session domaine qui est membre du groupe administrateurs local au niveau de la machine.
    • Ouvrez CMD ou Powershell en tant qu'admin.
    • Tappez gpupdate /force, assurez-vous que l'application des GPOs se déroule avec succès.
    • Tappez gpresult /R

    Si le problème persiste, jetez un oeil sur l'observateur des événements pour plus de détails.


    Youssef Saad | Blog: https://youssef-saad.blogspot.com | Linkedin: linkedin.com/in/youssef-saad

    mercredi 8 décembre 2021 10:41
  • bonjour ouggar

    [...j'ai un acces refusé que ce soit en admin ou utilisateur...]

    On parle bien d'un compte qui dispose des privilèges administrateur sur la machine. Un simple utilisateur ne peut faire un gpresult que sur la section Utilisateur ... et encore que la sienne.

    Tout compte AD, membre du groupe Admins du domaine, est de fait membre du groupe Administrateurs (local) des machines (car le groupe Admins du domain est membre du groupe Administrateurs (local) ).

    Nota : Il n'y a pas de notion de DC principal et secondaire dans un domaine AD. Ce n'est pas un domaine NT4.

    Cordialement

    Olivier

    mercredi 8 décembre 2021 11:28
  • Bonjour, déjà merci pour ce retour.

    @SAAD Youssef

    j'ai fait les deux commandes, la première fonctionne sans soucis. Pour la deuxieme j'ai toujours le soucis.

    Il n'y a rien de particulier dans les log...

    @Oliv - TheFrog

    Oui on parles bien d'un admin de la machine. Sachant que les utilisateurs sont admin de leur poste (en cours de changement). il y a encore deux semaines je pouvais faire des gpresult sans soucis ils accédaient a leurs propre section utilisateur.

    Merci.



    • Modifié ouggar mercredi 8 décembre 2021 13:11
    mercredi 8 décembre 2021 13:07
  • Vous dîtes que ça marchait avant.

    Avez-vous effectué des changements récemment sur votre Infra AD ou PDT? Si oui, lesquels?


    Youssef Saad | Blog: https://youssef-saad.blogspot.com | Linkedin: linkedin.com/in/youssef-saad

    mercredi 8 décembre 2021 20:51
  • Bonjour,

    on a fait des modifications de droits au niveau DFS et supprimé des GPO qui n'avait rien à voir avec des droits ou autres. Je me trompe peut être mais le message d'erreur au niveau du RSOP.msc me laisse à croire que l'on a pas accès aux données RSOP. Mais je ne vois pas du tout où chercher pour ce genre de droits.

    Il se trouve qu'il ne se passe plus rien quand mon compte personnel fait un gpresult. Rien ne s'afffiche dans le terminal en mode admin.

    jeudi 9 décembre 2021 07:39
  • Sachant que les utilisateurs sont admin de leur poste (en cours de changement).

    ... et ce n'est pas une bonne chose, ... à moins de chercher les emmer... Tu sais ce qu'on dit "95% des pb se situent entre la chaise et le clavier".

    Je lis que tu te penches sur ce qui a été modifié il y a peu (DFS, GPO, ...) et ça c'est une bonne piste. Pour les GPOs, sur qu'il y a à creuser de ce côté, pour  le DFS (je présume que tu parles du DFS-N), je ne vois pas le rapport, cela m'échappe.

    Olivier

    jeudi 9 décembre 2021 08:07
  • Pour être honnête je viens d'arriver il y a 2 mois dans l'entreprise donc j’essaie de changer un peu les choses en mettant en place plus de sécurité, des outils etc. Mais je suis 100% d'accord avec ça les ECC (entre chaise et clavier) sont souvent le problème.

    il y aurait un moyen de retrouver les GPO supprimé ? Hors backup du serveur ?

    jeudi 9 décembre 2021 08:30
  • pas à ma connaissance.

    Je vois bien une solution, mais encore faut-il qu'elle ai été mise en oeuvre ... avant.

    Backup régulier des GPO (+ leur rapport au format Html pour une consultation aisée)

    Chaque backup dans un répertoire horodaté.

    Après, il est simple d'identifier une GPO supprimée.

    Pour les GPOs modifiés, c'est directement dessus (ou dans le rapport html) : date de création, date de modification.

    Olivier

    vendredi 10 décembre 2021 10:44
  • J'ai déjà eu cette idée mais ce n’était pas du tout mit en place.

    est-ce qu'il y a un dossier en local sur le poste client si par exemple il n'est pas sur le réseau le pc et je fais un gpresult il va forcement remonter les GPO appliqués non ?

    vendredi 10 décembre 2021 12:46
  • Les GPOs, stricto sensu ce sont des clés de registre.

    Localement sur un poste, tu peux faire un RSOP (resultant set of policies). Derrière chaque paramètre, cela te dit d'où il vient : Nom de la GPO ou Stratégie de Sécurité Locale.

    Si la machine n'est pas sur le réseau, elle ne se prend pas les GPOs. Seules les stratégies de sécurité locales s'appliquent. C'est pourquoi souvent pour les postes nomades, il est défini dans le master certains paramètres de sécurité (Stratégie de sécurité locale), afin que quand la machine est hors réseau de l'entreprise, certains éléments de configuration soient quand même appliqués.Quand la machine est sur le réseau et se prend les GPOs, c'est l'ordre d'application qui fait que les GPOs sont prioritaires.

    Olivier

    dimanche 12 décembre 2021 06:02
  • Bonjour,

    Je vois. De ce fait je ne suis toujours pas avancé dans le probleme.. je vais continuer de chercher si je trouves une solution je viendrais la publier pour les personnes qui auront également le problème.

    Merci.

    lundi 13 décembre 2021 07:40