locked
GPO qui ne s'applique pas (AD 2008) RRS feed

  • Question

  • Bonjour,

    j'avais créé une GPO afin d'effectuer les update Windows des postes clients via notre serveur WSUS plutôt que via internet (lors de l'upgrade des postes Seven vers 10), et ce pour tous les postes; cela fonctionne.

    Cependant je souhaitais déployer cette GPO uniquement pour les postes Windows 10.

    J'ai donc modifier la GPO existante, supprimé dans filtre de sécurité "utilisateurs authentifiés", créé dans l'AD 2 groupe de sécurité contenant les postes update_via_WSUS pour l'un les postes update_via_internet pour l'autre.

    J'ai créé une nouvelle GPO et indiqué dans filtre de sécurité les groupes précédemment créés correspondant pour chaque GPO.

    Mais, lorsque je teste sur un des postes, les 2 GPO se trouvent dans la rubrique "Objet GPO refusés" "inaccessible.

    Pourquoi mes GPO ne s'appliquent-elles pas aux ordinateurs concernés ?

    Merci.

    Cdlt.

    Fred.

    lundi 23 juillet 2018 15:46

Réponses

  • Bonjour,

    verifier les points suivants:


    -VITESSE
    Les GPO prenne en compte la vitesse du lien sur lesquelle elle sont appliqué est le :
    Seuil de liaison lente dans la stratégie de groupe de 500 kbps.
    En dessous certaines s'active d'autre non.
    Voici les domaines de strategie qui ne sont pas traités lorsqu'une liaison lente est detecte :
    *quotas de disque
    *recuperation EFs
    *redirection de dossier
    *les scriptes
    *Installation de logiciel

    Vous pouvez desactivez la detection de liaison lente a cette endroit
    conf ordi / modele admin / systeme /strat de groupe / configurer la detection d'une liaison lente etc..
    Activer la et positionner l'option vitesse de connexion à 0.

    Remarque
    la strategie de securite sera toujours applique.
    Par defaut celle ci est actualise toutes les 16h.

    -LOGON SCRIPT
    Par défaut les scripts  de logon s’exécutent après un délai de 5 minutes
    Il faut juste penser à activer ce paramètre et passer le délai à 0 pour gagner les 5 précieuses minutes!
    Computer Configuration > Administrative Templates > System > Group Policy > Configure Logon Script Delay

    -INTERVALLE
    Les GPO peuvent mettre entre 60 à 90 minutes pour se répliquer sur les clients.
     Il existe une commande qui permet de forcer la réplication, dans l’invite de commande :
    gpupdate /force

    Pour accelerer tu peux :
    -Definir l'intervalle d'actualisation sur la frequence de l'application de la GPO.
    https://www.it-connect.fr/definir-le-temps-dactualisation-des-gpo/

    -TYPE
    Les GPO peuvent être pour Utilisateur ou pour Ordinateur.
    exemple Si vous voulez impacter les utilisateurs verifier que la GPO choisit s'applique bien au utilisateurs et non aux ordinateurs.

    -ORDRE
    Du moins prioritaire au plus prioritaire :
    Stratégie de sécurité locale
    Stratégie de groupe du domaine lié à un site
    Stratégie de domaine lié au domaine
    Stratégie de l'unité d'organisation parent
    Stratégie de l'unité d'organisation enfant

    -CONFLIT
    les parametres de configuration ordinateur sont traite lorsque l'ordinateur demarre
    Les parametres de l'utilisateur sont traite lorsque l'utilisateur ouvre la session
    Par defaut en cas de conflit entre les deux c'est ceux de l'ordinateur qui l'emporte.

    -BOUCLE
    Il existe plusieurs raisons pour utiliser le traitement par boucle de rappel :
    - vous voulez fixer des paramètres que sur certaines machines (ordinateur) et ces paramètres n'existent pas dans la partie Ordinateur
    - vous voulez fixer des paramètres que sur des serveurs de bureau à distance (ordianteur) mais vous ne voulez pas que la session locale sur un poste physique soit impacté par ce paramètre.

    Configuration ordinateur\Stratégies\Modèles d’administration\Système\Stratégie de groupe
    Configurer le mode de traitement par bouclage de la stratégie de groupe utilisateur :  Activé
    Mode : Remplacer

    -EMPLACEMENT
    Vérifié que le compte utilisateur et/ou l'ordinateur est bien dans l'OU ou une OU descendante de celle ou la GPO est liée.

    -GPP
    Utiliser de preference les GPP pour deployer les imprimantes et le lecteur reseaux
    https://blogs.technet.microsoft.com/askds/2009/01/07/using-group-policy-preferences-to-map-drives-based-on-group-membership/

    -CONFLIT DNS
    Si cela fonctionne seulement par moment, l'une des causes possibles du problème est peut-être un problème d'entrée DNS, si tu as deux entrée DNS avec le même nom et plusieurs IP.

    -CHANGEMENT 2016
    La manière d'appliquer les GPO a change depuis une mise à jour d'avril 2016.
    https://support.microsoft.com/fr-fr/help/3163622/ms16-072-security-update-for-group-policy-june-14-2016

    Les GPO sont chargés avec le compte de la machine, y compris pour les paramètres utilisateurs.

    Solution au niveau du FILTRAGE DE SECURTIE
    *Si vous n'avez pas besoin de filtrage sur les groupes, il suffit de rajouter le groupe  « utilisateur authentifié»
    car utilisateur authentifié contient les utilisateurs et les ordinateurs.
    *Si vous souhaitez filtrer les utilisateurs il faut ajouter le groupe de sécurité « ordinateurs du domaine »


    "Marquer comme réponse" les réponses qui ont résolu votre problème

    lundi 23 juillet 2018 19:41