none
les objets stratégie de groupe n'ont pas été appliqués car ils ont été refusés RRS feed

  • Question

  • Bonjour,

    Je viens de remarquer que mes GPO(s) ne s'appliquent pas sur les ordinateurs, lorsque je fais un gpresult /r sur n'inporte quel poste, ça indique que ma stratégie a été refusée voici le message. "les objets stratégie de groupe n'ont pas été appliqués car ils ont été refusés".

    j'ai fais un rsop.msc aussi, il n'indique aucun problème.

    j'ai crée une OU avec un PC test ensuite j'ai crée une autre GPO (identique à celle qui a été déjà créée), gpupdate /force + redémarrage sur le DC et le Pc test, toujours le même problème.

    Aucun événement dans les log qui indique qu'il existe un problème dans les stratégies de sécurité, le Dcdiag aussi est clean.

    c'est un environnement Active Directory Windows 2012 Server et les postes de travail c'est des Win 7. 

    Merci d'avance pour votre aide.

    lundi 15 décembre 2014 10:40

Réponses

  • Pouvez vous donner des détails sur les paramètres de votre GPO et votre objectif ? Si elle est appliqué sur le domaine ou une OU ? Et si elle est sur le domaine l'ordre des GPO ? Le lien de votre GPO est bien activé ?

    + dcdiag sur les serveurs 

    Le rapport montre que la GPO test est appliqué et que le registre a été modifié.

    Si vous utilisez l'assistant de résultat des stratégies de groupe via GPMC vous verez pour chaque paramètre ma GPO Gagnante ...



    lundi 22 décembre 2014 10:04
    Modérateur

Toutes les réponses

  • Bonjour,

    Vous pouvez fournir le résultat complet du GPresult ?
    La demande est trop vague, il faut un peu plus de détails.

    Cordialement

    lundi 15 décembre 2014 12:14
  • Bonjour, voila le résultat :


    Outil de résultat du système d'exploitation Microsoft (R) Windows (R) v2.0
    ¸ 2013 Microsoft Corporation. Tous droits réservés.

    Cr‚‚ le 15/12/2014 … 13:18:58



    Données RSOP pour SOTRAPIL\administrateur sur SERVPGIS : mode journalisation
    -----------------------------------------------------------------------------

    Configuration du système d'exploitation : Serveur membre
    Version du système d'exploitation...... : 6.3.9600
    Nom du site............................ : Default-First-Site
    Profil itinérant :             N/A
    Profil local........................... : C:\Users\administrateur.SOTRAPIL
    Connexion via une liaison lente ? : Oui


    Paramètre de l'ordinateur
    --------------------------
        CN=SERVPGIS,OU=Test,DC=SOTRAPIL,DC=tunis
        Heure de la dernière application de la strat‚gie de groupe : 15/12/2014 … 12:05:49
        Stratégie de groupe appliquée depuis :      SERVSUPP.SOTRAPIL.tunis
        Seuil de liaison lente dans la stratégie de groupe :   500 kbps
        Nom du domaine.........................ÿ: SOTRAPIL
        Type de domaine........................ : Windows 2008 ou sup‚rieur

        Objets Stratégie de groupe appliqués
        -------------------------------------
            test
            Default Domain Policy

        Les objets strat‚gie de groupe n'ont pas ‚t‚ appliqués
        car ils ont ‚t‚ refus‚s
        -----------------------------------------------------------------------------------
            Stratégie de groupe locale
              Filtrage :  Non appliqué (vide)

        L'ordinateur fait partie des groupes de sécurité suivants
        ---------------------------------------------------------
            Administrateurs
            Tout le monde
            Utilisateurs
            RESEAU
            Utilisateurs authentifiés
            Cette organisation
            SERVPGIS$
            Ordinateurs du domaine
            Identité déclarée par une autorité‚ d'authentification
            Niveau obligatoire système
            

    PARAMÈTRES UTILISATEURS
    ------------------------
        CN=Administrateur,CN=Users,DC=SOTRAPIL,DC=tunis
        Heure de la dernière application de la stratégie de groupe : 15/12/2014 … 12:06:01
        Stratégie de groupe appliquée depuis :      SERVSUPP.SOTRAPIL.tunis
        Seuil de liaison lente dans la stratégie de groupe :   500 kbps
        Nom du domaineÿ:                        SOTRAPIL
        Type de domaine :                        Windows 2008 ou sup‚rieur
        
        Objets Stratégie de groupe appliqu‚s
        -------------------------------------
            Default Domain Policy

        Les objets stratégie de groupe n'ont pas été appliqués
        car ils ont été refusés
        -----------------------------------------------------------------------------------
            Stratégie de groupe locale
              Filtrage :  Non appliqué (vide)

        L'utilisateur fait partie des groupes de sécurité suivants
        ----------------------------------------------------------
            Utilisa. du domaine
            Tout le monde
            Utilisateurs
            Administrateurs
            INTERACTIF
            OUVERTURE DE SESSION DE CONSOLE
            Utilisateurs authentifiés
            Cette organisation
            LOCAL
            KLAdmins
            Propriétaires créateurs de la stratégie de groupe
            Admins du domaine
            Administrateurs de l'entreprise
            Administrateurs du schéma
            Identité déclarée par une autorité d'authentification
            Groupe de réplication dont le mot de passe RODC est refus‚
            Niveau obligatoire ‚lev‚
            

    lundi 15 décembre 2014 12:26
  • Avec un GPRESULT /V pour avoir plus de détails.
    Mais votre GPO est la GPO test ? Elle est appliquée ...

    lundi 15 décembre 2014 14:11
  • Effectivement c'est la GPO Test mais il est bien indiqué :

    Objets Stratégie de groupe appliqués
        -------------------------------------
            test
            Default Domain Policy

        Les objets stratégie de groupe n'ont pas été appliqués
        car ils ont été refusés

    donc ma GPO elle a été refusée donc elle n'est pas appliquée

    voila le résultat de gpresult /v :


    Outil de r‚sultat du systŠme d'exploitation Microsoft (R) Windows (R) v2.0
    ¸ 2013 Microsoft Corporation. Tous droits r‚serv‚s.

    Cr‚‚ le 15/12/2014 … 15:20:45



    Donn‚es RSOP pour SOTRAPIL\administrateur sur SERVPGIS : mode journalisation
    -----------------------------------------------------------------------------

    Configuration du systŠme d'exploitation : Serveur membre
    Version du systŠme d'exploitation...... : 6.3.9600
    Nom du site............................ : Default-First-Site
    Profil itin‚rant :             N/A
    Profil local........................... : C:\Users\administrateur.SOTRAPIL
    Connexion via une liaison lente ? : Oui


    ParamŠtre de l'ordinateur
    --------------------------
        CN=SERVPGIS,OU=Test,DC=SOTRAPIL,DC=tunis
        Heure de la derniŠre application de la strat‚gie de groupe : 15/12/2014 … 15:08:12
        Strat‚gie de groupe appliqu‚e depuis :      DCPSIEGE.SOTRAPIL.tunis
        Seuil de liaison lente dans la strat‚gie de groupe :   500 kbps
        Nom du domaine.........................ÿ: SOTRAPIL
        Type de domaine........................ : Windows 2008 ou sup‚rieur

        Objets Strat‚gie de groupe appliqu‚s
        -------------------------------------
            test
            Default Domain Policy

        Les objets strat‚gie de groupe n'ont pas ‚t‚ appliqu‚s
        car ils ont ‚t‚ refus‚s
        -----------------------------------------------------------------------------------
            Strat‚gie de groupe locale
              Filtrage :  Non appliqu‚ (vide)

        L'ordinateur fait partie des groupes de s‚curit‚ suivants
        ---------------------------------------------------------
            Administrateurs
            Tout le monde
            Utilisateurs
            RESEAU
            Utilisateurs authentifi‚s
            Cette organisation
            SERVPGIS$
            Ordinateurs du domaine
            Identit‚ d‚clar‚e par une autorit‚ d'authentification
            Niveau obligatoire systŠme
            
        Jeu de strat‚gies r‚sultant pour l'ordinateur
        ----------------------------------------------

            Installations des logiciels
            ---------------------------
                N/A

            Scripts de d‚marrage
            --------------------
                N/A

            Scripts d'arrˆt
            ---------------
                N/A

            Strat‚gies de comptes
            ---------------------
                    GPO : Default Domain Policy
                    Strat‚gie :            MaximumPasswordAge
                    ParamŠtre de l'ordinateur :  120

                    GPO : Default Domain Policy
                    Strat‚gie :            MinimumPasswordAge
                    ParamŠtre de l'ordinateur :  1

                    GPO : Default Domain Policy
                    Strat‚gie :            PasswordHistorySize
                    ParamŠtre de l'ordinateur :  24

                    GPO : Default Domain Policy
                    Strat‚gie :            MinimumPasswordLength
                    ParamŠtre de l'ordinateur :  3

            Strat‚gie d'audit
            -----------------
                N/A

            Droits de l'utilisateur
            -----------------------
                    GPO : Default Domain Policy
                    Strat‚gie :            ServiceLogonRight
                    ParamŠtre de l'ordinateur :  RESEAU
                                       SERVICE
                                       SERVICE RSEAU
                                       SOTRAPIL\IIS_WPG
                                       
            Options de s‚curit‚
            -------------------
                    GPO : Default Domain Policy
                    Strat‚gie :            PasswordComplexity
                    ParamŠtre de l'ordinateur :  Non activ‚

                    GPO : Default Domain Policy
                    Strat‚gie :            ClearTextPassword
                    ParamŠtre de l'ordinateur :  Non activ‚

                    GPO : Default Domain Policy
                    Strat‚gie :            ForceLogoffWhenHourExpire
                    ParamŠtre de l'ordinateur :  Non activ‚

                    GPO : Default Domain Policy
                    Strat‚gie :            RequireLogonToChangePassword
                    ParamŠtre de l'ordinateur :  Non activ‚

                N/A

            ParamŠtres du journal d'‚v‚nements
            ----------------------------------
                N/A

            Groupes restreints
            ------------------
                N/A

            Services systŠme
            ----------------
                N/A

            ParamŠtres du Registre
            ----------------------
                N/A

            ParamŠtres du systŠme de fichiers
            ---------------------------------
                N/A

            Strat‚gies de cl‚ publique
            --------------------------
                N/A

            ModŠles d'administration
            ------------------------
                    GPO : test
                    ID de dossierÿ: Software\Policies\Microsoft\Windows\WindowsUpdate\WUServer
                    Valeurÿ:       104, 0, 116, 0, 116, 0, 112, 0, 58, 0, 47, 0, 47, 0, 50, 0, 48, 0, 48, 0, 46, 0, 49, 0, 48, 0, 48, 0, 46, 0, 53, 0, 48, 0, 46, 0, 49, 0, 53, 0, 0, 0
                    tat :       Activ‚

                    GPO : test
                    ID de dossierÿ: Software\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer
                    Valeurÿ:       104, 0, 116, 0, 116, 0, 112, 0, 58, 0, 47, 0, 47, 0, 50, 0, 48, 0, 48, 0, 46, 0, 49, 0, 48, 0, 48, 0, 46, 0, 53, 0, 48, 0, 46, 0, 49, 0, 53, 0, 0, 0
                    tat :       Activ‚

                    GPO : test
                    ID de dossierÿ: Software\Policies\Microsoft\Windows\WindowsUpdate\AU\UseWUServer
                    Valeurÿ:       1, 0, 0, 0
                    tat :       Activ‚


    PARAMÔTRES UTILISATEURS
    ------------------------
        CN=Administrateur,CN=Users,DC=SOTRAPIL,DC=tunis
        Heure de la derniŠre application de la strat‚gie de groupe : 15/12/2014 … 15:18:26
        Strat‚gie de groupe appliqu‚e depuis :      DCPSIEGE.SOTRAPIL.tunis
        Seuil de liaison lente dans la strat‚gie de groupe :   500 kbps
        Nom du domaineÿ:                        SOTRAPIL
        Type de domaine :                        Windows 2008 ou sup‚rieur
        
        Objets Strat‚gie de groupe appliqu‚s
        -------------------------------------
            Default Domain Policy

        Les objets strat‚gie de groupe n'ont pas ‚t‚ appliqu‚s
        car ils ont ‚t‚ refus‚s
        -----------------------------------------------------------------------------------
            Strat‚gie de groupe locale
              Filtrage :  Non appliqu‚ (vide)

        L'utilisateur fait partie des groupes de s‚curit‚ suivants
        ----------------------------------------------------------
            Utilisa. du domaine
            Tout le monde
            Utilisateurs
            Administrateurs
            INTERACTIF
            OUVERTURE DE SESSION DE CONSOLE
            Utilisateurs authentifi‚s
            Cette organisation
            LOCAL
            KLAdmins
            Propri‚taires cr‚ateurs de la strat‚gie de groupe
            Admins du domaine
            Administrateurs de l'entreprise
            Administrateurs du sch‚ma
            Identit‚ d‚clar‚e par une autorit‚ d'authentification
            Groupe de r‚plication dont le mot de passe RODC est refus‚
            Niveau obligatoire ‚lev‚
            
        L'utilisateur dispose des privilŠges de s‚curit‚ suivants
        ---------------------------------------------------------

            Contourner la v‚rification de parcours
            Augmenter une plage de travail de processus
            G‚rer le journal d'audit et de s‚curit‚
            Sauvegarder les fichiers et les r‚pertoires
            Restaurer les fichiers et les r‚pertoires
            Modifier l'heure systŠme
            Arrˆter le systŠme
            Forcer l'arrˆt … partir d'un systŠme distant
            Prendre possession de fichiers ou d'autres objets
            D‚boguer les programmes
            Modifier les valeurs de l'environnement du microprogramme
            Performance systŠme du profil
            Processus unique du profil
            Augmenter la priorit‚ de planification
            Charger et d‚charger les pilotes de p‚riph‚riques
            Cr‚er un fichier d'‚change
            Ajuster les quotas de m‚moire pour un processus
            Retirer l'ordinateur de la station d'accueil
            Effectuer les tƒches de maintenance de volume
            Emprunter l'identit‚ d'un client aprŠs l'authentification
            Cr‚er des objets globaux
            Changer le fuseau horaire
            Cr‚er des liens symboliques

        Jeu de strat‚gies r‚sultant pour l'utilisateur
        -----------------------------------------------

            Installations des logiciels
            ---------------------------
                N/A

            Scripts d'ouverture de session
            ------------------------------
                N/A

            Scripts de fermeture de session
            -------------------------------
                N/A

            Strat‚gies de cl‚ publique
            --------------------------
                N/A

            ModŠles d'administration
            ------------------------
                N/A

            Redirection de dossiers
            -----------------------
                N/A

            Interface utilisateur d'Internet Explorer
            -----------------------------------------
                N/A

            Connexion Internet Explorer
            ---------------------------
                N/A

            URL d'Internet Explorer
            -----------------------
                N/A

            S‚curit‚ d'Internet Explorer
            ----------------------------
                N/A

            Programmes Internet Explorer
            ----------------------------
                N/A

    lundi 15 décembre 2014 14:22
  • Philippe a répondu sur le même sujet ici

    https://social.technet.microsoft.com/Forums/fr-FR/3f92652f-9803-4619-a5e9-34120339a4fc/gpo-appliques-mais-non-visible-sur-gpresult-r?forum=windowsserver8fr

    Je pense donc que je vous le disais plus haut qu'il n'y a pas de soucis particulier sur l'application de vos GPO.

    • Marqué comme réponse Boris Ivanov _ mercredi 17 décembre 2014 09:26
    • Non marqué comme réponse Boris Ivanov _ mercredi 17 décembre 2014 11:48
    mercredi 17 décembre 2014 06:35
  • Bonjour,

    La réponse de Philippe ne répond pas à mon problème car mon cas la ou les stratégies ne s'appliquent pas au vrai sens du mot.

    A part la "Default Domain Policy", j'ai crée une GPO nommée "WSUS" c.-à-d. une GPO qui permet de définir l'emplacement intranet pour les mises à jour WSUS, plus précisément celle qui s'appelle « Spécifier le service intranet du service de mise à jour » dans Configuration Ordinateur -> Stratégies -> Modèles d’administration [...] -> Composants Windows -> Windows Update.

    Donc n'importe quelle GPO que je crée ne s'applique pas malgré qu'elle est bien visible dans rsop.msc.

    Donc je pense qu'il y a quelque chose comme indiqué dans gpresult, qui refuse la stratégie.

    D'autres GPO(s) crées pour faire test présentent le même résultat sur n'importe quel PC ou serveur, toujours le même message " Les objets stratégie de groupe n'ont pas été appliqués car ils ont été refusés"

    Cordialement,

     

    mercredi 17 décembre 2014 11:21
  • Pouvez vous donner plus de détail sur la µGPO ?

    Avez-vous essayer avec l'assistant de résultat de stratégie de groupe depuis la console GPMC directement ? (attention sur le poste client WMI doit être active ésur le pare feu)

    voir

    http://pbarth.fr/node/123

    mercredi 17 décembre 2014 15:13
    Modérateur
  • Bonjour,

    J'ai déjà essayé l'assistant rien n'est indiqué de suspect.

    J'ai refais la même manip dans la  "Default Domain Policy" ça fonctionne, wsus commence à afficher les PC(s).

    J'arrive pas à comprendre si je crée une GPO que ce soit pour WSUS ou, par exemple, une pour la complexité de mot de passe, toujours le même souci.

    mercredi 17 décembre 2014 15:27
  • Pour la stratégie de mot de passe seul les paramètre de la défaut domain policy sont prises en comptes. Si vous faites une GPO autre avec des paramètres de mot de passes ils ne seront jamais appliqué.

    Si vous voulez des stratégie différentes il faut utiliser , voir

    http://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx

    mercredi 17 décembre 2014 16:22
    Modérateur
  • La question reste entière, pourquoi n'importe quelle GPO que je crée ne s'appliquent pas? elles sont toujours refusées, comme j'ai expliqué seule la "Default domain Policy" qui s'applique sur mon environnement, toute autre GPO elle est automatiquement refusée que ce soit sur Windows XP/7 ou Windows 2003/2008 et 2012 Server.  
    jeudi 18 décembre 2014 09:45
  • Si vous faites une GPO avec des paramètres ordinateurs la GPO doit être appliqué à des OU d'ordinateurs. Idem pour les GPO utilisateurs sur des OU utilisateurs

    Lorsque vous avez cela :

       Objets Stratégie de groupe appliqués
        -------------------------------------
            test
            Default Domain Policy

        Les objets strat‚gie de groupe n'ont pas ‚t‚ appliqués
        car ils ont ‚t‚ refus‚s
        -----------------------------------------------------------------------------------
            Stratégie de groupe locale
              Filtrage :  Non appliqué (vide) => explication pourquoi n'est pas appliqué ...

    Test et Default Domain Policy sont bien appliqués ...


    jeudi 18 décembre 2014 17:15
    Modérateur
  • Oui je sais bien qu'il faut appliquer paramètre ordinateur à une OU qui contient objet ordinateur. mais la GPO test n'est pas appliquée, la GPO test contient les mêmes paramètres et même filtrage que la Default Domain Policy mais elle ne s'applique pas réellement.

    si j'inverse, j'active la Default Domain Policy et désactive test, sa fonctionne.

    En tout cas merci pour vos réponses.

    vendredi 19 décembre 2014 09:53
  • Si le même paramètres est définis dans plusieurs GPO c'est la dernière appliqué(la plus prioritaire) qui prend le dessus. Donc si vous avez mis des paramètres dans test qui existe également dans la "defaut Domain policy" seul un des 2 sera pris en compte.

    Une GPo définit sur une OU est prioritaire sur la GPO du domaine (sauf pour les paramètres de mot de passe). Pour 2 GPO sur la même OU c'est l'ordre dans la console qui détermine celle qui écrase l'autre.

    vendredi 19 décembre 2014 14:27
    Modérateur
  • lorsque j'applique la GPO test je désactive la Default Domain Policy et inversement.

    J'ai vérifié l'ouverture des ports nécessaires pour AD au niveau du pare-feu, tout est OK aucun problème à ce niveau et même s'il y avait un blocage obligatoirement la Default Domain Policy ne fonctionnera pas.

    j'ai vérifié aussi pour la Default Domain controllers Policy, elle aussi lorsqu'on l'active elle ne s'applique pas.

    vendredi 19 décembre 2014 15:51
  • Vous avez désactivé les policy par defaut ? Je vous le déconseille ...

    Le pare feu n'est pas en cause.

    Mais j'avoue que je suis perdu et j'ai du mal à comprendre ou est votre problème. Comment vérifier vous les paramètres appliqués ou non ?


    vendredi 19 décembre 2014 17:25
    Modérateur
  • Bonsoir,

    quand je lis ceci :

    ------

        Objets Stratégie de groupe appliqués
        -------------------------------------
            test
            Default Domain Policy

        Les objets strat‚gie de groupe n'ont pas ‚t‚ appliqués
        car ils ont ‚t‚ refus‚s
        -----------------------------------------------------------------------------------
            Stratégie de groupe locale
              Filtrage :  Non appliqué (vide)

    -----

    Cela veut dire que seule la stratégie de groupe locale n'est pas appliquée !!!

    De plus, quand je vois cela :

    ---

            ModŠles d'administration
            ------------------------
                    GPO : test
                    ID de dossierÿ: Software\Policies\Microsoft\Windows\WindowsUpdate\WUServer
                    Valeurÿ:       104, 0, 116, 0, 116, 0, 112, 0, 58, 0, 47, 0, 47, 0, 50, 0, 48, 0, 48, 0, 46, 0, 49, 0, 48, 0, 48, 0, 46, 0, 53, 0, 48, 0, 46, 0, 49, 0, 53, 0, 0, 0
                    tat :       Activ‚

    -----

    Je confirme que la stratégie s'applique et modifie des clés de registres.

    Si la stratégie (WSUS)ne donne pas l'effet attendu, c'est qu'elle n'est peut être pas complète.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(80 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    vendredi 19 décembre 2014 19:24
  • Bonjour,

    tout à fait d'accord avec vous, le vrai problème c'est que n'importe quelle stratégie que je crée ne s'applique pas et ne donne pas l'effet attendu mais si j'utilise les mêmes paramètres que j'ai crée dans la Default Domain Policy elle s'applique immédiatement et donne l'effet attendu.

    lundi 22 décembre 2014 09:09
  • Pouvez vous donner des détails sur les paramètres de votre GPO et votre objectif ? Si elle est appliqué sur le domaine ou une OU ? Et si elle est sur le domaine l'ordre des GPO ? Le lien de votre GPO est bien activé ?

    + dcdiag sur les serveurs 

    Le rapport montre que la GPO test est appliqué et que le registre a été modifié.

    Si vous utilisez l'assistant de résultat des stratégies de groupe via GPMC vous verez pour chaque paramètre ma GPO Gagnante ...



    lundi 22 décembre 2014 10:04
    Modérateur
  • Bonjour, je viens juste de tomber sur ce post en recherchant des infos sur ce genre de problème.

    Avez vous pensé au débit minimal de 500ko/s ? J'ai rencontré le même soucis d'une GPO qui ne s'activait pas alors que paramétrée et active (en théorie), et ce qui m'a résolu le problème était justement de réduire ce débit minimal.

    mardi 21 avril 2015 12:57
  • Bonjour à tous,

    Moi même j'ai le même problème, mes GPOs se déployaient sans problème mais depuis quelques semaines plus rien ne s'appliquent sur les ordinateurs, je reçois aussi le message du genre "les objets stratégie de groupe n'ont pas été appliquées car ils ont été refusés" et en faisant gpresult /r , le filtrage du gpo deployé est Non appliqué (vide )

    SOS

    samedi 20 juin 2015 12:44