none
GPO - Filtre de sécurité modifié RRS feed

  • Discussion générale

  • Bonjour à tous !

    Je me permets de poser la question ici car je bute sur une GPO. Le but de cette dernière est d'appliquer via un fichier xml, les programmes par défaut pour les utilisateurs sur un serveur RDS.

    De ce fait, sur chaque serveur, j’ai désormais un fichier.xml ou plusieurs correspondant aux besoins des utilisateurs. Je souhaite appliquer des restrictions d’applications sur ces GPO pour que ces dernières ne soient appliquées que sur les utilisateurs/groupes que je souhaite.

    En sachant que ma GPO est fonctionnel si je laisse le filtre de sécurité et les éléments dans délégations de base. Là où je bloque depuis quelques jours entiers (j’ai séché google et ici entre autre, oui ça peut arriver), c’est sur l’application de ces GPO une fois que j’ai modifié le filtre de sécurité. J’ai appris que depuis mi-juin 2016, depuis qu’une KB a été passé par Windows update visant à réduire des failles de sécurité, que le fonctionnement des GPO avait changé. En effet, auparavant lorsque l’on souhaitait appliqué des filtres particuliers, il suffisait à l’époque de retirer « Utilisateurs Authentifiés » puis d’appliquer les groupes souhaités. Or, j’ai beau suivre ces recommandations qui sont indiqués sur divers posts en ligne ainsi que sur ce poste officiel de Microsoft : https://support.microsoft.com/fr-fr/help/3163622/ms16-072-security-update-for-group-policy-june-14-2016 , je ne parviens toujours pas à appliquer ma GPO sur des utilisateurs. En utilisant la commande « gpresult –H c:\result.html », je peux voir que la raison pour laquelle ma GPO n’est pas appliquée vient du fait qu’au niveau du filtre de sécurité, j’ai « Accès Refusé ».

    J’ai tourné dans tous les sens les tests avec les différents groupes et utilisateurs et je ne parviens pas à en trouver la cause.

    Pour préciser, la gpo est bien appliquée sur une OU où se trouve le serveur RDS, étant donné que je modifie des paramètres ordinateurs... et le bouclage est activé en mode "Remplacer" (pour info j'ai tester Fusionner sans plus de résultat). 

    Je reste dispo pour finir tout complément d'information et je vous remercie par avance pour vos retours

    vendredi 17 août 2018 08:57

Toutes les réponses

  • Bonjour oz

    Peut etre ces informations vous aiderons :

    CHANGEMENT 2016
    La manière d'appliquer les GPO a change depuis une mise à jour d'avril 2016.
    https://support.microsoft.com/fr-fr/help/3163622/ms16-072-security-update-for-group-policy-june-14-2016

    Les GPO sont chargés avec le compte de la machine, y compris pour les paramètres utilisateurs.

    Solution au niveau du FILTRAGE DE SECURTIE
    *Si vous n'avez pas besoin de filtrage sur les groupes, il suffit de rajouter le groupe  « utilisateur authentifié»
    car utilisateur authentifié contient les utilisateurs et les ordinateurs.
    *Si vous souhaitez filtrer les utilisateurs il faut ajouter le groupe de sécurité « ordinateurs du domaine »

    Merci Philippe Barth

    http://pbarth.fr/node/186


    "Marquer comme réponse" les réponses qui ont résolu votre problème



    vendredi 17 août 2018 09:10
  • Lorsque tu veux faire un filtre sur des utilisateurs ou des groupes d'utilisateurs, il faut en plus de ce dernier mettre le groupe ordinateurs du domaine ou si tu veux que sur les serveurs TS tu mets les serveur TS ou un groupe contenant les serveurs TS.

    Le compte de la machine doit être dans le filtre de sécurité.

    Par défaut le groupe utilisateurs authentifiés contient également les objets ordinateurs et pas que les utilisateurs de l'AD.

    Avec des images :

    http://www.pbarth.fr/node/186

    Tu testes plusieurs trucs en même temps dans la même GPO ?

    https://social.technet.microsoft.com/Forums/fr-FR/8c6e6ae3-47b6-48c7-9849-e0ebef7e8e89/variable-dans-fichier-de-configuration-des-associations-par-dfaut?forum=windowsserver8fr

    En cumulant, plusieurs test, tu pourrai ne pas voir l'origine du problème.


    vendredi 17 août 2018 09:17
    Modérateur
  • @sanio74

    De rien ...

    vendredi 17 août 2018 09:20
    Modérateur
  • @sanio74

    De rien ...

    Tu es un super prof j'apprends beaucoup avec toi merci.


    "Marquer comme réponse" les réponses qui ont résolu votre problème

    vendredi 17 août 2018 09:21
  • @sanio74

    Tu verras vite que l'on apprends beaucoup des questions des autres, par ce qu'on se retrouve dans des situations particulières, auxquels on n'a pas pensé, bridé par son conformisme et les best practices...

    C'est en cela qu'un forum est une grande source de richesse ...

    On apprend par les réponses des autres, mais également par leurs questions ...

    vendredi 17 août 2018 09:33
    Modérateur
  • Merci messieurs pour vos retours !

    Alors j'ai suivi vos conseils déjà, car j'ai vraiment consulté les posts sur le forum et j'ai vu de nombreuses réponses venant de vous Philippe Barth, j'ai précédemment déjà consulté votre article sur votre site qui est riche en information (merci au passage car c'est propre).

    J'ai déjà ajouté le groupe Ordinateurs du Domaine dans le filtrage de sécurité et de ce fait il dispose des droits de lecture et d'application de la stratégie. Si je laisse uniquement ce filtre, la GPO s'applique.. Well done !

    Sauf que lorsque je rajoute un groupe ou compte utilisateur pour lui spécifier que je ne veux pas lui appliquer, bah là il me dit merde, il applique quand même le bougre ! Du coup c'est un autre problème où vous pouvez peut être m'éclairer, en sachant que je n'ai pas du tout touché à d'autres droits présents dans la délégation par exemple..

    Dans la GPO, pour répondre à votre question Philippe, non je ne teste rien d'autres, il n'y a uniquement la boucle et le chemin du fichier xml permettant de spécifier les programmes par défaut. De plus, j'ai laissé de côté l'option envisagé dans mon autre post, de ce fait le chemin est simple : C:\GPO\AppAssoc.xml.

    Autre info, j'ai testé en ayant "Utilisateurs Authentifiés" et "Ordinateur du Domaine" avec seulement les droits en lecture chacun leur tour, mais sans résultat.

    Merci encore de vos réponses et au plaisir de vous lire à nouveau

    vendredi 17 août 2018 09:54
  • Bonjour 

    +1 pour Philippe.

    Comme expliqué par Philippe et le KB que vous avez partagé dans votre question, pour appliquer un filtrage de sécurité sur un ou un groupe d'utilisateurs, il faut ajouter les comptes ordinateurs ou le groupe créé par défaut Domain computers et qui contient tous les comptes ordinateurs membres du domaine lors de la promotion du domaine si vous n'avez une restriction au niveau les machines sur lesquels les utilisateurs peuvent se connecter.  


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    vendredi 17 août 2018 09:59
    Modérateur
  • Sauf que lorsque je rajoute un groupe ou compte utilisateur pour lui spécifier que je ne veux pas lui appliquer, bah là il me dit merde

    A quel endroit tu as défini le je ne veux pas  ? dans le filtrage de sécurité ?


    Autre info, j'ai testé en ayant "Utilisateurs Authentifiés" et "Ordinateur du Domaine" avec seulement les droits en lecture chacun leur tour, mais sans résultat.

    A quel endroit tu as mis les droits en lecture ? au cas ou ne modifies pas les permissions NTFS sur les dossiers des GPO. 



    vendredi 17 août 2018 10:08
    Modérateur
  • Thameur Bourbita :

    Du coup, j'ai dit plus haut que je l'avais fait :)

    Philippe Barth : 

    • Pour le groupe d'utilisateur au quel je ne souhaite pas l'appliquer, je l'ai d'abord rajouté via le bouton ajouter au niveau du Filtre de Sécurité, puis dans le menu délégation, j'ai modifié le paramètre "Appliquer la stratégie" sur "Refuser"
    • J'ai mis les droits en lecture en les ajoutant d'abord via le bouton ajouter du Filtre de Sécurité, puis dans la partie délégation, j'ai juste décocher le paramètre "Appliquer la stratégie". Je n'ai pas cocher Refuser si vous voulez..
    vendredi 17 août 2018 10:20
  • Oufff, j'ai déjà vu des admins changer les permissions NTFS... :-)

    Sinon, vu que tu mets déja une autorisation explicite sur un groupe spécifique, pourquoi mettre un refus explicite sur un autre ? par défaut le refus est implicite ...

    Pour faire du conformisme ou du best practice. En général, dans les GPO, si tu utilises un refus explicite ou si tu casse l'héritage sur une OU , c'est souvent une mauvaise optimisation dans la façon de structuré  les éléments  (sauf si tu as 500 OUs et 15000 utilisateurs ...).

    C'est marrant, c'est un truc que je n'ai jamais fait en prod ... Souvent quelques années après,  on se casse la tête sur un refus explicite, vu que ce n'est pas dans les habitudes et la culture, on l'oublie et on passe à côter.  

    Pour le reste, on vient de voir que la mise à jour de juin 2016, à modifier la façon dont les GPO sont lus, y compris pour les paramètres utilisateurs. Ce n'est plus le compte de l'utilisateur qui lit mais le compte de la machine, c'est sans doute pour cela que enlever le droit de lecture au compte d'utilisateur n'a pas d'impact . 

    vendredi 17 août 2018 11:42
    Modérateur
  • Ahah, ah non sur ça je suis pas d'accord non plus c'est un peu "Touche pas à ça ptit con" ! :)

    En faites je vous explique, sur un serveur RDS, disons qu'il y a un dizaine d'utilisateurs, plusieurs utilisateurs ont besoin par exemple d'abode reader pour les pdf par défaut et d'autres sumatra.. Donc dans l'idée, c'est d'avoir une GPO qui utilise un fichier xml paramétrant Adobe par défaut et un autre sumatra (c'est un exemple parmi tant d'autres)..

    Donc si je mets les utilisateurs du "groupe sumatra" en REFUS sur la GPO pour adobe, c'est pour qu'ils n'utilisent pas cette dernière, et que la GPO appliquant Sumatra pour ces utilisateurs ne rentrent pas en "conflit" en gros avec l'autre. Mais dites moi ce que vous en pensez car c'est possible que je me plante...

    Petite rectification, ce n'est pas le droit de lecture que j'ai enlevé pour "Utilisateurs Authentifiés" ou "Ordinateurs du Domaines" mais bien "Appliquer la stratégie".

    Par contre ce qui me gêne c'est qu'actuellement pour que cela fonctionne je suis obligé de mettre "Appliquer cette stratégie" sur les groupes précédent dans un cas ou un autre pour que cela fonctionne, sauf que TOUS les utilisateurs l'appliquent..



    • Modifié ozsearch vendredi 17 août 2018 13:08
    vendredi 17 août 2018 13:07
  • OU où se trouve le serveur RDS, étant donné que je modifie des paramètres ordinateurs... et le bouclage est activé en mode "Remplacer" (pour info j'ai tester Fusionner sans plus de résultat). 

    Tu utilises un paramètre ordinateurs, filtrer sur des utilisateurs/ groupe d'utilisateurs ne sert a rien...

    A noter la boucle rappel permet de remplacer des paramètres UTILISATEURS (et non ordinateur) pour des machines précises.

    Ahah, ah non sur ça je suis pas d'accord non plus c'est un peu "Touche pas à ça ptit con" ! :)

    Pourquoi faire un truc simple alors que l'on peut ré-inventer l'usine à gaz ...

    plusieurs utilisateurs ont besoin par exemple d'abode reader pour les pdf par défaut et d'autres sumatra.

    Il y a sans doute une raison technique ....

    Tu peux essayer de faire une GPO pour la règle générale par exemple Acrobat et de faire une GPO plus prioritaire pour les autres qui modifie la clé de registre 

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pdf\OpenWithList

    (Afin de changer le programme dans la liste, j'ai pas testé)

    vendredi 17 août 2018 13:26
    Modérateur
  • Tu utilises un paramètre ordinateurs, filtrer sur des utilisateurs/ groupe d'utilisateurs ne sert a rien...

    A noter la boucle rappel permet de remplacer des paramètres UTILISATEURS (et non ordinateur) pour des machines précises.

    ça ne sert à rien car ce n'est pas fonctionnel, c'est ça ?

    Du coup il s'agit bien de modifier les paramètres des programmes par défaut des utilisateurs donc oui on est bon

    Pourquoi faire un truc simple alors que l'on peut ré-inventer l'usine à gaz ...

    J'aime bien les choses simples.. ;)

    Tu peux essayer de faire une GPO pour la règle générale par exemple Acrobat et de faire une GPO plus prioritaire pour les autres qui modifie la clé de registre 

    Ah oui ça c'est pas bête ! Je n'y avais pas pensé... Mais du coup ce serai possible de faire deux GPO qui affectent les programmes par défaut, mais une serai en "Appliqué" (forcé) afin d'être plus précis sur une population d'utilisateur selon vous ?

    Merci pour les nouvelles infos !

    vendredi 17 août 2018 14:28
  • ça ne sert à rien car ce n'est pas fonctionnel, c'est ça ?

    Du coup il s'agit bien de modifier les paramètres des programmes par défaut des utilisateurs donc oui on est bon

    LA boucle de rappel permet de forcer des paramètres de la rubriques "configuration utilisateurs", sur des postes spécifiques. Si tu configure des paramètre de la rubrique ordinateur la boucle de rappel n'est pas utile.

    Ah oui ça c'est pas bête ! Je n'y avais pas pensé... Mais du coup ce serai possible de faire deux GPO qui affectent les programmes par défaut, mais une serai en "Appliqué" (forcé) afin d'être plus précis sur une population d'utilisateur selon vous ?

    Merci pour les nouvelles infos !

    Il faut jouer sure la priorité, tu fais une GPO moins prioritaire pour le cas + général sans filtrage, tu fais des GPo prioritaire pour les groupes spécifiques qui va écraser la première.

    Mais il faut impérativement utiliser des paramètres de la catégorie "UTILISATEURS".

     Sinon c'est pas de la critique mais de la curiosité, il y a un plus à utiliser Sumatra ?


    vendredi 17 août 2018 14:37
    Modérateur
  • LA boucle de rappel permet de forcer des paramètres de la rubriques "configuration utilisateurs", sur des postes spécifiques.

    Donc en faites, si les paramètres précisant les programmes par défaut était dans la partie utilisateur avec cette boucle. Est-ce que mon filtrage par groupe fonctionnerait ?

    Il faut jouer sure la priorité, tu fais une GPO moins prioritaire pour le cas + général sans filtrage, tu fais des GPo prioritaire pour les groupes spécifiques qui va écraser la première.

    Donc si je mets une GPO (général) donc je laisse le filtre de sécurité et la délégation par défaut, et que je place une GPO plus près de l'objet et que je lui accorde les droits suivants :

    • SRV-RDS : Lecture + Application
    • GROUPE-USER : Lecture + Application 

    Cela ne va pas impacter tous les utilisateurs mais uniquement ceux présent dans le groupe-user ? Car à l'heure actuelle dans cette configuration, la GPO ne considère pas le groupe-user, il l'applique sans distinction. Mais cela vient-il du fait que c'est appliqué sur une OU avec uniquement le serveur sans utilisateur à l'intérieur ?

    Mais il faut impérativement utiliser des paramètres de la catégorie "UTILISATEURS".

    Alors dans ce cas, pouvez vous m'expliquer comment un paramètre ordinateur spécifiant un fichier xml avec des programmes par défauts à l’intérieur, s'applique sur des paramètres de sessions utilisateurs ? Ils configurent de manière générale des paramètres pour TOUS les utilisateurs sans exceptions ?

    Ce que je ne pige pas c'est que l'on peut déployer une configuration sur le serveur destination pour tous les utilisateurs via cette méthode mais derrière avec le filtre de sécurité, on ne peut préciser QUI peut en bénéficier. Certainement due au faites qu'il n'y a pas d'utilisateur dans l'OU du coup ?

    Sinon c'est pas de la critique mais de la curiosité, il y a un plus à utiliser Sumatra ?

    C'est une volonté de certains utilisateurs qui disposent d'une fonction particulière avec celui-ci, mais je ne pourrais pas vous dire de tête...

    Merci encore pour le temps consacrer à m'aider ! :)

    vendredi 17 août 2018 14:55
  • Quand tu fais une boucle de rappel pour la stratégie utilisateurs, tu active l'option dans les paramètres machines, tu modifie la section paramètre utilisateurs (pour une fois tu va dans la partie utilisateurs alors que c'est une machine). Comme tu cible une machine utiliser des filtres sur des utilisateurs ne marche pas directement.En tout cas pas dans le mode remplacer. en mode fusionner c'est un peu plus complexe.

    http://www.microsoft-desktop.com/2010/05/le-loopback-processing-ou-traitement-par-boucle-de-rappel-pour-les-nuls/

    Alors dans ce cas, pouvez vous m'expliquer comment un paramètre ordinateur spécifiant un fichier xml avec des programmes par défauts à l’intérieur, s'applique sur des paramètres de sessions utilisateurs ? Ils configurent de manière générale des paramètres pour TOUS les utilisateurs sans exceptions ?

    Ce que je ne pige pas c'est que l'on peut déployer une configuration sur le serveur destination pour tous les utilisateurs via cette méthode mais derrière avec le filtre de sécurité, on ne peut préciser QUI peut en bénéficier. Certainement due au faites qu'il n'y a pas d'utilisateur dans l'OU du coup ?

    Quand tu diffuse un paramètre de la partie ordinbateur tu ne peux pas cibler des personnes, ils sont appliqués au démarrage de l'ordinateur, avant l'ouverture de session.

    Si tu fais une GPO avec des paramètres ordinateurs et des paramètres utilisateurs, la partie ordinateurs de ta GPO est appliqué au moment du démarrage de la machine (réactualisé environ 90 à 120 minutes). La partie utilisateur de la même GPO est appliqué à l'ouverture de session de l'utilisateur et seul les paramètres utilisateurs sont appliqués (sauf si tu as une boucle de rappel sur une autre GPO, qui viendra s'appliquer après et sera donc prioritaire). 1 GPO mais deux traitements séparés....

    Les GPO sont réllement appliqués du - prioritaire au + et la partie machine est appliqué a part de la partie utilsiateurs.

    L'observateur événement peut permettre de voir les détails:

    http://www.pbarth.fr/node/182


    vendredi 17 août 2018 15:09
    Modérateur
  • Quand tu fais une boucle de rappel pour la stratégie utilisateurs, tu active l'option dans les paramètres machines, tu modifie la section paramètre utilisateurs (pour une fois tu va dans la partie utilisateurs alors que c'est une machine). Comme tu cible une machine utiliser des filtres sur des utilisateurs ne marche pas directement.En tout cas pas dans le mode remplacer. en mode fusionner c'est un peu plus complexe.

    Ok vu, merci pour le lien très intéressant :)

    ___________________

    Sur votre lien, sur une image les GPO sont numérotées de 1 à 6, de haut en bas, je me pose juste une petite question, la GPO en 1 est-elle prioritaire par rapport à la 2 ou cela fonctionne t'il dans le sens inverse ?

    Deuxième question, je suppose que si je ne mets pas de loopback sur une GPO sur une OU parent (si j'ai bien compris) et que je met une GPO sur l'OU utilisateur avec le loopback sur une OU enfant. La GPO sur l'OU parent ne pourra pas venir écraser les paramètres sur la partie Utilisateur dans ce cas ?

    _____________________

    EDIT : Autre question, je suppose que si j'essaie de mettre un groupe utilisateur dans l'OU où se trouve le serveur je me fais insulter d'hérésie ? :)
    • Modifié ozsearch vendredi 17 août 2018 15:37
    vendredi 17 août 2018 15:32
  • Sur votre lien, sur une image les GPO sont numérotées de 1 à 6, de haut en bas, je me pose juste une petite question, la GPO en 1 est-elle prioritaire par rapport à la 2 ou cela fonctionne t'il dans le sens inverse ?

    La 1  est la plus prioritaire elle est appliquée en dernier ... la 14 est appliqué avant.

    e met une GPO sur l'OU utilisateur avec le loopback sur une OU enfant.

    Loopback est un paramètre de la partie ordinateur il faut l'appliquer à une OU contant des ordinateurs. Par contre sont but et de remplacer des paramètres utilisateurs pour un ordinateur précis. La GPO est rappellé automatiquement après l'application(donc prioritaire) des paramètres utilisateurs des GPO  liés à l'OU de l'utilisateur (entre autre à l'ouverture de session). D'ou le notion de rappel de la GPO qui normatement n'est exécuté qu'au démarrage de la machine....

    Et lors du rappel c'est les paramètres définit dans la partie utilisateur qui sont pris en compte.

    Faut également voir que la partie ordinateur modifie le registre HK Local Machine et Utilisateurs HK_CurrentUSers



    vendredi 17 août 2018 16:26
    Modérateur
  • Exact ! j'ai omis de me rappeler le fonctionnement direct du loopback lors de ma réponse.

    Du coup, les filtres de sécurité sont vraiment utiles finalement que lorsque l'on a besoin d'un filtrage particulier pour une GPO appliquée sur une OU utilisateur ?


    vendredi 17 août 2018 16:32
  • Tu peux faire un filtre sur un groupe d'utilisateurs, mais il faut que tu paramètres des éléments dans la partie Configuration utilisateurs et non ordinateur, que tu l'applique sur une OU contenant des utilisateurs et que le compte de l'ordinateur ou le groupe ordinateurs du domaine a les droits de lecture (donc inclut dans le filte).

    Par contre un filtre sur des utilisateurs lorsque tu utilises la partie configuration ordniteurs en l'appliquant sur une OU contenant des ordinateurs ca n'a pas de sens. Si ces ordinateurs tu peux filtre sur des groupe d'ordinateurs. Si c'est  utilisateurs sur des groupe utilisateurs

    vendredi 17 août 2018 16:40
    Modérateur
  • Yes, du coup je vais bosser sur la question, et je ferai un retour sur ce que j'ai fait pour arriver au but souhaité lorsque j'aurai réussi. 

    Merci encore et à bientôt :)

    lundi 20 août 2018 07:11
  • Me voilà de retour avec des avancées e des questions ! :)

    Donc pour resituer : J'ai désormais deux GPO (GPO_Assoc_GEN et GPO_Assoc_REG).

    La première fonctionne avec un fichier .xml et le paramètre permettant de prendre en compte ce type de fichier pour les programmes par défaut. Ce dernier se trouve dans la partie Configuration Ordinateur de la GPO. Un filtrage est appliqué pour qu'elle s'applique uniquement sur mon serveur de maquettage et elle se trouve au sommet de mon arborescence AD. Il n'y pas de bouclage.

    La seconde fonctionne en modifiant des clés registres afin de préciser quel logiciel ouvre quel type d'extension de fichier ou bien pour quel protocole (http ou https par exemple). Ces paramètres se trouvent dans la partie Configuration Utilisateur. J'ai appliqué un filtrage de sécurité sur un groupe utilisateur, il le prend bien en compte et ne l'applique pas pour tous les utilisateurs. Pour la petite anecdote, ça fonctionne si on modifie la clé Hash et ProdId pour chaque extension et protocole, sinon ça fait rien du tout ! ;)

    Les deux GPO fonctionnent très bien avec leur filtrage de manière indépendante, c'est à dire quand une est désactivé l'autre fait exactement ce que je veux. Mais il y a un hic, bah oui parce que sinon c'est pas drôle...

    L'arborescence est actuellement de ce style :

    domaine.dom

    - GPO_Assoc_GEN

    --- (OU) VILLE

    --- GPO_Assoc_REG

    ------ (OU) SERVEURS

    ------ (OU) UTILISATEURS

    _______________________________________________

    Donc dans l'OU serveur se trouve le serveur RDS dédié à ce site distant et dans l'OU Utilisateurs, les utilisateurs et groupes utilisateurs. Comme vous avez pu le voir, ma GPO qui appliquent des paramètres utilisateurs n'est pas tout à fait sur l'OU qu'il faudrait.. Et c'est tout simplement parce que sur l'OU utilisateurs elle ne s'applique pas en fait.. elle n'est pas lu/prise en compte... Une idée ?

    Autre question, si mes deux GPO sont actives, la GPO appliquant les paramètres du fichiers xml sont pris en priorité par rapport à ceux de ma GPO qui traite les paramètres utilisateur, alors que cette dernière est plus proche de l'objet que l'autre...

    Merci d'avance pour vos retour,s et je reste dispo si vous avez des questions :)

    mercredi 22 août 2018 07:43
  •  Et c'est tout simplement parce que sur l'OU utilisateurs elle ne s'applique pas en fait.. elle n'est pas lu/prise en compte... Une idée ?

    Tu n'as pas coupé l'héritage ?

    Tu as regardé avec l'assistant de résultat ou gpresult ?

    utre question, si mes deux GPO sont actives, la GPO appliquant les paramètres du fichiers xml sont pris en priorité par rapport à ceux de ma GPO qui traite les paramètres 

    Il n'y a pas de notion de priorité entre deux paramètres différents ... Les deux s'appliquent. Avec la notion de calque virtuel qui se superpose, (le moins prioritaire en dessous : exécuté en premier), comme une GPO modifie un autre endroit du calque elle ne cache pas le paramètre du calque en dessous. 

    mercredi 22 août 2018 08:11
    Modérateur
  • Tu n'as pas coupé l'héritage ?

    Je n'ai pas souvenir de l'avoir coupé.. Tu check cet élément dans un gpresult ?

    Tu as regardé avec l'assistant de résultat ou gpresult ?

    Dans le gpresult les deux GPO sont bien appliquées

    Il n'y a pas de notion de priorité entre deux paramètres différents ... 

    Le paramètre n'est pas le même dans la GPO, mais au final, ils agissent sur les mêmes éléments.. les clés registres, c'est ça qui est un peu frustrant !

    Du coup je vois pas trop comment faire :/

    mercredi 22 août 2018 08:46