none
Problèmes de GPO qui ne sont pas appliqués car refusés. RRS feed

  • Question

  • Bonjour à tous,

     

    Je viens vers vous car j'ai un problème qui me taraude depuis plusieurs jours et j'avoue être à cours d'idée.

     

    J'ai créé un GPO tout bête qui fichier sur le bureau de l'utilisateur.

    En soit, ce n'est pas très compliqué. mon problème se pose lors de l'application de la GPO.

    Voici ce que j'obtiens lorsque je fais un GPupdate /force puis un GPresult /r

    Outil de résultat du système d'exploitation Microsoft (R) Windows (R) v2.0

    ¸ 2018 Microsoft Corporation. Tous droits r2serv2s.

     

    Créé le 25/05/2018 … 10:38:11

     

     

     

    Donn2es RSOP pour <DOMAIN>\gaetan.martin sur <COMPUTER> : mode journalisation

    --------------------------------------------------------------------------

     

    Configuration du système d'exploitation : Station de travail membre

    Version du système d'exploitation...... : 10.0.17134

    Nom du site............................ : <SITE>

    Profil itin2rant :             N/A

    Profil local........................... : C:\Users\gaetan.martin

    Connexion via une liaison lente ? : Non

     

     

    Paramètre de l'ordinateur

    --------------------------

        CN=<COMPUTER>,CN=Computers,DC=<DOMAIN>

        Heure de la dernière application de la stratégie de groupe : 25/05/2018 … 10:28:42

        Stratégie de groupe appliquée depuis :     <SERVER>.<DOMAIN>

        Seuil de liaison lente dans la stratégie de groupe :   500 kbps

        Nom du domaine.........................: <DOMAIN>

        Type de domaine........................ : Windows 2008 ou supérieur

     

        Objets Stratégie de groupe appliqués

        -------------------------------------

            Default Domain Policy

            FusionInventory Agent Deployment

     

        Les objets stratégie de groupe n'ont pas été appliqués

        car ils ont été refusés

        -----------------------------------------------------------------------------------

            Stratégie de groupe locale

              Filtrage :  Non appliqué (vide)

     

        L'ordinateur fait partie des groupes de sécurité suivants

        ---------------------------------------------------------

            Administrateurs

            Tout le monde

            Utilisateurs

            RESEAU

            Utilisateurs authentifiés

            Cette organisation

            <COMPUTER>$

            Domain Computers

            Identité déclarée par une autorité d'authentification

            Niveau obligatoire système

            

     

    PARAMETRES UTILISATEURS

    ------------------------

        CN=Ga‰tan Martin,OU=Users,OU=<DOMAIN>

        Heure de la dernière application de la stratégie de groupe : 25/05/2018 … 10:33:01

        Stratégie de groupe appliquée depuis :      <SERVER>.<DOMAIN>

        Seuil de liaison lente dans la stratégie de groupe :   500 kbps

        Nom du domaine:                        <DOMAIN>

        Type de domaine :                        Windows 2008 ou supérieur

        

        Objets Stratégie de groupe appliqués

        -------------------------------------

            Service - Silae

            Update computer description

     

        Les objets stratégie de groupe n'ont pas été appliqués

        car ils ont été refusés

        -----------------------------------------------------------------------------------

            Stratégie de groupe locale

              Filtrage :  Non appliqué (vide)

     

            Security - BL activation

              Filtrage :  Non appliqué (raison inconnue)

     

        L'utilisateur fait partie des groupes de sécurité suivants

        ----------------------------------------------------------

            Domain Users

            Tout le monde

            Utilisateurs

            Administrateurs

            INTERACTIF

            OUVERTURE DE SESSION DE CONSOLE

            Utilisateurs authentifiés

            Cette organisation

            LOCAL

            FR-IT-Team

            Domain Admins

            NAS-IT

            Identité déclarée par une autorité d'authentification

            Denied RODC Password Replication Group

            Niveau obligatoire élevé

     

    J'ai cherché un peu partout ce qui pouvait posé problème. un GPresult /h XXX /F me fournit le RSOP, où j'ai une indication comme quoi l'héritage bloque ma GPO, or je n'ai pas d'héritage coupé sur l'OU où s'applique ma GPO. Que je l'applique directement à la racine du domaine, où que je l'applique sur un site en particulier, j'ai toujours le même problème.

     

    J'ai envisagé un problème de droit, j'ai donc attribué les droits de lecture sur la GPO et vérifié qu'il s'appliquait bien à mon dossier sysvol. tout s'applique, pas de problème à ce niveau-là.

     

    Sur mon observateur d'évènement, j'ai l'indication suivante :

    L’élément de préférence « Silae » utilisateur de l’objet de stratégie de groupe « Service - Silae {04C1AE13-2099-4DB0-B3B9-835C7F6EEF63} » n’a pas été appliqué car il a échoué avec le code d’erreur « 0x80070002 Le fichier spécifié est introuvable. » Cette erreur a été supprimée.

     

    Si l'un de vous a une idée pour solutionner le problème, je lui en serais très reconnaissant, parce que je m'arrache les cheveux sur ce problème depuis trop longtemps …

     

    Cordialement,

    Gaetan


    • Modifié Gaetan MARTIN vendredi 25 mai 2018 15:23 corrections de fautes
    vendredi 25 mai 2018 14:56

Réponses

  • Après une étude "poussée" des paramètres de ma GPO, j'ai fait une modification sur le target de ma GPO

    en mettant C:\Users\%username%\desktop\Silae.lnk à la place de %DesktopDir%, le raccourci apparait bien.

    Reste à voir pourquoi les paramètres de base ne fonctionnent pas.

    Idem pour la seconde GPO : Security - BL Activation qui tombe en erreur sans que je sache pourquoi.
    lundi 28 mai 2018 08:35

Toutes les réponses

  • Bonjour Gaetan,

    -Vérifier que l'utilisateur/ordinateur est bien dans l'OU ou une OU descendante de celle ou la GPO est liée.

    -Vérifier quelle est le filtre de sécurité que vous avez appliqué au niveau de la GPO.

    *Si vous n'avez pas besoin de filtrage sur les groupes, il suffit de rajouter le groupe utilisateur authentifié sur votre stratégie de groupe.

    *Si vous souhaitez filtrer les utilisateurs il faut ajouter le groupe de sécurité « ordinateurs du domaine »


    Donnez des informations sur vos environnements ainsi que les codes erreurs. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème

    vendredi 25 mai 2018 16:12
  • Voila un lien en plus :

    https://www.it-connect.fr/les-gpo-ne-sappliquent-pas-14-pistes-a-etudier/


    Donnez des informations sur vos environnements ainsi que les codes erreurs. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème

    vendredi 25 mai 2018 16:14
  • Tu as combien de DC ?  

    Tu as vérifié qu'il n'y a pas de problème dans l'AD avec Dcdiag ?

    Tu as vérifié la réplication AD ? La réplication sysvol ?

    samedi 26 mai 2018 04:33
    Modérateur
  • Bonjour,

    J'ai 3 DC un par site de la boite.

    le dcdiag ne m'affiche qu'une erreur, liée aux sites, mais ma GPO n'est lié que sur l'OU User. (cf ci-dessous)


    Directory Server Diagnosis


    Performing initial setup:

       Trying to find home server...

       Home Server = <SERVER>

       * Identified AD Forest.
       Done gathering initial info.


    Doing initial required tests

       
       Testing server: <SITE>\<SERVER>

          Starting test: Connectivity

             ......................... <SERVER> passed test Connectivity



    Doing primary tests

       
       Testing server: PARIS\<SERVER>

          Starting test: Advertising

             ......................... <SERVER> passed test Advertising

          Starting test: FrsEvent

             ......................... <SERVER> passed test FrsEvent

          Starting test: DFSREvent

             ......................... <SERVER> passed test DFSREvent

          Starting test: SysVolCheck

             ......................... <SERVER> passed test SysVolCheck

          Starting test: KccEvent

             ......................... <SERVER> passed test KccEvent

          Starting test: KnowsOfRoleHolders

             ......................... <SERVER> passed test KnowsOfRoleHolders

          Starting test: MachineAccount

             ......................... <SERVER> passed test MachineAccount

          Starting test: NCSecDesc

             ......................... <SERVER> passed test NCSecDesc

          Starting test: NetLogons

             ......................... <SERVER> passed test NetLogons

          Starting test: ObjectsReplicated

             ......................... <SERVER> passed test ObjectsReplicated

          Starting test: Replications

             ......................... <SERVER> passed test Replications

          Starting test: RidManager

             ......................... <SERVER> passed test RidManager

          Starting test: Services

             ......................... <SERVER> passed test Services

          Starting test: SystemLog

             A warning event occurred.  EventID: 0x000016AF

                Time Generated: 05/28/2018   09:24:45

                Event String:

                During the past 4.12 hours there have been 4 connections to this Domain Controller from client machines whose IP addresses don't map to any of the existing sites in the enterprise. Those clients, therefore, have undefined sites and may connect to any Domain Controller including those that are in far distant locations from the clients. A client's site is determined by the mapping of its subnet to one of the existing sites. To move the above clients to one of the sites, please consider creating subnet object(s) covering the above IP addresses with mapping to one of the existing sites.  The names and IP addresses of the clients in question have been logged on this computer in the following log file '%SystemRoot%\debug\netlogon.log' and, potentially, in the log file '%SystemRoot%\debug\netlogon.bak' created if the former log becomes full. The log(s) may contain additional unrelated debugging information. To filter out the needed information, please search for lines which contain text 'NO_CLIENT_SITE:'. The first word after this string is the client name and the second word is the client IP address. The maximum size of the log(s) is controlled by the following registry DWORD value 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\LogFileMaxSize'; the default is 20000000 bytes.  The current maximum size is 20000000 bytes.  To set a different maximum size, create the above registry value and set the desired maximum size in bytes.

             ......................... <SERVER> passed test SystemLog

          Starting test: VerifyReferences

             ......................... <SERVER> passed test VerifyReferences

       
       
       Running partition tests on : ForestDnsZones

          Starting test: CheckSDRefDom

             ......................... ForestDnsZones passed test CheckSDRefDom

          Starting test: CrossRefValidation

             ......................... ForestDnsZones passed test

             CrossRefValidation

       
       Running partition tests on : DomainDnsZones

          Starting test: CheckSDRefDom

             ......................... DomainDnsZones passed test CheckSDRefDom

          Starting test: CrossRefValidation

             ......................... DomainDnsZones passed test

             CrossRefValidation

       
       Running partition tests on : Schema

          Starting test: CheckSDRefDom

             ......................... Schema passed test CheckSDRefDom

          Starting test: CrossRefValidation

             ......................... Schema passed test CrossRefValidation

       
       Running partition tests on : Configuration

          Starting test: CheckSDRefDom

             ......................... Configuration passed test CheckSDRefDom

          Starting test: CrossRefValidation

             ......................... Configuration passed test CrossRefValidation

       
       Running partition tests on : DOMAIN

          Starting test: CheckSDRefDom

             ......................... DOMAIN passed test CheckSDRefDom

          Starting test: CrossRefValidation

             ......................... DOMAIN passed test CrossRefValidation

       
       Running enterprise tests on : <DOMAIN>

          Starting test: LocatorCheck

             ......................... <DOMAIN> passed test LocatorCheck

          Starting test: Intersite

             ......................... <DOMAIN> passed test Intersite

    Je force la réplication AD via la commande : Start-ADSyncSyncCycle -PolicyType Delta

    lundi 28 mai 2018 08:35
  • Après une étude "poussée" des paramètres de ma GPO, j'ai fait une modification sur le target de ma GPO

    en mettant C:\Users\%username%\desktop\Silae.lnk à la place de %DesktopDir%, le raccourci apparait bien.

    Reste à voir pourquoi les paramètres de base ne fonctionnent pas.

    Idem pour la seconde GPO : Security - BL Activation qui tombe en erreur sans que je sache pourquoi.
    lundi 28 mai 2018 08:35
  • Je force la réplication AD via la commande : Start-ADSyncSyncCycle -PolicyType Delta

    ???????????????????

    JE parle pas de forcer mais de vérifier. JE ne parle pas de la synchro Azure mais de la réplication entre les DC.

    Sinon sur Dcdiag c'est un avertissement qui vient de l'observateur d'événement, donc pas grave.


    lundi 28 mai 2018 10:33
    Modérateur
  • Désolé Philippe, j'avais mal interprété la question.

    La réplication AD et SYSVOL se font correctement.

    Le problème venait d'un paramètre mal utilisé de mon côté.

    Merci beaucoup pour l'aide apporter.

    A bientôt.

    lundi 28 mai 2018 11:27
  • Bonjour,

    Et quel est ce mauvais paramètres ? Dans une GPO ? Dans les Sites and Services ? Autre ?

    Cdlt,

    jeudi 16 janvier 2020 16:35