none
Application de GPO avec imbrication de groupe dans des groupes RRS feed

  • Frage

  • Bonjour,

    Cela fait plusieurs années que j'ai des problèmes sur les GPO, mais je n'ai jamais trouvé d'explication claire et j'aimerais comprendre ce qui ne va pas.

    J'ai 2 GPO identiques, mais qui montent chacun un lecteur réseau différent.

    La 1ere, qui fonctionne, j'ai supprimé le compte "utilisateur authentifié" dans "étendue" « Filtrage de sécurité » et mis mon compte directement dedans -> RAS (j'ai bien sûr mis "utilisateurs authentifiés" dans délégation comme la dit Microsoft ici go.microsoft.com/fwlink/?linkid=843010)

    La 2eme, qui ne fonctionne pas, il me dit "refusé (Sécurité).

    Ce coup-ci, je n'ai plus mon compte directement dedans, mais j'ai mis un groupe AD "DRIVE_L" dans lequel j'ai mes groupes de service "SERVICE_SI", "SERVICE_RH",...etc

    Dans ce cas ca ne passe pas! Pourquoi ?

    SI je supprime ces groupes et que je mets mon compte directement, ca fonctionne.

    Ce qui est bizarre c'est que j'ai des GPO pour qui 2 niveaux de groupe fonctionnent, d'autres dès que j'ai 1 groupe ca ne passe plus.

    Je ne veux pas mettre mes users directement dedans, car ca serait pas productif. Je ne veux pas à chaque nouveau user passer 3h à repasser sur toute mes GPOs.

    Mittwoch, 12. Januar 2022 13:03

Alle Antworten

  • Bonjour

    La GPO est lier à quelle OU?

    Il est possible que la GPO soit liée à une OU et que dans cette OU il n'y ait pas les utilisateurs concernées.

    Pouvez vous fournir copie écran et descriptif de la GPO (filtre WMI....)?

    Cdt


    • Bearbeitet Milou16 Mittwoch, 12. Januar 2022 14:43
    Mittwoch, 12. Januar 2022 14:42
  • Quelques détails sur la GPO et les groupes et type de groupe que vous avez créé ?

    Sinon depuis 2016 et certaines mises à jours, il est nécessaire, si vous utilisez le filtrage qu'en plus de l'utilisateur ou du groupe contenant l'utilisateur, le compte d'ordinateur ou un groupe contenant le compte de l'ordinateur soit inclus. En effet, cette mise à jour à modifier le chargement des GPO depuis le DC en utilisant le contexte machine plutôt que l'utilisateur (raison de sécurité). Pour l'application des GPO c'est toujours le contexte utilisateur qui est pris.  

    http://pbarth.fr/node/186

    A noter le groupe "utilisateurs authentifiés" contient à la fois des comptes utilisateurs et les comptes ordinateurs. Un ordinateur est un utilisateur authentifié comme un autre ou presque...C'est pour cela qu'il est recommandé de mettre "utilisateurs authentifiés", sauf qu'il n'y a plus de filtrage sur un groupe...

    En mettant la machine ou le groupe ordinateurs du domaine + le groupe de l'utilisateur cela devrait fonctionner.

    Vous pouvez suivre l'ordre d'application des GPO par l'observateur d'événement : http://pbarth.fr/node/182

    Vous pouvez utilisez l'assitant resultat de stratégie de groupe ou GPresult afin d'avoir plus de détail

    Sinon un autre article :

    http://pbarth.fr/node/97

    Enfin un DCdiag et un repadmin /showrepl sur les DCs permettent de s'assurer qu'il n'y a pas un autre problème.



    Mittwoch, 12. Januar 2022 17:45
  • Bonjour,

    Pas de soucis a ce niveau car comme je le mets "SI je supprime ces groupes et que je mets mon compte directement, ca fonctionne." Donc c'est quee tout est bien fait à ce niveau et pas de filtre WMI.

    Dienstag, 25. Januar 2022 06:45
  • Bonjour,

    Je ne savais, merci beaucoup Philippe!

    Dès que j'ai un nouveau problème je test ca pour voir si cela peut corriger.

    Dienstag, 25. Januar 2022 06:47