6 réponses à ce sujet

[Demonaz]

Yop !

Une question technique pour changer.
Je m'interroge sur le fonctionnement des GPO dans l'AD.
J'ai lu que les GPO ne s'appliquent qu'à des utilisateurs ou à des ordinateurs et non à des groupes.
J'ai une OU avec 2 GPO. Dans cette OU j'ai 7-8 groupes et un ordinateur (serveur).
Quand je me connecte sur le serveur, j'ai une GPO utilisateur qui s'applique bien qu'en tant qu'objet utilisateur je ne sois pas dans l'OU.

1 - Est-ce que cela veut dire que c'est le fait de me connecter au serveur qui déclenche l'application de la GPO ?
2 - Est-ce que cette GPO prévaut sur celle de mon OU d'origine ?
3 - Si j'ai des groupes qui servent à filtrer l'application d'une règle, est-ce que je suis obligé de positionner les groupes dans l'OU contenant les GPO ou est-ce que je peux les mettre dans une autre OU ?

[elem]

alors suivant ton OS c'est variable, je sais qu'il faut faire attantion au fait que tes utilisateurs qui ne sont pas admin ou encore groupe, doivent être activé pour être utilisé localement sur le serveur. ensuite l'idée de ne pas pouvoir me semble folle, perso je n'ai jamais tester mais c'est tous a fais possible, vu que tes groupes apparaissent comme des utilisateurs dans la gestion de la GPO.

[Demonaz]

C'est du Windows Serveur 2003 R2.

[elem]

et bien alors oui c'est totalement possible, étant donné que j'ai appris a m'en servir sur NT4 et 2000  [clap]

edit : tiens je suis tomber sur un de tes topic sur generation-nt si c'est bien toi, c'est vrai que sa semble louche, il y a rien qui parle de ça... en tout cas tu peu y placé des contraintes et des droits sur ton groupe, même si ce n'est pas une gpo a proprement dite.

re-edit: je confirme c'est tous a fais possible je suis tomber la dessus  :mrgreen:

Citation

tu peux parfaitement faire ça par une GPO de type Groupes restreints.
Un bon lien sur la mise en place de ce type de GPO ici :
http://www.laboratoi...pes_restreints/

En revanche, j'attire ton attention sur un point.
- Ce type de GPO est destructif, autrement dit, à part le compte
administrateur local du poste (qu'on ne peut pas virer comme ça) tous les
autres comptes et groupes membres vont sauter => Y compris le groupe Admins.
du domaine donc toi :s

Si tu souhaite gérer ça de manière additif, en conservant les membres
actuels dans le groupe concerné je ne penses pas que tu puisse faire ça
autrement que par script.
Un exemple chez moi :
http://blog.portail-...ateurs-local-v2

[Demonaz]

Nan j'ai pas demandé sur GNT :)

Je viens de tomber sur un paramètres intéressant: Mode de traitement par boucle de rappel de la stratégie de groupe utilisateur
Qui défini comment la GPO interagi avec une autre GPO. En gros on dit que la GPO qui s'applique à l'ordinateur concerne aussi l'utilisateur soit en fusionnant les GPO, soit en les remplaçant. C'était le truc que je cherchais :)

[dup]

plop demo

c très vastes les gpo

là je ne l'ai plus en tete, mais y'a un ordre d'application suivant si c une strategie locale, d'OU, de domaine et de foret

pour compliquer la chose, tu peux forcer une gpo par rapport à une autre

et pour encore bien foutre la tete en vrac, tu peux dire au système de ne pas passer outre une gpo

bref

si mes souvenirs sont bons, les gpo se cumulent, et le plus restrictif l'emporte

par exemple, si une gpo du domaine force un password de 6 caractères, et qu'un gpo d'OU demande 7, alors il faudra 7 caractère

ne pas hésiter à utiliser la mmc gpresult (ou RSOP), qui une fois loggué, te donne les paramètres appliquées pour ton user sur ton pc

++

[Demonaz]

Merci des infos mon p'tit dup !

Je me fais une partie du boulot de l'admin réseau et système sans avoir eu de formation, alors au bout d'un moment ça devient chaud...