Yop !
Une question technique pour changer.
Je m'interroge sur le fonctionnement des GPO dans l'AD.
J'ai lu que les GPO ne s'appliquent qu'à des utilisateurs ou à des ordinateurs et non à des groupes.
J'ai une OU avec 2 GPO. Dans cette OU j'ai 7-8 groupes et un ordinateur (serveur).
Quand je me connecte sur le serveur, j'ai une GPO utilisateur qui s'applique bien qu'en tant qu'objet utilisateur je ne sois pas dans l'OU.
1 - Est-ce que cela veut dire que c'est le fait de me connecter au serveur qui déclenche l'application de la GPO ?
2 - Est-ce que cette GPO prévaut sur celle de mon OU d'origine ?
3 - Si j'ai des groupes qui servent à filtrer l'application d'une règle, est-ce que je suis obligé de positionner les groupes dans l'OU contenant les GPO ou est-ce que je peux les mettre dans une autre OU ?


Question AD et GPO
Débuté par Demonaz, juin 24 2008 10:05
6 réponses à ce sujet
#1 OFFLINE
Posté 24 juin 2008 - 10:05
#2 OFFLINE
Posté 24 juin 2008 - 10:27
alors suivant ton OS c'est variable, je sais qu'il faut faire attantion au fait que tes utilisateurs qui ne sont pas admin ou encore groupe, doivent être activé pour être utilisé localement sur le serveur. ensuite l'idée de ne pas pouvoir me semble folle, perso je n'ai jamais tester mais c'est tous a fais possible, vu que tes groupes apparaissent comme des utilisateurs dans la gestion de la GPO.
#3 OFFLINE
Posté 24 juin 2008 - 10:29
C'est du Windows Serveur 2003 R2.
#4 OFFLINE
Posté 24 juin 2008 - 10:31
et bien alors oui c'est totalement possible, étant donné que j'ai appris a m'en servir sur NT4 et 2000 [clap]
edit : tiens je suis tomber sur un de tes topic sur generation-nt si c'est bien toi, c'est vrai que sa semble louche, il y a rien qui parle de ça... en tout cas tu peu y placé des contraintes et des droits sur ton groupe, même si ce n'est pas une gpo a proprement dite.
re-edit: je confirme c'est tous a fais possible je suis tomber la dessus :mrgreen:
edit : tiens je suis tomber sur un de tes topic sur generation-nt si c'est bien toi, c'est vrai que sa semble louche, il y a rien qui parle de ça... en tout cas tu peu y placé des contraintes et des droits sur ton groupe, même si ce n'est pas une gpo a proprement dite.
re-edit: je confirme c'est tous a fais possible je suis tomber la dessus :mrgreen:
Citation
tu peux parfaitement faire ça par une GPO de type Groupes restreints.
Un bon lien sur la mise en place de ce type de GPO ici :
http://www.laboratoi...pes_restreints/
En revanche, j'attire ton attention sur un point.
- Ce type de GPO est destructif, autrement dit, à part le compte
administrateur local du poste (qu'on ne peut pas virer comme ça) tous les
autres comptes et groupes membres vont sauter => Y compris le groupe Admins.
du domaine donc toi :s
Si tu souhaite gérer ça de manière additif, en conservant les membres
actuels dans le groupe concerné je ne penses pas que tu puisse faire ça
autrement que par script.
Un exemple chez moi :
http://blog.portail-...ateurs-local-v2
Un bon lien sur la mise en place de ce type de GPO ici :
http://www.laboratoi...pes_restreints/
En revanche, j'attire ton attention sur un point.
- Ce type de GPO est destructif, autrement dit, à part le compte
administrateur local du poste (qu'on ne peut pas virer comme ça) tous les
autres comptes et groupes membres vont sauter => Y compris le groupe Admins.
du domaine donc toi :s
Si tu souhaite gérer ça de manière additif, en conservant les membres
actuels dans le groupe concerné je ne penses pas que tu puisse faire ça
autrement que par script.
Un exemple chez moi :
http://blog.portail-...ateurs-local-v2
#5 OFFLINE
Posté 24 juin 2008 - 12:24
Nan j'ai pas demandé sur GNT :)
Je viens de tomber sur un paramètres intéressant: Mode de traitement par boucle de rappel de la stratégie de groupe utilisateur
Qui défini comment la GPO interagi avec une autre GPO. En gros on dit que la GPO qui s'applique à l'ordinateur concerne aussi l'utilisateur soit en fusionnant les GPO, soit en les remplaçant. C'était le truc que je cherchais :)
Je viens de tomber sur un paramètres intéressant: Mode de traitement par boucle de rappel de la stratégie de groupe utilisateur
Qui défini comment la GPO interagi avec une autre GPO. En gros on dit que la GPO qui s'applique à l'ordinateur concerne aussi l'utilisateur soit en fusionnant les GPO, soit en les remplaçant. C'était le truc que je cherchais :)
#6 OFFLINE
Posté 24 juin 2008 - 21:33
plop demo
c très vastes les gpo
là je ne l'ai plus en tete, mais y'a un ordre d'application suivant si c une strategie locale, d'OU, de domaine et de foret
pour compliquer la chose, tu peux forcer une gpo par rapport à une autre
et pour encore bien foutre la tete en vrac, tu peux dire au système de ne pas passer outre une gpo
bref
si mes souvenirs sont bons, les gpo se cumulent, et le plus restrictif l'emporte
par exemple, si une gpo du domaine force un password de 6 caractères, et qu'un gpo d'OU demande 7, alors il faudra 7 caractère
ne pas hésiter à utiliser la mmc gpresult (ou RSOP), qui une fois loggué, te donne les paramètres appliquées pour ton user sur ton pc
++
c très vastes les gpo
là je ne l'ai plus en tete, mais y'a un ordre d'application suivant si c une strategie locale, d'OU, de domaine et de foret
pour compliquer la chose, tu peux forcer une gpo par rapport à une autre
et pour encore bien foutre la tete en vrac, tu peux dire au système de ne pas passer outre une gpo
bref
si mes souvenirs sont bons, les gpo se cumulent, et le plus restrictif l'emporte
par exemple, si une gpo du domaine force un password de 6 caractères, et qu'un gpo d'OU demande 7, alors il faudra 7 caractère
ne pas hésiter à utiliser la mmc gpresult (ou RSOP), qui une fois loggué, te donne les paramètres appliquées pour ton user sur ton pc
++

#7 OFFLINE
Posté 26 juin 2008 - 13:10
Merci des infos mon p'tit dup !
Je me fais une partie du boulot de l'admin réseau et système sans avoir eu de formation, alors au bout d'un moment ça devient chaud...
Je me fais une partie du boulot de l'admin réseau et système sans avoir eu de formation, alors au bout d'un moment ça devient chaud...
0 utilisateur(s) li(sen)t ce sujet
0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)