GPO Windows Server : l'incompréhension
Résolu/Fermé
Needix59
Messages postés
424
Date d'inscription
lundi 3 novembre 2014
Statut
Membre
Dernière intervention
8 mai 2020
-
Modifié le 29 oct. 2019 à 16:38
simongremaud Messages postés 761 Date d'inscription mercredi 23 janvier 2013 Statut Membre Dernière intervention 7 novembre 2019 - 7 nov. 2019 à 22:11
simongremaud Messages postés 761 Date d'inscription mercredi 23 janvier 2013 Statut Membre Dernière intervention 7 novembre 2019 - 7 nov. 2019 à 22:11
1 réponse
simongremaud
Messages postés
761
Date d'inscription
mercredi 23 janvier 2013
Statut
Membre
Dernière intervention
7 novembre 2019
320
2 nov. 2019 à 22:58
2 nov. 2019 à 22:58
Bonjour,
Pour répondre à vos questions :
Pour la première question, il s'agit du droit d'imprimer sur l'imprimante, il ne faut pas confondre avec l'application de la GPO. Vous pouvez la déployer à une OU sans qu'ils n'aient le droit d'imprimer avec. Pour ce réglage, ça n'a que peu de sens, mais pour donner l'accès aux réglages de l'imprimante à un utilisateur spécifique, ça prend tout son sens.
La deuxième question concernant les emplacements. Non ce n'est pas correct. Si c'est un paramètre utilisateur, il sera appliqué pour les 3 utilisateurs, quelle que soit la machine sur laquelle ils se connectent. Si c'est un paramètre ordinateur, il va s'appliquer à l'ordinateur 01, qu'importe l'utilisateur.
Il est important de différencier les paramètres ordinateurs et utilisateurs.
Les paramètres ordinateur influent sur la machine, qu'importe l'utilisateur.
Les paramètres utilisateurs influent uniquement sur la session de l'utilisateur ciblé, qu'importe l'ordinateur utilisé.
Lors du ciblage sur une OU contenant des ordinateurs, les paramètres de la GPO liée à cette OU primera sur une GPO liée à un utilisateur. Il faut activer la fusion des paramètres pour que ça fonctionne. Des détails ici : http://www.microsoft-desktop.com/2010/05/le-loopback-processing-ou-traitement-par-boucle-de-rappel-pour-les-nuls/
Au niveau du filtrage de sécurité, c'est ici pour l'application de la GPO. Par principe, on l'applique à tous les utilisateurs authentifiés et le filtrage se fait par OU, ou par ciblage au niveau de l'élément. Si vous souhaitez quand même utiliser cette option, en supprimant utilisateurs authentifiés, qui est un groupe global, dont font partie tous les utilisateurs connectés, vous devez modifier ses authorisations et non le supprimer. Il faut aller dans l'onglet délégation et enlever le droit d'appliquer la GPO au groupe utilisateurs authetifiés. Ce groupe prime sur les autres groupes pour les droits GPO.
Si on ne met rien : que ce passe t-il ? Personne ne récupère la GPO ? Ou toute l'OU la récupère ?
Personne, car personne n'a le droit de lecture dessus
Si on met l'utilisateur A : Seul l'utilisateur A s'il est présent dans l'OU y a accès ?
Personne, car il faut le droit de lecture pour utilisateurs authentifiés
Si on met utilisateurs authentifiés : Seul les utilisateurs authentifiés et au sein de 'lOU récupère la GPO ? Ou tous les utilisateurs authentifiés du domaine ? Oulaaa mais attendez ! On peut mettre à la fois des utilisateurs et à la fois des ordinateurs ? Que ce passe t-il si on met soit l'un soit l'autre ?
Seulement au sein de l'OU. Vous pouvez ici mettre des utilisateurs et des ordinateurs, il faut bien comprendre les différents paramètres ordinateur ou utilisateur pour utiliser ce filtrage de sécurité.
Mais à quoi sert cela ? et pourquoi tout ce que je met dans le filtrage de sécurité se met dans la délégation ?
Car l'autorisation de lecture de la GPO est nécessaire pour être appliquée.
Encore un filtrage ? Mais ça devient une habitude ? Et en plus on peut cibler des OU, des utilisateurs et des ordinateurs autres que ceux déjà présent dans l'OU ou se trouve ma GPO ? Alors là..... Quelqu'un peut m'expliquer ? Je nage dans l'océan.
On peut les cibler, mais ce ne sera pas appliqué, car le lien vers l'OU prime. De mon expérience, ce réglage est surtout utile par exemple pour mettre une imprimante par défaut à un groupe d'utilisateur, lorsque la GPO est ciblée sur une OU ordinateur et non utilisateur afin que le réglage ne soit appliqué que sur les ordinateurs concernés.
Vous pouvez trouver un peu plus d'explication ici : https://dybbugt.no/2018/794/
Cordialement
Pour répondre à vos questions :
Pour la première question, il s'agit du droit d'imprimer sur l'imprimante, il ne faut pas confondre avec l'application de la GPO. Vous pouvez la déployer à une OU sans qu'ils n'aient le droit d'imprimer avec. Pour ce réglage, ça n'a que peu de sens, mais pour donner l'accès aux réglages de l'imprimante à un utilisateur spécifique, ça prend tout son sens.
La deuxième question concernant les emplacements. Non ce n'est pas correct. Si c'est un paramètre utilisateur, il sera appliqué pour les 3 utilisateurs, quelle que soit la machine sur laquelle ils se connectent. Si c'est un paramètre ordinateur, il va s'appliquer à l'ordinateur 01, qu'importe l'utilisateur.
Il est important de différencier les paramètres ordinateurs et utilisateurs.
Les paramètres ordinateur influent sur la machine, qu'importe l'utilisateur.
Les paramètres utilisateurs influent uniquement sur la session de l'utilisateur ciblé, qu'importe l'ordinateur utilisé.
Lors du ciblage sur une OU contenant des ordinateurs, les paramètres de la GPO liée à cette OU primera sur une GPO liée à un utilisateur. Il faut activer la fusion des paramètres pour que ça fonctionne. Des détails ici : http://www.microsoft-desktop.com/2010/05/le-loopback-processing-ou-traitement-par-boucle-de-rappel-pour-les-nuls/
Au niveau du filtrage de sécurité, c'est ici pour l'application de la GPO. Par principe, on l'applique à tous les utilisateurs authentifiés et le filtrage se fait par OU, ou par ciblage au niveau de l'élément. Si vous souhaitez quand même utiliser cette option, en supprimant utilisateurs authentifiés, qui est un groupe global, dont font partie tous les utilisateurs connectés, vous devez modifier ses authorisations et non le supprimer. Il faut aller dans l'onglet délégation et enlever le droit d'appliquer la GPO au groupe utilisateurs authetifiés. Ce groupe prime sur les autres groupes pour les droits GPO.
Si on ne met rien : que ce passe t-il ? Personne ne récupère la GPO ? Ou toute l'OU la récupère ?
Personne, car personne n'a le droit de lecture dessus
Si on met l'utilisateur A : Seul l'utilisateur A s'il est présent dans l'OU y a accès ?
Personne, car il faut le droit de lecture pour utilisateurs authentifiés
Si on met utilisateurs authentifiés : Seul les utilisateurs authentifiés et au sein de 'lOU récupère la GPO ? Ou tous les utilisateurs authentifiés du domaine ? Oulaaa mais attendez ! On peut mettre à la fois des utilisateurs et à la fois des ordinateurs ? Que ce passe t-il si on met soit l'un soit l'autre ?
Seulement au sein de l'OU. Vous pouvez ici mettre des utilisateurs et des ordinateurs, il faut bien comprendre les différents paramètres ordinateur ou utilisateur pour utiliser ce filtrage de sécurité.
Mais à quoi sert cela ? et pourquoi tout ce que je met dans le filtrage de sécurité se met dans la délégation ?
Car l'autorisation de lecture de la GPO est nécessaire pour être appliquée.
Encore un filtrage ? Mais ça devient une habitude ? Et en plus on peut cibler des OU, des utilisateurs et des ordinateurs autres que ceux déjà présent dans l'OU ou se trouve ma GPO ? Alors là..... Quelqu'un peut m'expliquer ? Je nage dans l'océan.
On peut les cibler, mais ce ne sera pas appliqué, car le lien vers l'OU prime. De mon expérience, ce réglage est surtout utile par exemple pour mettre une imprimante par défaut à un groupe d'utilisateur, lorsque la GPO est ciblée sur une OU ordinateur et non utilisateur afin que le réglage ne soit appliqué que sur les ordinateurs concernés.
Vous pouvez trouver un peu plus d'explication ici : https://dybbugt.no/2018/794/
Cordialement
Modifié le 4 nov. 2019 à 10:27
Un grand merci pour vos explications très claires !
Si j'ai bien compris, si je veux que tous mes utilisateurs puissent avoir accès à une imprimante A, mais uniquement sur les postes X, Y et Z, je lie ma GPO dans l'OU ou les OU ou se trouve mes utilisateurs, je met en ciblage "Utilisateurs authentifiés", dans délégation je met "Utilisateurs authentifiés" avec les droits de lecture (normalement déjà mis par défaut), et je rajoute un groupe contenant tous mes postes sur lesquels je veux que la GPO s'applique, avec les droits de lecture. Est-ce bien cela ?
Merci encore,
Cordialement,
Needix
5 nov. 2019 à 11:38
Je la lierais plutôt sur l'OU où se trouvent les postes, avec un ciblage au niveau de l'élément sur l'imprimante sur deux conditions comme suit :
Dans le groupe computer, mettez les postes X, Y et Z. Et dans le groupe utilisateur, tous les users concernés.
Cordialement
Modifié le 5 nov. 2019 à 13:34
Super merci ! ça fonctionne !
Ma solution décrite ci-dessus ne fonctionnerait pas ? Ou elle fonctionne mais il est préférable de faire comme vous l'avez décris ?
7 nov. 2019 à 22:11
Je pense que ça fonctionne, mais je n'ai pas l'habitude de le faire, je ne suis pas 100% sûr du ciblage sur les ordinateurs. Il faudrait aussi ajouter le groupe utilisateur je pense.
Cordialement