GPO Windows Server : l'incompréhension
Résolu
Needix59
Messages postés
424
Date d'inscription
Statut
Membre
Dernière intervention
-
simongremaud Messages postés 761 Date d'inscription Statut Membre Dernière intervention -
simongremaud Messages postés 761 Date d'inscription Statut Membre Dernière intervention -
A voir également:
- Filtrage : refusé (sécurité)
- Clé windows 8 - Guide
- Montage video windows - Guide
- Windows ne démarre pas - Guide
- Windows movie maker - Télécharger - Montage & Édition
- Restauration systeme windows 10 - Guide
1 réponse
Bonjour,
Pour répondre à vos questions :
Pour la première question, il s'agit du droit d'imprimer sur l'imprimante, il ne faut pas confondre avec l'application de la GPO. Vous pouvez la déployer à une OU sans qu'ils n'aient le droit d'imprimer avec. Pour ce réglage, ça n'a que peu de sens, mais pour donner l'accès aux réglages de l'imprimante à un utilisateur spécifique, ça prend tout son sens.
La deuxième question concernant les emplacements. Non ce n'est pas correct. Si c'est un paramètre utilisateur, il sera appliqué pour les 3 utilisateurs, quelle que soit la machine sur laquelle ils se connectent. Si c'est un paramètre ordinateur, il va s'appliquer à l'ordinateur 01, qu'importe l'utilisateur.
Il est important de différencier les paramètres ordinateurs et utilisateurs.
Les paramètres ordinateur influent sur la machine, qu'importe l'utilisateur.
Les paramètres utilisateurs influent uniquement sur la session de l'utilisateur ciblé, qu'importe l'ordinateur utilisé.
Lors du ciblage sur une OU contenant des ordinateurs, les paramètres de la GPO liée à cette OU primera sur une GPO liée à un utilisateur. Il faut activer la fusion des paramètres pour que ça fonctionne. Des détails ici : http://www.microsoft-desktop.com/2010/05/le-loopback-processing-ou-traitement-par-boucle-de-rappel-pour-les-nuls/
Au niveau du filtrage de sécurité, c'est ici pour l'application de la GPO. Par principe, on l'applique à tous les utilisateurs authentifiés et le filtrage se fait par OU, ou par ciblage au niveau de l'élément. Si vous souhaitez quand même utiliser cette option, en supprimant utilisateurs authentifiés, qui est un groupe global, dont font partie tous les utilisateurs connectés, vous devez modifier ses authorisations et non le supprimer. Il faut aller dans l'onglet délégation et enlever le droit d'appliquer la GPO au groupe utilisateurs authetifiés. Ce groupe prime sur les autres groupes pour les droits GPO.
Si on ne met rien : que ce passe t-il ? Personne ne récupère la GPO ? Ou toute l'OU la récupère ?
Personne, car personne n'a le droit de lecture dessus
Si on met l'utilisateur A : Seul l'utilisateur A s'il est présent dans l'OU y a accès ?
Personne, car il faut le droit de lecture pour utilisateurs authentifiés
Si on met utilisateurs authentifiés : Seul les utilisateurs authentifiés et au sein de 'lOU récupère la GPO ? Ou tous les utilisateurs authentifiés du domaine ? Oulaaa mais attendez ! On peut mettre à la fois des utilisateurs et à la fois des ordinateurs ? Que ce passe t-il si on met soit l'un soit l'autre ?
Seulement au sein de l'OU. Vous pouvez ici mettre des utilisateurs et des ordinateurs, il faut bien comprendre les différents paramètres ordinateur ou utilisateur pour utiliser ce filtrage de sécurité.
Mais à quoi sert cela ? et pourquoi tout ce que je met dans le filtrage de sécurité se met dans la délégation ?
Car l'autorisation de lecture de la GPO est nécessaire pour être appliquée.
Encore un filtrage ? Mais ça devient une habitude ? Et en plus on peut cibler des OU, des utilisateurs et des ordinateurs autres que ceux déjà présent dans l'OU ou se trouve ma GPO ? Alors là..... Quelqu'un peut m'expliquer ? Je nage dans l'océan.
On peut les cibler, mais ce ne sera pas appliqué, car le lien vers l'OU prime. De mon expérience, ce réglage est surtout utile par exemple pour mettre une imprimante par défaut à un groupe d'utilisateur, lorsque la GPO est ciblée sur une OU ordinateur et non utilisateur afin que le réglage ne soit appliqué que sur les ordinateurs concernés.
Vous pouvez trouver un peu plus d'explication ici : https://dybbugt.no/2018/794/
Cordialement
Pour répondre à vos questions :
Pour la première question, il s'agit du droit d'imprimer sur l'imprimante, il ne faut pas confondre avec l'application de la GPO. Vous pouvez la déployer à une OU sans qu'ils n'aient le droit d'imprimer avec. Pour ce réglage, ça n'a que peu de sens, mais pour donner l'accès aux réglages de l'imprimante à un utilisateur spécifique, ça prend tout son sens.
La deuxième question concernant les emplacements. Non ce n'est pas correct. Si c'est un paramètre utilisateur, il sera appliqué pour les 3 utilisateurs, quelle que soit la machine sur laquelle ils se connectent. Si c'est un paramètre ordinateur, il va s'appliquer à l'ordinateur 01, qu'importe l'utilisateur.
Il est important de différencier les paramètres ordinateurs et utilisateurs.
Les paramètres ordinateur influent sur la machine, qu'importe l'utilisateur.
Les paramètres utilisateurs influent uniquement sur la session de l'utilisateur ciblé, qu'importe l'ordinateur utilisé.
Lors du ciblage sur une OU contenant des ordinateurs, les paramètres de la GPO liée à cette OU primera sur une GPO liée à un utilisateur. Il faut activer la fusion des paramètres pour que ça fonctionne. Des détails ici : http://www.microsoft-desktop.com/2010/05/le-loopback-processing-ou-traitement-par-boucle-de-rappel-pour-les-nuls/
Au niveau du filtrage de sécurité, c'est ici pour l'application de la GPO. Par principe, on l'applique à tous les utilisateurs authentifiés et le filtrage se fait par OU, ou par ciblage au niveau de l'élément. Si vous souhaitez quand même utiliser cette option, en supprimant utilisateurs authentifiés, qui est un groupe global, dont font partie tous les utilisateurs connectés, vous devez modifier ses authorisations et non le supprimer. Il faut aller dans l'onglet délégation et enlever le droit d'appliquer la GPO au groupe utilisateurs authetifiés. Ce groupe prime sur les autres groupes pour les droits GPO.
Si on ne met rien : que ce passe t-il ? Personne ne récupère la GPO ? Ou toute l'OU la récupère ?
Personne, car personne n'a le droit de lecture dessus
Si on met l'utilisateur A : Seul l'utilisateur A s'il est présent dans l'OU y a accès ?
Personne, car il faut le droit de lecture pour utilisateurs authentifiés
Si on met utilisateurs authentifiés : Seul les utilisateurs authentifiés et au sein de 'lOU récupère la GPO ? Ou tous les utilisateurs authentifiés du domaine ? Oulaaa mais attendez ! On peut mettre à la fois des utilisateurs et à la fois des ordinateurs ? Que ce passe t-il si on met soit l'un soit l'autre ?
Seulement au sein de l'OU. Vous pouvez ici mettre des utilisateurs et des ordinateurs, il faut bien comprendre les différents paramètres ordinateur ou utilisateur pour utiliser ce filtrage de sécurité.
Mais à quoi sert cela ? et pourquoi tout ce que je met dans le filtrage de sécurité se met dans la délégation ?
Car l'autorisation de lecture de la GPO est nécessaire pour être appliquée.
Encore un filtrage ? Mais ça devient une habitude ? Et en plus on peut cibler des OU, des utilisateurs et des ordinateurs autres que ceux déjà présent dans l'OU ou se trouve ma GPO ? Alors là..... Quelqu'un peut m'expliquer ? Je nage dans l'océan.
On peut les cibler, mais ce ne sera pas appliqué, car le lien vers l'OU prime. De mon expérience, ce réglage est surtout utile par exemple pour mettre une imprimante par défaut à un groupe d'utilisateur, lorsque la GPO est ciblée sur une OU ordinateur et non utilisateur afin que le réglage ne soit appliqué que sur les ordinateurs concernés.
Vous pouvez trouver un peu plus d'explication ici : https://dybbugt.no/2018/794/
Cordialement
Un grand merci pour vos explications très claires !
Si j'ai bien compris, si je veux que tous mes utilisateurs puissent avoir accès à une imprimante A, mais uniquement sur les postes X, Y et Z, je lie ma GPO dans l'OU ou les OU ou se trouve mes utilisateurs, je met en ciblage "Utilisateurs authentifiés", dans délégation je met "Utilisateurs authentifiés" avec les droits de lecture (normalement déjà mis par défaut), et je rajoute un groupe contenant tous mes postes sur lesquels je veux que la GPO s'applique, avec les droits de lecture. Est-ce bien cela ?
Merci encore,
Cordialement,
Needix
Je la lierais plutôt sur l'OU où se trouvent les postes, avec un ciblage au niveau de l'élément sur l'imprimante sur deux conditions comme suit :
Dans le groupe computer, mettez les postes X, Y et Z. Et dans le groupe utilisateur, tous les users concernés.
Cordialement
Super merci ! ça fonctionne !
Ma solution décrite ci-dessus ne fonctionnerait pas ? Ou elle fonctionne mais il est préférable de faire comme vous l'avez décris ?
Je pense que ça fonctionne, mais je n'ai pas l'habitude de le faire, je ne suis pas 100% sûr du ciblage sur les ordinateurs. Il faudrait aussi ajouter le groupe utilisateur je pense.
Cordialement