Groupe de securité active directory
Résolu/Fermé
Utilisateur anonyme
-
14 mai 2021 à 16:28
choubaka Messages postés 39404 Date d'inscription jeudi 4 avril 2002 Statut Modérateur Dernière intervention 21 novembre 2024 - 18 mai 2021 à 09:21
choubaka Messages postés 39404 Date d'inscription jeudi 4 avril 2002 Statut Modérateur Dernière intervention 21 novembre 2024 - 18 mai 2021 à 09:21
A voir également:
- Groupe de securité active directory
- Créer un groupe whatsapp - Guide
- Mode securite - Guide
- Directory list & print - Télécharger - Divers Utilitaires
- Pass telecomm active - Forum Téléviseurs
- Sous groupe whatsapp - Accueil - WhatsApp
3 réponses
kelux
Messages postés
3074
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
Modifié le 15 mai 2021 à 10:56
Modifié le 15 mai 2021 à 10:56
Hello,
Les groupes de sécurité peuvent contenir des objets users et computers oui, ce n'est pas un souci, un groupe peut même contenir des groupes aussi...
Pour aller plus loin, dans le cas de trusts entre foret/domaines, le type de groupe va influencer l'imbrication des groupes/objets entre eux, il faut le garder en tête.
-
Pour ton problème précis - bon je ne suis pas expert GPO - mais je verrai le truc comme ça :
- GPO linkée sur l'OU qui contient uniquement les serveurs RDS.
- dans cette GPO , activer la boucle de rappel (loopback processing, en mode "replace")
- mettre les configurations nécessaires pour le logoff session , dans la partie USER et non Computer.
- Filtrer sur un groupe l'application de la GPO ; groupe qui contient uniquement les users.
Apres tu peux imaginer autre chose : refuser l'application de la stratégie pour certains users...
Il faut chercher autour du loopback processing, c'est cette fonctionnalité qui est la clé pour bien configurer/tuner les environnements RDS / Citrix etc...
Conseil : pour tester la fonctionnalité du loopback + cibler uniquement les users, prends un paramètre de GPO assez facile à voir (genre une couleur de fond d'écran différente, un menu masqué ou pas ...)
Les groupes de sécurité peuvent contenir des objets users et computers oui, ce n'est pas un souci, un groupe peut même contenir des groupes aussi...
Pour aller plus loin, dans le cas de trusts entre foret/domaines, le type de groupe va influencer l'imbrication des groupes/objets entre eux, il faut le garder en tête.
-
Pour ton problème précis - bon je ne suis pas expert GPO - mais je verrai le truc comme ça :
- GPO linkée sur l'OU qui contient uniquement les serveurs RDS.
- dans cette GPO , activer la boucle de rappel (loopback processing, en mode "replace")
- mettre les configurations nécessaires pour le logoff session , dans la partie USER et non Computer.
- Filtrer sur un groupe l'application de la GPO ; groupe qui contient uniquement les users.
Apres tu peux imaginer autre chose : refuser l'application de la stratégie pour certains users...
Il faut chercher autour du loopback processing, c'est cette fonctionnalité qui est la clé pour bien configurer/tuner les environnements RDS / Citrix etc...
Conseil : pour tester la fonctionnalité du loopback + cibler uniquement les users, prends un paramètre de GPO assez facile à voir (genre une couleur de fond d'écran différente, un menu masqué ou pas ...)
choubaka
Messages postés
39404
Date d'inscription
jeudi 4 avril 2002
Statut
Modérateur
Dernière intervention
21 novembre 2024
2 102
18 mai 2021 à 09:21
18 mai 2021 à 09:21
Bonjour
Par principe et pour raison de visibilité, il vaut mieux éviter de regrouper utilisateurs et computers dans les mêmes service groupes (SV).
Il vaut mieux jouer au niveau de la structure des OU's pour appliquer les GPO.
tu pourras donc jouer avec (par exemple) deux types de SV pour les users et configurer ta GPO pour qu'elle ne s'applique qu'à un des deux groupes, indépendamment de la machine (RDS) utilisée.
Par principe et pour raison de visibilité, il vaut mieux éviter de regrouper utilisateurs et computers dans les mêmes service groupes (SV).
Il vaut mieux jouer au niveau de la structure des OU's pour appliquer les GPO.
tu pourras donc jouer avec (par exemple) deux types de SV pour les users et configurer ta GPO pour qu'elle ne s'applique qu'à un des deux groupes, indépendamment de la machine (RDS) utilisée.
Utilisateur anonyme
14 mai 2021 à 16:30
14 mai 2021 à 16:30
pour etre plus précis, j'ai x servers rds avec une gpo qui deconnecte au bout de 4h les session déconnectées et/ou inactives.
Par contre la stratégie doit s'appliquer qu'à certains utilisateurs des rds (pas tous).
J'ai un groupe de sécurité qui contient à la fois les rds + les utilisateurs concernés. (dans les filtrages pour faire appliquer la gpo)
Est-ce la bonne méthode ?
Merci.
Par contre la stratégie doit s'appliquer qu'à certains utilisateurs des rds (pas tous).
J'ai un groupe de sécurité qui contient à la fois les rds + les utilisateurs concernés. (dans les filtrages pour faire appliquer la gpo)
Est-ce la bonne méthode ?
Merci.
16 mai 2021 à 13:19
- GPO linkée sur l'OU qui contient uniquement les serveurs RDS.
- dans cette GPO , activer la boucle de rappel (loopback processing, en mode "replace")
- mettre les configurations nécessaires pour le logoff session , dans la partie USER et non Computer.
- Filtrage via 2 groupes pour l'application de la GPO :
- appliquer sur 1 groupe qui contient les users.
- appliquer sur 1 groupe qui contient les serveurs RDS (ou meme mettre "Domain Computers" si on link sur une OU qui ne contient que les serveurs RDS ... ça évite de maintenir le groupe de serveurs RDS)
-
Ma première proposition ne filtrait que sur les users , mais cela ne pourra pas marcher ; puisqu'on applique les settings sur des objets computers, il faut obligatoirement les machines RDS dans le filtrage.