Groupe de securité active directory [Résolu]

Signaler
Messages postés
41
Date d'inscription
jeudi 11 juin 2015
Statut
Membre
Dernière intervention
14 mai 2021
-
Messages postés
38544
Date d'inscription
jeudi 4 avril 2002
Statut
Modérateur
Dernière intervention
17 juin 2021
-
Bonjour,

est-ce qu'il est possible de mettre des objets utilisateurs et des objets computers dans le meme groupe de sécurité?

est-ce que cela vous choque je veux dire?
Merci.

3 réponses

Messages postés
3016
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
1 juin 2021
411
Hello,

Les groupes de sécurité peuvent contenir des objets users et computers oui, ce n'est pas un souci, un groupe peut même contenir des groupes aussi...

Pour aller plus loin, dans le cas de trusts entre foret/domaines, le type de groupe va influencer l'imbrication des groupes/objets entre eux, il faut le garder en tête.

-

Pour ton problème précis - bon je ne suis pas expert GPO - mais je verrai le truc comme ça :

- GPO linkée sur l'OU qui contient uniquement les serveurs RDS.
- dans cette GPO , activer la boucle de rappel (loopback processing, en mode "replace")
- mettre les configurations nécessaires pour le logoff session , dans la partie USER et non Computer.
- Filtrer sur un groupe l'application de la GPO ; groupe qui contient uniquement les users.

Apres tu peux imaginer autre chose : refuser l'application de la stratégie pour certains users...


Il faut chercher autour du loopback processing, c'est cette fonctionnalité qui est la clé pour bien configurer/tuner les environnements RDS / Citrix etc...


Conseil : pour tester la fonctionnalité du loopback + cibler uniquement les users, prends un paramètre de GPO assez facile à voir (genre une couleur de fond d'écran différente, un menu masqué ou pas ...)



Messages postés
3016
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
1 juin 2021
411
Petite correction :

- GPO linkée sur l'OU qui contient uniquement les serveurs RDS.
- dans cette GPO , activer la boucle de rappel (loopback processing, en mode "replace")
- mettre les configurations nécessaires pour le logoff session , dans la partie USER et non Computer.

- Filtrage via 2 groupes pour l'application de la GPO :
- appliquer sur 1 groupe qui contient les users.
- appliquer sur 1 groupe qui contient les serveurs RDS (ou meme mettre "Domain Computers" si on link sur une OU qui ne contient que les serveurs RDS ... ça évite de maintenir le groupe de serveurs RDS)

-

Ma première proposition ne filtrait que sur les users , mais cela ne pourra pas marcher ; puisqu'on applique les settings sur des objets computers, il faut obligatoirement les machines RDS dans le filtrage.
Messages postés
38544
Date d'inscription
jeudi 4 avril 2002
Statut
Modérateur
Dernière intervention
17 juin 2021
1 979
Bonjour
Par principe et pour raison de visibilité, il vaut mieux éviter de regrouper utilisateurs et computers dans les mêmes service groupes (SV).
Il vaut mieux jouer au niveau de la structure des OU's pour appliquer les GPO.
tu pourras donc jouer avec (par exemple) deux types de SV pour les users et configurer ta GPO pour qu'elle ne s'applique qu'à un des deux groupes, indépendamment de la machine (RDS) utilisée.

Messages postés
41
Date d'inscription
jeudi 11 juin 2015
Statut
Membre
Dernière intervention
14 mai 2021
2
pour etre plus précis, j'ai x servers rds avec une gpo qui deconnecte au bout de 4h les session déconnectées et/ou inactives.

Par contre la stratégie doit s'appliquer qu'à certains utilisateurs des rds (pas tous).
J'ai un groupe de sécurité qui contient à la fois les rds + les utilisateurs concernés. (dans les filtrages pour faire appliquer la gpo)

Est-ce la bonne méthode ?
Merci.