Groupe de securité active directory

Résolu/Fermé
letest
Messages postés
41
Date d'inscription
jeudi 11 juin 2015
Statut
Membre
Dernière intervention
14 mai 2021
- 14 mai 2021 à 16:28
choubaka
Messages postés
39043
Date d'inscription
jeudi 4 avril 2002
Statut
Modérateur
Dernière intervention
5 juillet 2022
- 18 mai 2021 à 09:21
Bonjour,

est-ce qu'il est possible de mettre des objets utilisateurs et des objets computers dans le meme groupe de sécurité?

est-ce que cela vous choque je veux dire?
Merci.

3 réponses

kelux
Messages postés
3047
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
7 juin 2022
429
Modifié le 15 mai 2021 à 10:56
Hello,

Les groupes de sécurité peuvent contenir des objets users et computers oui, ce n'est pas un souci, un groupe peut même contenir des groupes aussi...

Pour aller plus loin, dans le cas de trusts entre foret/domaines, le type de groupe va influencer l'imbrication des groupes/objets entre eux, il faut le garder en tête.

-

Pour ton problème précis - bon je ne suis pas expert GPO - mais je verrai le truc comme ça :

- GPO linkée sur l'OU qui contient uniquement les serveurs RDS.
- dans cette GPO , activer la boucle de rappel (loopback processing, en mode "replace")
- mettre les configurations nécessaires pour le logoff session , dans la partie USER et non Computer.
- Filtrer sur un groupe l'application de la GPO ; groupe qui contient uniquement les users.

Apres tu peux imaginer autre chose : refuser l'application de la stratégie pour certains users...


Il faut chercher autour du loopback processing, c'est cette fonctionnalité qui est la clé pour bien configurer/tuner les environnements RDS / Citrix etc...


Conseil : pour tester la fonctionnalité du loopback + cibler uniquement les users, prends un paramètre de GPO assez facile à voir (genre une couleur de fond d'écran différente, un menu masqué ou pas ...)



1
kelux
Messages postés
3047
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
7 juin 2022
429
16 mai 2021 à 13:19
Petite correction :

- GPO linkée sur l'OU qui contient uniquement les serveurs RDS.
- dans cette GPO , activer la boucle de rappel (loopback processing, en mode "replace")
- mettre les configurations nécessaires pour le logoff session , dans la partie USER et non Computer.

- Filtrage via 2 groupes pour l'application de la GPO :
- appliquer sur 1 groupe qui contient les users.
- appliquer sur 1 groupe qui contient les serveurs RDS (ou meme mettre "Domain Computers" si on link sur une OU qui ne contient que les serveurs RDS ... ça évite de maintenir le groupe de serveurs RDS)

-

Ma première proposition ne filtrait que sur les users , mais cela ne pourra pas marcher ; puisqu'on applique les settings sur des objets computers, il faut obligatoirement les machines RDS dans le filtrage.
0
choubaka
Messages postés
39043
Date d'inscription
jeudi 4 avril 2002
Statut
Modérateur
Dernière intervention
5 juillet 2022
2 084
18 mai 2021 à 09:21
Bonjour
Par principe et pour raison de visibilité, il vaut mieux éviter de regrouper utilisateurs et computers dans les mêmes service groupes (SV).
Il vaut mieux jouer au niveau de la structure des OU's pour appliquer les GPO.
tu pourras donc jouer avec (par exemple) deux types de SV pour les users et configurer ta GPO pour qu'elle ne s'applique qu'à un des deux groupes, indépendamment de la machine (RDS) utilisée.

1
letest
Messages postés
41
Date d'inscription
jeudi 11 juin 2015
Statut
Membre
Dernière intervention
14 mai 2021
2
14 mai 2021 à 16:30
pour etre plus précis, j'ai x servers rds avec une gpo qui deconnecte au bout de 4h les session déconnectées et/ou inactives.

Par contre la stratégie doit s'appliquer qu'à certains utilisateurs des rds (pas tous).
J'ai un groupe de sécurité qui contient à la fois les rds + les utilisateurs concernés. (dans les filtrages pour faire appliquer la gpo)

Est-ce la bonne méthode ?
Merci.
0