Groupe de securité active directory
Résolu/Fermé
letest
choubaka
- Messages postés
- 41
- Date d'inscription
- jeudi 11 juin 2015
- Statut
- Membre
- Dernière intervention
- 14 mai 2021
choubaka
- Messages postés
- 39043
- Date d'inscription
- jeudi 4 avril 2002
- Statut
- Modérateur
- Dernière intervention
- 5 juillet 2022
A voir également:
- Groupe de securité active directory
- Exporter la liste des utilisateurs d'un groupe active directory - Forum - Programmation
- Lister des utilisateurs d'un OU qui se trouve à l'intérieur d'autres OU - Forum - PowerShell
- Exporter la liste des utilisateurs d'un groupe active directory powershell - Forum - Windows serveur
- Active directory - Articles
- Les services d'annuaire active directory sont actuellement indisponibles - Forum - Windows 8 / 8.1
3 réponses
kelux
Modifié le 15 mai 2021 à 10:56
- Messages postés
- 3047
- Date d'inscription
- vendredi 18 juin 2004
- Statut
- Contributeur
- Dernière intervention
- 7 juin 2022
Modifié le 15 mai 2021 à 10:56
Hello,
Les groupes de sécurité peuvent contenir des objets users et computers oui, ce n'est pas un souci, un groupe peut même contenir des groupes aussi...
Pour aller plus loin, dans le cas de trusts entre foret/domaines, le type de groupe va influencer l'imbrication des groupes/objets entre eux, il faut le garder en tête.
-
Pour ton problème précis - bon je ne suis pas expert GPO - mais je verrai le truc comme ça :
- GPO linkée sur l'OU qui contient uniquement les serveurs RDS.
- dans cette GPO , activer la boucle de rappel (loopback processing, en mode "replace")
- mettre les configurations nécessaires pour le logoff session , dans la partie USER et non Computer.
- Filtrer sur un groupe l'application de la GPO ; groupe qui contient uniquement les users.
Apres tu peux imaginer autre chose : refuser l'application de la stratégie pour certains users...
Il faut chercher autour du loopback processing, c'est cette fonctionnalité qui est la clé pour bien configurer/tuner les environnements RDS / Citrix etc...
Conseil : pour tester la fonctionnalité du loopback + cibler uniquement les users, prends un paramètre de GPO assez facile à voir (genre une couleur de fond d'écran différente, un menu masqué ou pas ...)
Les groupes de sécurité peuvent contenir des objets users et computers oui, ce n'est pas un souci, un groupe peut même contenir des groupes aussi...
Pour aller plus loin, dans le cas de trusts entre foret/domaines, le type de groupe va influencer l'imbrication des groupes/objets entre eux, il faut le garder en tête.
-
Pour ton problème précis - bon je ne suis pas expert GPO - mais je verrai le truc comme ça :
- GPO linkée sur l'OU qui contient uniquement les serveurs RDS.
- dans cette GPO , activer la boucle de rappel (loopback processing, en mode "replace")
- mettre les configurations nécessaires pour le logoff session , dans la partie USER et non Computer.
- Filtrer sur un groupe l'application de la GPO ; groupe qui contient uniquement les users.
Apres tu peux imaginer autre chose : refuser l'application de la stratégie pour certains users...
Il faut chercher autour du loopback processing, c'est cette fonctionnalité qui est la clé pour bien configurer/tuner les environnements RDS / Citrix etc...
Conseil : pour tester la fonctionnalité du loopback + cibler uniquement les users, prends un paramètre de GPO assez facile à voir (genre une couleur de fond d'écran différente, un menu masqué ou pas ...)
choubaka
18 mai 2021 à 09:21
- Messages postés
- 39043
- Date d'inscription
- jeudi 4 avril 2002
- Statut
- Modérateur
- Dernière intervention
- 5 juillet 2022
18 mai 2021 à 09:21
Bonjour
Par principe et pour raison de visibilité, il vaut mieux éviter de regrouper utilisateurs et computers dans les mêmes service groupes (SV).
Il vaut mieux jouer au niveau de la structure des OU's pour appliquer les GPO.
tu pourras donc jouer avec (par exemple) deux types de SV pour les users et configurer ta GPO pour qu'elle ne s'applique qu'à un des deux groupes, indépendamment de la machine (RDS) utilisée.
Par principe et pour raison de visibilité, il vaut mieux éviter de regrouper utilisateurs et computers dans les mêmes service groupes (SV).
Il vaut mieux jouer au niveau de la structure des OU's pour appliquer les GPO.
tu pourras donc jouer avec (par exemple) deux types de SV pour les users et configurer ta GPO pour qu'elle ne s'applique qu'à un des deux groupes, indépendamment de la machine (RDS) utilisée.
letest
14 mai 2021 à 16:30
- Messages postés
- 41
- Date d'inscription
- jeudi 11 juin 2015
- Statut
- Membre
- Dernière intervention
- 14 mai 2021
14 mai 2021 à 16:30
pour etre plus précis, j'ai x servers rds avec une gpo qui deconnecte au bout de 4h les session déconnectées et/ou inactives.
Par contre la stratégie doit s'appliquer qu'à certains utilisateurs des rds (pas tous).
J'ai un groupe de sécurité qui contient à la fois les rds + les utilisateurs concernés. (dans les filtrages pour faire appliquer la gpo)
Est-ce la bonne méthode ?
Merci.
Par contre la stratégie doit s'appliquer qu'à certains utilisateurs des rds (pas tous).
J'ai un groupe de sécurité qui contient à la fois les rds + les utilisateurs concernés. (dans les filtrages pour faire appliquer la gpo)
Est-ce la bonne méthode ?
Merci.
16 mai 2021 à 13:19
- GPO linkée sur l'OU qui contient uniquement les serveurs RDS.
- dans cette GPO , activer la boucle de rappel (loopback processing, en mode "replace")
- mettre les configurations nécessaires pour le logoff session , dans la partie USER et non Computer.
- Filtrage via 2 groupes pour l'application de la GPO :
- appliquer sur 1 groupe qui contient les users.
- appliquer sur 1 groupe qui contient les serveurs RDS (ou meme mettre "Domain Computers" si on link sur une OU qui ne contient que les serveurs RDS ... ça évite de maintenir le groupe de serveurs RDS)
-
Ma première proposition ne filtrait que sur les users , mais cela ne pourra pas marcher ; puisqu'on applique les settings sur des objets computers, il faut obligatoirement les machines RDS dans le filtrage.