Appliquer une GPO à des parties d'UO - Sécurité - Windows & Software
Marsh Posté le 06-06-2011 à 16:40:58
nan tu peux utiliser seulement une GPO. Tu applique ta GPO à l'UO entiere et ensuite tu rajoute les quelques PC dont tu as besoin dans la partie "Filtrage de sécurité" de ta GPO.
Là tu fais "Ajouter > type d'objet et tu coche "ordinateur" et ensuite tu ajoute tes PC.
Jespere avoir répondu correctement à ta demande
Cordialement
Marsh Posté le 06-06-2011 à 17:16:35
Matay29 a écrit : nan tu peux utiliser seulement une GPO. Tu applique ta GPO à l'UO entiere et ensuite tu rajoute les quelques PC dont tu as besoin dans la partie "Filtrage de sécurité" de ta GPO. |
Oui, mais je m'interroge : Cette partie "filtrage de sécurité", n'est elle pas une restriction des UO choisies au dessus ?
Dans ma logique, à priori foireuse, si j'ajoute en bas (filtrage de sécurité) des ordinateurs, il n'y a que pour eux que la GPO va s'appliquer, puisque en bas, c'est le sous ensemble restrictif d'en haut.
Mais il semble que je soies à coté de la réalité.
Marsh Posté le 06-06-2011 à 18:08:24
humm, je viens de tester avec une VM.
VM dans UO1 (sur laquelle je veux que la GPO s'applique en intégralité).
GPO appliquée à UO1
restruction : des pc de UO2.
La GPO ne s'applique pas à ma VM.
Si j'enlève le contenu de "restriction" (les quelques pc de UO2), la GPO s'applique à ma VM
Edit : petite vérif
Marsh Posté le 06-06-2011 à 18:21:52
Plus étonnant encore, si je ne met rien dans ma zone de restriction, ma GPO ne s'applique pas à mon UO.
Faut que je gratte là...
Edit : Bon, je pars me cacher...
Dans la partie "restriction", je en peux pas rien mettre on dirait.
En ajoutant "Ordinateur du domaine", ça se passe bcp mieux.
Marsh Posté le 06-06-2011 à 18:40:17
Finalement, je ne pars pas me cacher si loin.
Mes pc de ma deuxième UO ne bénéficient pas de la GPO.
Bien qu'identifiés dans la partie "restriction", ils ne font pas partis de l'UO1 présente dans la zone "emplacement" de la GPO.
Or si j'applique la GPO à l'UO2, tous les pc de cette UO vont y etre affectés.
Marsh Posté le 07-06-2011 à 10:15:26
Ce que tu peux faire autrement c'est ca:
Dans ton AD, tu créer un groupe ou dedans tu met tous tes pc de ton UO1
Dans la Gestion des stratégie de groupe, tu applique ta GPO sur l'UO "ordinateur" (ou Computer si tu as laissé comme ca) et dans "filtrage de sécurité" du ajoute ton groupe (qui contient toutes la machines de ton UO1 et les quelques machines de ton UO2.
Normalement ça devrait pas poser de problème.
Pour vérifier fait un pti "gpresult /r" sur tes machines pour voir si la GPO est bien appliquée.
Marsh Posté le 07-06-2011 à 22:45:29
C'est justement ce que je veux éviter, mon UO1 se voit attribuée régulièrement de nouveaux ordi, je ne veux pas gérer dans cette UO mes PC.
J'ai créé 2 GPO, c'est pas top, mais au moins ca marche.
Marsh Posté le 08-06-2011 à 08:19:48
Humm je suis un peu perdu dans ton arborescence la mais bon si tu as réussi a faire marcher ^^
Marsh Posté le 08-06-2011 à 09:58:47
UO1 : Tous les PC utilisateurs d'un site AD.
UO2 : Les DC de mes sites.
et même à l’extrême, UO3, les Serveurs membres non DC, mais là ca change rien au problème.
J'ai mis un WSUS principal, et un WSUS secondaire qui réplique le premier sur chacun de mes sites AD.
But du jeu :
Une GPO par site, qui indique à chaque PC de chaque site à quel WSUS se connecter (à celui de son site physique bien sur...)
GPO1 (site 1) : s'applique à tout UO1 + 1 DC de UO2 + x PC UO3
Pour le moment, j'ai fais
GPO1 : s'applique à UO1, restriction : Ordinateur du domaine
GPO1bis : s'applique à UO2, UO3, restriction : le DC de UO2 et les xPC de UO3
Le coté chiant, c'est que je dois faire ca pour chacun de mes sites physiques... 10 sites physiques, 20 GPO...
Marsh Posté le 03-07-2012 à 18:59:00
Bonjour je suis admin systeme dans une boite et j'aimerais appliquer une GPO qui permet le blocage des sessions des utilisateurs 05 apres la non activité de leurs differents bureaux seulement ca ne fonctione pas quelqun peut t'il m'aider
Marsh Posté le 03-07-2012 à 19:06:50
0rondo a écrit : Bonjour je suis admin systeme dans une boite et j'aimerais appliquer une GPO qui permet le blocage des sessions des utilisateurs 05 apres la non activité de leurs differents bureaux seulement ca ne fonctione pas quelqun peut t'il m'aider |
Ouvre ton propre post car la ca fait bordel
Marsh Posté le 03-07-2012 à 19:10:17
tuxbleu a écrit : UO1 : Tous les PC utilisateurs d'un site AD. |
Eh uo2 c'est l'ou par défaut pour les DC ?
En générale quand on est obligé de mettre en place du filtrage dans les GPO , c'est que les OU sont mal agencé ?
Marsh Posté le 05-07-2012 à 19:48:21
phil255 a écrit : |
oui
J'ai repensé le problème différemment, et trouvé une solution "acceptable", pas celle que je révais, mais faut s'adapter.
Marsh Posté le 06-06-2011 à 16:20:48
Bonjour,
J'aimerai appliquer une GPO (qui concerne l'attribution d'un serveur WSUS) à 2 UO. Ca, c'est pas dur.
Où ca se complique, c'est que j'ai besoin de l'appliquer entièrement à une UO, et à seulement quelques PC de la deuxième UO.
A votre avis, je dois faire 2 GPO ?
1 pour toute l'UO1, sans restriction, puis une pour l'UO2, en restreignant uniquement l'application à mes quelques PC concernés ?
---------------
Mon topic de vente - Mon feed-back