Salut,
 
Domaine X, poste A present dans le domaine X.
Des GPO sont appliquées au poste A. Ma question est la suivante, comment bloquer les GPO sur le poste A ?
Differentes facons depuis le domaine ca c'est ok mais quels sont les moyens depuis le poste client du domaine ?
 
A vous lire

Si un administrateur met un poste dans un domaine c aussi parce qu'il veut sécuriser l’accès à son infrastructure,avoir la gestion des paramètres sur les postes client et aussi éviter que l'on fasse n'importe quoi dessus .
Donc si ta question c' est comment bloquer une GPO alors que tu es pas administrateur du poste client , ben tu peux tout simplement pas .

Par contre si c toi l'administrateur du domaine , il y a plusieurs façon de bloquer l'application de gpo pour un computer donc ça c pas vraiment un problème. Est ce vraiment à cette question que l'on doit répondre ?   .

La question est comment bloquer l'application d'un gpo depuis un computer oui.
De savoir permet d'éviter que cela arrive sur mon lan

La meilleure facon ( voir la seule) de ne pas appliquer la GPO, c'est de ne pas la créer ou d'exclure ton computer.
T'es admin ? Tu gères les GPO ? ou bien souhaiterais tu seulement éviter les GPO que ton admin met en place ?

La question est simple pourtant.
La mise en place d'une GPO n'est pas un probleme et je me doutes qui si mon computer n'est pas dans l'ou ou si je l'exclue elle ne s'appliquera pas mais ce n'est pas la question !!
 

ce que tout le monde veut te dire, c"est que tu n'auras pas d'aide ici si ton but est de détourner les règles de sécurité mises en place par ton admin puisque c'est manifestement ce que tu cherches à faire.

Je suis l'admin et c'est justement pour eviter ce genre de chose !
Dites que, comme moi, vous ne savez pas !

On sait, et on te dit, qu'on ne peut pas empêcher l'application des GPO sur un poste de travail connecté au domaine.
Satisfied?

Ah bon ?

J'ai eu l'exemple de mes yeux, donc je sais que c'est possible, mais pas comment !

Le registre c'est magique

Surtout quand on y a pas accès      
 
 
 

si tu es admin tu y as accès

J'ai l'accés :-)

Quel intérêt donc ?

Bloquer les gpo pdt le déploiement d'un poste par exemple parce que les gpo appliquées peuvent empécher le bon déroulement du déploiement (typiquement désactivation du compte admin local, paramètres uac, enforcement de droits sur ton c: etc.)

Pourquoi faire compliquer quand on peut faire simple en retardant la jonction dans le domaine après l’exécution de certaines taches personnalisées ou en utilisant une GPO de pre-staging.
Ensuite tu parles de désactiver l'UAC etc.... mais honnêtement pourquoi enlever une sécurité supplémentaire , ne me dis pas que ça gêne ?
En gros c comment faire un bordel pas possible dans le registre en risquant de faire plus ou moins bien quand des solutions plus facile existe et sont relativement facile à mettre en place.
 

Pourrais tu preciser quel type de gpo as tu vu de bloquer ?
Exemple concret, gpo parametrage wsus et gpo script ouverture de session, en quoi la main sur le registre pourrait elle bloquer la gpo? Sachant que les gpo sont appliqués a intervalle regulier et/ou a l'ouverture de session ?

Interessant comme sujet, l'exemple concret m'interesse fortement.

 
Tu as 3 choix :
- retarder la jonction au domaine
- joindre au domaine dans un ou d'intégration puis bouger le poste
- joindre mais bloquer l'application des gpo
 
Je bloque l'application des gpo de sécurité (uniquement ce CSE) pdt le déploiement. Ca m'enlève le welcome screen de windows (où tu dois cliquer sur ok pour accepter l'utilisation du pdt), la désactivation du compte local admin qui sert à mdt par exemple, laisser "laxiste" l'uac pdt l'install (la gpo le reforce correctement après hein). L'UAC gène pour certaines appli pdt le déploiement et sur certains déploiements.
 
C'est qd même bien pratique d'avoir le domaine pendant le déploiement pour :
- activation KMS
- accès aux partages applicatifs sur des serveurs pour les déploiements d'applis
- préparation tpm et activation bitlocker
- mise à jour wsus
 
Perso je préfère ça à une ou de staging, mais bon chacun y voit ses avantages/inconvénients

J'aurais du ajouter, quand on est pas admin local, je pensais que c'était clair pour tout le monde qu'il l'est pas

Je relance le sujet. J'ai une population de PC qui est rentré dans l'AD mais qui ne doivent pas être mis à jour.
Bien sur il y a des groupes AD mais il arrive de temps en temps que des GPO soit appliqué par erreur à tous les PC (choix par défaut).
Est-ce possible de bloquer de manière automatique l’exécution de la GPO sur cette population ?
Merci

mise à jours, tu parles des maj pour WSUS ?
Si c'est le cas. Tu met en place le ciblage sous wsus et tu met tes computeur dans OU temporaire ou tu afectera une GPO WSUS avec ton ciblage.
autre solution, ta gpo de ciblage wsus, tu peux mettre un filtre sur un groupe de sécurité.

 
Il faut placer les membres dans une OU où tu bloques l'héritage des GPO.

L'admin qui applique des GPO à tous les PC doit être viré.
 
Tu crées une OU dans laquelle tu places les machines en question, puis tu lies dessus une GPO avec un paramètre qui contre celui de la GPO héritée.

"puis tu lies dessus une GPO avec un paramètre qui contre celui de la GPO héritée."
 
Tu peux m'expliquer  cette partie ?
 
Merci

clic droit sur L'OU et tu enléve l'héritage
puis tu ajoute manuellement dans cette OU celle que tu veux qui s'applique

Bonne idée !
 
Après réflexion les postes sont déjà dans des UO " géographique", que ce passera t'il s'ils sont dans un UO avec héritage et aussi dans un UO sans ?
 
Merci

tu parles de GPO qui s'applique sur des "SITE" par plage d'adresse ip ?
sur ça je pense que le blocage de l'heritage de OU ne les blocaquera pas.  
via un filtrage ?
a tester

Non c'est une UO par lieu géographique qui permet d'avoir une gestion différente selon les lieux et les qualités de connection

un objet AD ne peut pas être dans deux OU différentes.

 
Pas du tout, et c'est une très mauvaise idée, à éviter absolument car ça apporte un tas d'emmerdes.
 
Le truc c'est de simplement lier une GPO avec un seul paramètre, celui que tu veux modifier, à un niveau plus bas (ou un poids plus important si niveau identique), afin qu'il écrase celui configure précédemment.

 
Merci de ta réponse .
Je n'ai pas bien compris ce que tu proposais.
Imaginons un ad  
   Site
 /  |  \
A  B   C
 
Et on veut que la GPO de niveau Site s'applique à A et B et pas à C sans déplacer C.
 
Comment faire sans désactiver l'héritage ?
 
Merci

Je suppose qu'on parle d'OU et pas de GPO de site.
 
Tu lies ta GPO à Site, en supposant qu'elle configure le paramètre "toto" sur activé (il est désactivé par défaut). Tu créés une GPO avec le paramètre toto désactivé et tu la lies à C.