22 votes

the-wabbit avatar

Comment faire exploser une GPO ?

Demandé el 17 de Mars, 2015
Quand la question a-t-elle été
2159 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je travaille beaucoup dans l'enseignement supérieur où il est assez fréquent de devoir reconfigurer un certain nombre de membres du domaine Windows (par exemple, des PC dans une salle de classe) pour la durée d'un cours ou d'un événement spécifique et de devoir annuler cette configuration par la suite.

Comme la plupart des changements de configuration que l'on nous demande d'effectuer peuvent être réalisés par le biais d'objets de stratégie de groupe et que ces changements sont automatiquement annulés lorsque le GPO est dissocié ou désactivé au niveau de l'OU, il s'agit d'une voie très confortable à suivre.

Le seul inconvénient est que l'association et la dissociation manuelles répétées des GPO sur les OU nécessitent de nombreux rappels et la présence de personnel informatique avant le début et après la fin des cours, ce que l'équipe opérationnelle ne peut garantir à tout moment.

Existe-t-il un moyen de spécifier un délai pour la validité d'une GPO spécifique ?

Demandé el 17 de Mars, 2015 par the-wabbit

Réponse

Trop de publicités?

32voto

the-wabbit avatar
the-wabbit Points 40039

Cela peut se faire par le biais de Filtrage WMI . Le client de stratégie de groupe exécute la requête WQL à partir d'un filtre WMI joint et n'applique la GPO que si la requête renvoie un nombre de lignes non nul. Ainsi, en créant un filtre WMI vérifiant si l'heure actuelle du système se situe dans un intervalle de temps donné et en liant ce filtre WMI à la GPO que vous voulez faire exploser, vous obtenez exactement ce que vous vouliez.

En win32_operatingsystem La classe WMI a une heure locale qui peut être comparé à une date donnée sous forme de chaîne au format "yyyymmdd hh:nn:ss". Ainsi, en utilisant la chaîne WQL comme suit

select * from win32_operatingsystem where localdatetime >= '20150220 00:00:00' and localdatetime <= '20150223 15:00:00'

dans le root\CIMv2 permet de s'assurer que la GPO ne sera appliquée qu'aux systèmes dont l'heure locale est comprise entre le 20 février 2015 00:00:00 et le 23 février 2015 15:00:00 :

configure WMI filter with WQL string

Assurez-vous que vous avez lié le filtre WMI à la GPO souhaitée :

link WMI filter to GPO

Les choses à garder à l'esprit :

  • le WQL évalue le local la date et l'heure sur le client, qui peuvent ou non être synchronisées avec la source de temps que vous souhaitez utiliser. L'heure du client ne sera pas trop en avance ou en retard sur l'heure du contrôleur de domaine, sinon l'authentification Kerberos échouera, mais il peut y avoir des écarts mineurs, tenez-en compte.

  • le client de stratégie de groupe vérifie les changements de GPO et les réapplique assez rarement par défaut :

    Par défaut, la stratégie de groupe informatique est mise à jour en arrière-plan toutes les 90 minutes, avec un décalage aléatoire de 0 à 30 minutes.

    Les paramètres par défaut ne permettent donc qu'une précision de +2 heures. L'intervalle de mise à jour peut être modifié par un (autre) paramètre de stratégie de groupe, si nécessaire.

  • votre politique doit être capable de rétablir tous les changements lorsqu'ils ne sont plus appliqués. C'est le cas par défaut pour tous les modèles administratifs gérés. Il peut être nécessaire de configurer explicitement les paramètres des préférences de stratégie de groupe pour "supprimer cet élément lorsqu'il n'est plus appliqué" : GPP-common-tab

Répondu el 17 de Mars, 2015 par the-wabbit (40039 Points )

3 votes

Avatar de Massimo

Très intelligent, bravo.

Commenté el 17 de Mars, 2015 par Massimo

3 votes

Avatar de EliadTech

D'après mon expérience, certaines politiques dans les Modèles d'administration n'annulent pas les modifications apportées, il est donc préférable de faire quelques tests d'abord... Aussi, ce que Massimo a dit...

Commenté el 17 de Mars, 2015 par EliadTech

0 votes

Avatar de Rob Rutten

Je suis d'accord, tous les paramètres qui ont droit au registre ne reviennent pas simplement à la valeur par défaut lorsqu'ils sont dissociés, ou même réglés sur "Non configuré"

Commenté el 17 de Mars, 2015 par Rob Rutten
Afficher 5 autres commentaires

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X