Application de la politique de groupe aux groupes de sécurité

La façon correcte d'ajouter un GPO à un groupe de sécurité est la suivante :

Configurer le groupe en y ajoutant les membres prévus (ordinateurs ou comptes d'utilisateurs).

Créez votre GPO et associez-la à un niveau suffisamment élevé pour qu'elle s'applique à tous les objets prévus.

Supprimez "Utilisateurs authentifiés" du panneau Scope dans GPMC et ajoutez le groupe qui doit l'appliquer. Vous n'avez pas besoin d'utiliser la section de sécurité avancée pour faire cela, et c'est moins dangereux ainsi (pas de risque de se verrouiller).

Si vous liez la GPO au sommet du domaine, assurez-vous de définir le filtrage avant de modifier la GPO afin qu'elle ne soit pas appliquée partout.

S'il s'agit d'une stratégie informatique, les ordinateurs doivent être redémarrés une fois qu'ils sont ajoutés au groupe, sinon, lorsque la GPO est actualisée, l'ordinateur n'est pas encore authentifié dans le nouveau groupe et la GPO ne sera pas appliquée.

Vous ne pouvez pas appliquer les GPO aux groupes - comme vous l'avez dit, vous les appliquez aux objets ordinateur et utilisateur.

Votre ordinateur et les objets de l'utilisateur vont être quelque part dans votre structure Active Directory, vous devez donc appliquer les GPOs directement aux OUs où se trouvent les objets.

Si tous vos objets utilisateurs et ordinateurs se trouvent juste dans leurs conteneurs par défaut, c'est peut-être une bonne occasion d'ajouter un peu de structure à votre Active Directory avec des OU supplémentaires.

Si vous voulez faire une sorte de restriction sur les GPOs en fonction des groupes de sécurité dont un utilisateur/ordinateur est membre, vous pouvez éditer les propriétés de sécurité de chaque GPO et ajouter un groupe approprié (c'est-à-dire Peut changer d'économiseur d'écran ) et définir le Lire la permission de Refuser .