2 votes

FirstName LastName avatar

Appliquer une stratégie de groupe à des utilisateurs spécifiques (dans une OU) sur des ordinateurs spécifiques (hors OU)

Demandé el 28 de Janvier, 2015
Quand la question a-t-elle été
2294 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

Cela fait un moment que je me pose la question. Voici la configuration :

  • Nous avons ~20 serveurs Win2k8r2. Ils sont séparés en plusieurs OU que je ne peux pas modifier. J'ai créé un groupe de sécurité "DevHostsSG" qui contient les ordinateurs sur lesquels cette politique doit s'appliquer.
  • Nous avons environ 40 utilisateurs. Il y a une OU spécifique "DevUsersOU" qui contient une douzaine d'utilisateurs auxquels je veux appliquer une politique. J'ai également créé un groupe de sécurité DevUsersSG qui contient les mêmes utilisateurs.

J'ai besoin d'une GPO de redirection de dossier spécifique appliquée uniquement aux utilisateurs de l'unité DevUsersOU. et uniquement sur les serveurs du groupe de sécurité DevHostsSG. La politique de redirection ne doit pas s'appliquer aux utilisateurs de DevUsersOU sur d'autres serveurs, et aucun autre utilisateur ne doit bénéficier d'une redirection lorsqu'il se connecte à un serveur du groupe de sécurité DevHostsSG.

Mes progrès jusqu'à présent :

  • J'ai défini le traitement du bouclage de sorte que la redirection devrait s'appliquer.
  • Lorsque je définis la politique sur DevUsersOU et que j'ajoute DevHostsSG au filtrage de sécurité (avec lecture et application), cela ne fonctionne nulle part. (je suppose que c'est parce qu'il n'y a pas d'ordinateurs dans cette OU )
  • Lorsque je définis la politique pour le domaine et que j'utilise le filtrage de sécurité pour inclure DevUsersSG et DevHostsSG, la politique s'applique même lorsque les DevUsers se connectent à des serveurs qui ne sont pas des DevHosts.
  • Lorsque j'applique la stratégie de groupe au seul DevHostsSG, cela ne semble pas fonctionner du tout. (ce qui m'amène à me demander si le traitement en boucle ne fonctionne pas)
  • Lorsque je crée un groupe de sécurité contenant les utilisateurs et les ordinateurs spécifiés, il semble s'appliquer à tous les hôtes.

A ce stade, je suis à court d'idées et en partie juste en train de deviner des choses et cela semble empirer, pour une raison quelconque, j'ai un hôte dans le DevHostsSG où la redirection fonctionne, deux hôtes où elle ne fonctionne pas, et un hôte qui n'est pas dans le DevHostsSG où la redirection est activée . J'ai fait plusieurs gpupdate /force avec des déconnexions et gpresult /R à chaque fois que je fais un changement et je n'arrive à rien.

Toute aide serait grandement appréciée !

---- Tests supplémentaires ----

Pour tenter de simplifier la situation, j'ai essayé ce qui suit :

  • Suppression des groupes dans les filtres de sécurité

  • Ajout d'un utilisateur spécifique au filtre de sécurité

  • Ajout d'un hôte spécifique au filtre de sécurité

  • Exécution de gpupdate sur cet hôte en tant qu'utilisateur : redirection activée (OK)

  • Exécution de gpupdate sur cet hôte en tant qu'autre utilisateur : la redirection n'est pas activée (OK)

  • Exécution de gpupdate sur un autre hôte en tant qu'utilisateur : redirection activée (PAS OK)

  • La désactivation du traitement de bouclage n'a pas fait de différence

---- Réponses ----

joequerty :

  1. En gros, j'ai lancé gpupdate sur quatre hôtes après chaque modification dans la gestion de la stratégie de groupe : deux hôtes dans le groupe DevHostsSG et deux qui n'en font pas partie, et sur chacun d'eux, je me connecte en tant qu'utilisateur dans l'OU DevUsers et en tant qu'utilisateur ne faisant pas partie de l'OU.
  2. La nécessité d'un redémarrage me semble étrange Je me réfère simplement à l'onglet "membres"/"membre de" dans les propriétés AD (par exemple, dans la DevHostsSG, les membres sont DevHost1, DevHost2, etc).
  3. Ce serait bien si la politique n'était pas liée à l'ensemble du domaine, mais je ne sais pas quoi faire d'autre.
  4. C'est le problème Je n'arrive pas à faire en sorte que le filtre de sécurité de la GPO fasse un "ET", les filtres de sécurité font toujours un "OU" (c'est-à-dire DevUser1 OR DevHost1 plutôt que DevUser1 AND DevHost1).

La configuration actuelle revient au point 1 ci-dessus, qui consiste à appliquer le GP à DevUsersOU avec le groupe de sécurité défini sur la liste des hôtes où le GP doit s'appliquer. J'ai redémarré l'un des hôtes depuis la dernière modification et la redirection de dossiers ne fonctionne plus (c'était le cas la dernière fois que j'ai vérifié hier). Lorsque j'exécute un gpresult /R, je ne vois pas du tout le GP listé sous COMPUTER SETTINGS, mais je vois ce qui suit sous USER SETTINGS :

The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
    Local Group Policy
        Filtering:  Not Applied (Empty)

    Default Domain Policy
        Filtering:  Not Applied (Empty)

    Folder Redirect
        Filtering:  Denied (Security)

Je suppose que cela a échoué parce que je n'inclus pas explicitement le DevUsersSG soit comme une entrée séparée dans la section de filtrage de sécurité du GP, soit dans le groupe de sécurité dont font partie les hôtes, mais d'après mes tests, il semble que si je fais l'une ou l'autre de ces choses, le GP s'applique à tous les hôtes sur lesquels ces utilisateurs se connectent... Je me retrouve donc à peu près au point de départ...

Demandé el 28 de Janvier, 2015 par FirstName LastName

Réponse

Trop de publicités?

0voto

joeqwerty avatar
joeqwerty Points 106914

  1. Où avez-vous exécuté gpupdate ? Le traitement de la stratégie de bouclage est un paramètre de configuration de l'ordinateur, donc pour qu'il soit appliqué aux serveurs en question, il faut que la stratégie de groupe soit actualisée.

  2. La modification de l'appartenance d'un compte d'ordinateur à un groupe nécessite un redémarrage de l'ordinateur en question.

  3. Il n'est pas recommandé d'utiliser le traitement des politiques de bouclage au niveau du domaine.

  4. Si vous devez l'utiliser au niveau du domaine, assurez-vous que votre filtrage de sécurité ne comporte que les groupes d'utilisateurs et d'ordinateurs spécifiques que vous avez créés.

Je ne vois pas pourquoi le traitement de la politique de bouclage dans une GPO liée au domaine avec le filtrage de sécurité approprié ne fonctionnerait pas, mais je ne l'ai jamais utilisé que pour des OU spécifiques, jamais au niveau du domaine. Ceci étant dit, je pense que votre problème se situe au niveau du point 2.

Répondu el 28 de Janvier, 2015 par joeqwerty (106914 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X