GPO Windows Server : l'incompréhension [Résolu]

Messages postés
420
Date d'inscription
lundi 3 novembre 2014
Statut
Membre
Dernière intervention
7 novembre 2019
-
Bonjour,

Me voilà dans l'incompréhension, moi qui pensais avoir compris les GPO. Je vous explique.

J'ai voulut créer une GPO de déploiement d'imprimante, jusque là, rien de sorcier, sauf que regardez :


Voilà en quelque sorte les droits NTFS version imprimante (screen pris du serveur d'impression).
Pour moi, il s'agit d'autorisé ou non certains utilisateurs ou groupe d'utilisateur à utiliser l'imprimante, si vous êtes d'accord, c'est bon pour moi !

Maintenant pour la GPO :

Au niveau de l'emplacement, pour moi, si la GPO est activé dans une OU qui comporte les utilisateurs A, B et C, et l'ordinateur 01, alors les utilisateur A, B et C, à condition qu'ils se connecte depuis le poste 01, auront l'imprimante automatiquement déployé dans le panneau de configuration ? Est-ce correct ?

Ensuite :

Bon, là ça commence à devenir étrange, si notre GPO ne s'applique qu'aux utilisateurs et ordinateurs dans l'ou ou elle se trouve ? Pourquoi nous remettre à nouveau un filtrage ? Bon, disons que c'est pour ne prendre qu'une partie des utilisateurs ou ordinateurs présents dans l'OU, après tout, ça peut servir !
Si on ne met rien : que ce passe t-il ? Personne ne récupère la GPO ? Ou toute l'OU la récupère ?
Si on met l'utilisateur A : Seul l'utilisateur A s'il est présent dans l'OU y a accès ?
Si on met utilisateurs authentifiés : Seul les utilisateurs authentifiés et au sein de 'lOU récupère la GPO ? Ou tous les utilisateurs authentifiés du domaine ? Oulaaa mais attendez ! On peut mettre à la fois des utilisateurs et à la fois des ordinateurs ? Que ce passe t-il si on met soit l'un soit l'autre ?

Continuons dans le brouillard :

Mais à quoi sert cela ? et pourquoi tout ce que je met dans le filtrage de sécurité se met dans la délégation ?

Non mais qu'est-ce que... !!!

Encore un filtrage ? Mais ça devient une habitude ? Et en plus on peut cibler des OU, des utilisateurs et des ordinateurs autres que ceux déjà présent dans l'OU ou se trouve ma GPO ? Alors là..... Quelqu'un peut m'expliquer ? Je nage dans l'océan.

Pour m'achever

Dans la GPO, il y a deux fois le même paramètre ? Pourquoi l'un plutôt que l'autre ?


Merci à tous ceux qui prendrons le temps de me donner au moins un petit bout de réponse, merci aux autres de m'avoir lu.

Bien cordialement.
Afficher la suite 

1 réponse

Messages postés
793
Date d'inscription
mercredi 23 janvier 2013
Statut
Membre
Dernière intervention
7 novembre 2019
222
0
Merci
Bonjour,

Pour répondre à vos questions :

Pour la première question, il s'agit du droit d'imprimer sur l'imprimante, il ne faut pas confondre avec l'application de la GPO. Vous pouvez la déployer à une OU sans qu'ils n'aient le droit d'imprimer avec. Pour ce réglage, ça n'a que peu de sens, mais pour donner l'accès aux réglages de l'imprimante à un utilisateur spécifique, ça prend tout son sens.

La deuxième question concernant les emplacements. Non ce n'est pas correct. Si c'est un paramètre utilisateur, il sera appliqué pour les 3 utilisateurs, quelle que soit la machine sur laquelle ils se connectent. Si c'est un paramètre ordinateur, il va s'appliquer à l'ordinateur 01, qu'importe l'utilisateur.

Il est important de différencier les paramètres ordinateurs et utilisateurs.

Les paramètres ordinateur influent sur la machine, qu'importe l'utilisateur.

Les paramètres utilisateurs influent uniquement sur la session de l'utilisateur ciblé, qu'importe l'ordinateur utilisé.

Lors du ciblage sur une OU contenant des ordinateurs, les paramètres de la GPO liée à cette OU primera sur une GPO liée à un utilisateur. Il faut activer la fusion des paramètres pour que ça fonctionne. Des détails ici : http://www.microsoft-desktop.com/2010/05/le-loopback-processing-ou-traitement-par-boucle-de-rappel-pour-les-nuls/

Au niveau du filtrage de sécurité, c'est ici pour l'application de la GPO. Par principe, on l'applique à tous les utilisateurs authentifiés et le filtrage se fait par OU, ou par ciblage au niveau de l'élément. Si vous souhaitez quand même utiliser cette option, en supprimant utilisateurs authentifiés, qui est un groupe global, dont font partie tous les utilisateurs connectés, vous devez modifier ses authorisations et non le supprimer. Il faut aller dans l'onglet délégation et enlever le droit d'appliquer la GPO au groupe utilisateurs authetifiés. Ce groupe prime sur les autres groupes pour les droits GPO.

Si on ne met rien : que ce passe t-il ? Personne ne récupère la GPO ? Ou toute l'OU la récupère ?

Personne, car personne n'a le droit de lecture dessus

Si on met l'utilisateur A : Seul l'utilisateur A s'il est présent dans l'OU y a accès ?

Personne, car il faut le droit de lecture pour utilisateurs authentifiés

Si on met utilisateurs authentifiés : Seul les utilisateurs authentifiés et au sein de 'lOU récupère la GPO ? Ou tous les utilisateurs authentifiés du domaine ? Oulaaa mais attendez ! On peut mettre à la fois des utilisateurs et à la fois des ordinateurs ? Que ce passe t-il si on met soit l'un soit l'autre ?

Seulement au sein de l'OU. Vous pouvez ici mettre des utilisateurs et des ordinateurs, il faut bien comprendre les différents paramètres ordinateur ou utilisateur pour utiliser ce filtrage de sécurité.

Mais à quoi sert cela ? et pourquoi tout ce que je met dans le filtrage de sécurité se met dans la délégation ?

Car l'autorisation de lecture de la GPO est nécessaire pour être appliquée.

Encore un filtrage ? Mais ça devient une habitude ? Et en plus on peut cibler des OU, des utilisateurs et des ordinateurs autres que ceux déjà présent dans l'OU ou se trouve ma GPO ? Alors là..... Quelqu'un peut m'expliquer ? Je nage dans l'océan.

On peut les cibler, mais ce ne sera pas appliqué, car le lien vers l'OU prime. De mon expérience, ce réglage est surtout utile par exemple pour mettre une imprimante par défaut à un groupe d'utilisateur, lorsque la GPO est ciblée sur une OU ordinateur et non utilisateur afin que le réglage ne soit appliqué que sur les ordinateurs concernés.

Vous pouvez trouver un peu plus d'explication ici : https://dybbugt.no/2018/794/

Cordialement
Needix59
Messages postés
420
Date d'inscription
lundi 3 novembre 2014
Statut
Membre
Dernière intervention
7 novembre 2019
21 -
Bonjour,
Un grand merci pour vos explications très claires !

Si j'ai bien compris, si je veux que tous mes utilisateurs puissent avoir accès à une imprimante A, mais uniquement sur les postes X, Y et Z, je lie ma GPO dans l'OU ou les OU ou se trouve mes utilisateurs, je met en ciblage "Utilisateurs authentifiés", dans délégation je met "Utilisateurs authentifiés" avec les droits de lecture (normalement déjà mis par défaut), et je rajoute un groupe contenant tous mes postes sur lesquels je veux que la GPO s'applique, avec les droits de lecture. Est-ce bien cela ?

Merci encore,

Cordialement,

Needix
simongremaud
Messages postés
793
Date d'inscription
mercredi 23 janvier 2013
Statut
Membre
Dernière intervention
7 novembre 2019
222 -
Bonjour,

Je la lierais plutôt sur l'OU où se trouvent les postes, avec un ciblage au niveau de l'élément sur l'imprimante sur deux conditions comme suit :



Dans le groupe computer, mettez les postes X, Y et Z. Et dans le groupe utilisateur, tous les users concernés.

Cordialement
Needix59
Messages postés
420
Date d'inscription
lundi 3 novembre 2014
Statut
Membre
Dernière intervention
7 novembre 2019
21 -
Bonjour,
Super merci ! ça fonctionne !

Ma solution décrite ci-dessus ne fonctionnerait pas ? Ou elle fonctionne mais il est préférable de faire comme vous l'avez décris ?
simongremaud
Messages postés
793
Date d'inscription
mercredi 23 janvier 2013
Statut
Membre
Dernière intervention
7 novembre 2019
222 > Needix59
Messages postés
420
Date d'inscription
lundi 3 novembre 2014
Statut
Membre
Dernière intervention
7 novembre 2019
-
Bonsoir,

Je pense que ça fonctionne, mais je n'ai pas l'habitude de le faire, je ne suis pas 100% sûr du ciblage sur les ordinateurs. Il faudrait aussi ajouter le groupe utilisateur je pense.

Cordialement
Commenter la réponse de simongremaud