GPO qui ne s'appliquent pas???

GPO qui ne s'appliquent pas??? - Windows & Software

Marsh Posté le 20-08-2004 à 18:08:32    

Salut la foule en délire!
 
Je débute en AD. J'ai parcouru quelques articles du forum traitant de AD, des GPOs et des OU!!! Mais ce que j'ai lu dans ces sujets, ça m'aide point...
 
J'ai créé des OU dans mon domaine parce que je trouve ça beau et cohérent pour gérer des sous groupes administratifs de l'entreprise. Du coup, forcément, on a envie d'appliquer des policies à ces OU, et des différentes sur chaque OU, tant qu'à faire.
 
Ce que je ne capte pas du tout, c'est que:
 
-- Lorsque je créé la GPO sur le domaine, cela s'applique au prochain login de n'importe quel user sur n'importe quel ordi, ça c'est normal. Mais ce n'est pas ce que je veux.
-- Lorsque je créé une GPO dans une OU, rien ne se passe. Même si je détruis et recréé un compte d'ordi et/ou de user pour le déplacer dans cette OU. Ploutche, rien, keud, nada?????
 
Au cas où, j'ai coché la case "no override" sur la GPO d'OU, pour être sûr qu'elle s'applique et ne soit pas parasitée par celle du domaine. Mais cela ne change rien.
 
J'ai merdoyé quelque part?
Faut-il créer ou mentionner autre chose à AD pour que des GPO s'appliquent sur des OU?
 
En vous remerciant d'avance pour vos lumières.
Mikee


---------------
Combien de programmeurs travaillant chez Microsoft est-ce que cela prend pour changer une ampoule électrique? Aucun: Si l'ampoule est grillée, Microsoft déclare l'obscurité comme nouveau standard.
Reply

Marsh Posté le 20-08-2004 à 18:08:32   

Reply

Marsh Posté le 20-08-2004 à 23:32:51    

2-3 pistes :
 
- dans les GPO tu auras remarqué que tu as 2 parties, une "ordinateur" et une "utilisateur", les modifications qu'on peut faire sur ces parties ne s'appliquant qu'aux objets AD correspondant : en clair si dans un GPO tu modifies des options dans la partie ordinateur, mais que dans l'OU ou tu l'applique tu n'as que des utilisateurs, ta GPO n'aura aucune influence.
 
- quand tu ajoutes ou modifie une GPO, les changements ne sont pas appliqué immédiatement. Pour forcer une application immédiate, sous 2k pro et server il faut utiliser la commande secedit, sous XP Pro et 2003 server la commande gpupdate.
 
- Toutes les GPO sont cumulatives, la plus prioritaire etant toujours celle la plus proche de l'objet sur lequel elle s'applique : supposons que dans ton domaine toto.com tu as un utilisateur MikeLeeToris qui se trouve dans la OU Lyon qui se trouve elle meme dans l'OU France. Sur l'OU Lyon, tu mets une GPO qui fixe le papier-peint sur toto.bmp, sur France tu mets une GPO qui fixe le papier-peint sur tata.jpg et qui interdit l'acces au panneau de config, et au niveau du domaine un GPO qui fixe le papier-peint titi.bmp, autorise l'acces au panneau de config et supprime l'acces a la fonction rechercher de fichier. Au final quand l'utilisateur se connectera il aura le papier peint toto.bmp, et il n'aura ni acces au panneau de config ni a la fonction rechercher.

Reply

Marsh Posté le 23-08-2004 à 22:04:41    

Hello!
 
Merci pour ta réponse! Mais c'est là où je me rends compte que j'ai 2/3 lacunes avec tout cela...
 

El Pollo Diablo a écrit :

2-3 pistes :
- quand tu ajoutes ou modifie une GPO, les changements ne sont pas appliqué immédiatement ... il faut utiliser la commande secedit


 
Alors, j'ai regardé l'aide sur cette fonction, et je me demande si, du coup, on n'aurait pas oublié 2/3 choses avant de pondre des GPO? Parce que je ne saisi pas bien la portée de la cmd secedit.
 
-- Sert-elle juste de vérification à la GPO? Auquel cas, une fois vérifiée, la GPO est appliquée.
-- Ou bien, il faut se plonger dans les Security Template et mettre des autorisations ou conditions d'application aux GPO? Ce que nous n'avons pas fait du tout!!!
 
Pour le moment, la seule manip que nous ayons faite, c'est de créer les OU, puis clic droit, edit, et new group policy... Modifs, appliquer, OK.
 
C'est pour cela que je disais ne pas comprendre pourquoi la GPO du domaine s'applique sans rien faire, alors que celles des OU ne veulent rien savoir!

Reply

Marsh Posté le 23-08-2004 à 22:12:18    

Secedit et gpupdate servent juste à forcer l'application des modifications faite sur les GPO, sinon il faut attendre la prochaine maj planifiée par le systeme (toutes les 5 minutes pour les serveurs je crois, c'est encore plus espacé pour les stations, surtout pour les stratégies machines).
 
Ta config DNS sur les stations et les serveurs est OK ? C'est souvent cause de probleme dans l'application des GPO sur les stations.

Reply

Marsh Posté le 24-08-2004 à 22:55:14    

secedit /refresh_policy machine_policy  

Reply

Marsh Posté le 26-08-2004 à 11:55:07    

Hello!
 

kouest a écrit :

secedit /refresh_policy machine_policy


Thanx a lot à tous deux! En fait, j'ai fini par trouver la syntaxe "de la mort qui tue" de la fonction secedit!!! Et, effectivement, c'est comme l'écrit Kouest, sinon, ça fait pas grand chose!!!
 
Ceal dit, je note les précisions de El Pollo Diablo:
 
-- 5 minutes de refresh pour les serveurs avant d'appliquer... Heu... Chez nous, une après-midi entière à forcer la réplication entre les serveurs (2 DC) n'a pas suffi à permettre d'appliquer les GPO dans les OU. Depuis qu'on a réussi à faire fonctionner secedit, la GPO marche sur le compte des admins du domaine, on vérifie pour les users lambda sur le reste du parc. Wait & See...
 
-- DNS, à priori, c'est OK. Le DHCP est dans le routeur, mais il renseigne correctement les services DNS des DC, qui sont liés "dans" AD. Les 2 ordis répliquent correctement les tables DNS, donc, je me dis: ça marche! Les stations se voient entre elles et on peut les pinguer. Maintenant, on a peut être merdé ailleurs! Ce qui gênerait l'application des GPO sur ces machines. Mais où?
 
Cela dit, moi, il y a toujours un truc qui m'épate et qui me fait m'interroger violemment sur le fonctionnement du DC: A chaque fois qu'on ouvre la MMC d'administration AD "utilisateurs et ordinateurs", on va sur une OU, clic droit "propriétés", et là, avant de montrer la boîte d'édition de la GPO, il gueule en nous demandant qui est le contrôleur de domaine!!!!!!!! Groumpf?!? Il y a 3 choix et on lui clique sur "Prendre le premier contrôleur de domaine qui répond"... L'ordi est DC, comment fait-il pour ne pas se voir lui-même en gestionnaire de AD????
 
J'ai vu que Microsoft recommandait d'avoir des serveurs quasiment pour chaque service important, mais là, on n'a pas les moyens d'avoir des serveurs pour les DNS, un pour AD, un pour les profiles user, etc. Donc, on a tout sur 2 bécanes. C'est gênant?
 
Tchô


Message édité par mikeleetoris le 26-08-2004 à 11:57:03
Reply

Marsh Posté le 13-09-2004 à 18:20:54    

Salut tout le monde,
 
Je fais une petite précision rapide à mon post! On a trouvé la solution depuis un bout de temps, mais cela me semblait intéressant de la mentionner, au cas où quelqu'un tombe sur ce genre de truc idiot!
 
Et quand je dis idiot, je me parle à moi!!! C'est juste que je n'aurais jamais songé à chercher à cet endroit avant de vous embêter!
 
Voilà, mes GPO ne s'appliquaient pas parce que.........
 
Les droits de sécurité des GPO, en étant logué Administrateur sur n'importe lequel des deux DC, étaient:

  • Créateur Propriétaire: rien
  • Admin du domaine: read!!!
  • Admin de l'entreprise: read!!!
  • SYSTEM: read!!!
  • Utilisateurs authentifiés: read!!!


Ce que je ne pige pas bien quand même, c'est la chose suivante: Je veux bien comprendre qu'à un niveau très élevé de sécurité, sur un domaine (windows) très vaste, avec des centaines d'ordis, il faille distinguer qui sont les admins de ce domaine et ce qu'ils administrent très précisément.
 
Mais pourquoi diable sur un DC fraîchement installé, les droits des GPO ne sont pas autorisés pour les Admins du Domaine?????????
 
Je comprends bien qu'en étant logué Administrateur sur un DC, je ne suis pas forcément Admin du domaine, mais alors que je peux créer, casser, modifier plein d'objets dans AD, les droits des GPO non?????????
 
Et alors, question subsidiaire, pour le prochain DC que j'installerai: Est-ce qu'il y a un paramètre à modifier, à un seul endroit, pour qu'ensuite les droits de sécurité des GPO soient données tout le temps de la même manière aux utilisateurs voulus?
 
Merci.
Tchô


---------------
Combien de programmeurs travaillant chez Microsoft est-ce que cela prend pour changer une ampoule électrique? Aucun: Si l'ampoule est grillée, Microsoft déclare l'obscurité comme nouveau standard.
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed