[Active Directory] Problème pour concevoir mes GPO
Problème pour concevoir mes GPO [Active Directory] - Infrastructures serveurs - Systèmes & Réseaux Pro
Marsh Posté le 02-10-2007 à 15:48:11
Faire un filtre sur tes GPOs ?
edit : 
j'avais pas vu que c'était toi 
Message édité par Je@nb le 02-10-2007 à 15:53:27
Marsh Posté le 02-10-2007 à 16:15:41
un filtre WMI ?
sinon c'est cool ton stage ?
edit-> bon je crois que j'ai trouvé, reste plus qu'à tester 
Message édité par frankie_flowers le 02-10-2007 à 16:30:05
Marsh Posté le 02-10-2007 à 17:06:32
Ouais filtre WMI
Ouais c'est cool mon stage je bosse sur Win 2008
Marsh Posté le 03-10-2007 à 12:06:46
Bon en fait ce que j'ai essayé ne marche pas.
J'ai mis dans ma GPO une restriction sur les logiciels, au niveau ordinateur.
Dans "Security Filtering" de ma GPO j'ai laissé uniquement le groupe users_lambda, et l'OU contenant le serveur TSE.
J'ai ensuite lié la GPO à cette OU.
La politique s'applique bien, mais à tous les utilisateurs connectés au TSE, y compris les admins 
Je suis donc obligé de créer un filtre WMI ? Ca a l'air assez chiant à faire mais je vais m'y pencher...
Marsh Posté le 03-10-2007 à 12:14:18
Dans security filtering tu peux ok filtrer mais c'est le compte ordinateur qui est utilisé pour s'authentifier pour récup les gpo ordinateur et non users.
Moi ce que j'aurais fait c'est une GPO user avec un filtre wmi sur un groupe d'ordinateur ou si toi tu veux que les serveurs ts tu dois avoir une classe wmi pour vérifier si c'est un serveur ts
Marsh Posté le 03-10-2007 à 13:35:14
http://msdn2.microsoft.com/en-us/library/aa383640.aspx
La propriété uint32 TerminalServerMode.
1 c'est qd tu as un serveur TS et 0 c'est le bureau à distance je pense
Marsh Posté le 03-10-2007 à 15:07:35
Finalement j'ai créé un filtre WMI qui active simplement la GPO utilisateur si le nom de la machine = "Nom_server_TSE"
et ça marche 
enfin 
Message édité par frankie_flowers le 03-10-2007 à 15:08:09
Sujets relatifs:
- problème vlan avec samba
- Problème stratégie de sécurité LOCALE (LGPO) sous Windows XP
- [GPO] script au démarrage, ne fonctionne pas
- Problème de pc dans le même sous-réseau d'entreprisene se pingant pas.
- [resolu] exchange
- problème "aléatoire" de connexion au domaine
- Ajouter un PC dans Active Directory avec Active Directory manuellement
- OpenVPN et problème de routage !
Marsh Posté le 02-10-2007 à 14:57:05
Je débute en AD et après pas mal de temps passé dans les docs et à faire des tests, je n'ai toujours pas trouvé la solution à mon problème, qui me parait pourtant assez basique :
En gros j'ai un unique domaine (le DC est un Windows Server 2003), comportant des administrateurs et des utilisateurs lambda, des stations de travail et un serveur TSE sous 2003 également.
Je veux laisser les droits absolus aux admins sur toutes les machines, et pour les utilisateurs lambda je veux appliquer des restrictions logicielles, mais qui dépendent du type de machine sur laquelle ils se trouvent : le TSE ou une station normale.
Par exemple j'autoriserai Office sur les stations mais pas sur le TSE.
Mon problème : si je fais une GPO au niveau ordinateur et l'applique au serveur TSE, alors mes admins seront impactés.
Si j'applique ma restriction dans une GPO "utilisateurs_lambda", alors elle s'appliquera indifféremment au TSE et aux stations, ce que je ne veux pas non plus.
Avez-vous une idée ?