Problème de deploiement GPO

Problème de deploiement GPO - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 02-10-2012 à 15:30:09    

Bonjour
Je vous expose mon soucis;
 
Je dispose d'un active Directory 2008 R2 et d'un client.
Je désire déployer des gpo assez simples, par exemple, empêcher les utilisateurs de pouvoir changer leur fond d'ecran, ou encore créer un utilisateur local sur un poste.
 
Je dispose d'une OU appelé : Exploitation.
Dans cette OU je dispose de deux sous-ou appelé : Utilisateurs et Ordinateurs.
Dans mon OU utilisateurs, je dispose d'un membre appelé Test.
Dans mon OU ordinateurs, je dispose d'un ordi appelé TestUC.
 
Ensuite je crée une GPO pour empêcher les utilisateurs de pouvoir changer leur fond d'ecran. gpmc.msc etc etc
Jusqu'a la pas de problème, ensuite je lie cette gpo a l'OU Exploitation.
Je démarre mon poste client, pas de problème l'utilisateur ne peux pas changer son fond d'ecran.
 
Maintenant je désire plutot lié cette GPO a ma sous-ou Utilisateurs, contenu dans Exploitation.
Je démarre mon poste client, la GPO ne s'applique pas. Lorsque je fais un gpresult, aucune GPO n'est détectée. Même avec un gpupdate /force
 
Je verifie donc si l'héritage n'est pas bloqué ou autre chose, rien du tout.
 
J'ai essayé de recréer des GPO, des OU, des ordinateurs, des utilisateurs, rien ne marche.
Mes GPO ne s'applique pas lorsqu'elle sont lié a des sous OU.
 
Pouvez vous m'expliquer pourquoi ?
 
Ensuite !
Ma seconde GPO doit s'appliquer aux Ordinateurs contenu dans l'ou Ordinateurs de Exploitation.
 
Je voudrai qu'un utilisateur soit créé dans chacun des ordinateur dans l'ou. Je vais donc dans Gpmc.msc
Configuration d'ordinateur -> Préférences -> Parametre du panneau de config -> Utilisateurs et groupe.
Ici je crée un utilisateur.
 
Je démarre mon poste client mais rien ne s'applique, je fais des gpupdate /force, cela ne marche toujours pas.
Je fais un gpresult, il ne trouve pas la GPO.  
Pour cette GPO j'ai essayé aussi de la lié directement a l'ou Exploitation, cela ne marche pas quand même.
 
Pouvez vous m'aider ?
 
 
Merci
 
 
 

Reply

Marsh Posté le 02-10-2012 à 15:30:09   

Reply

Marsh Posté le 02-10-2012 à 16:26:10    

On m'a toujours appris qu'il ne fallait pas créer de GPO ordinateur pour des objets utilisateurs et inversement. Dédie correctement tes GPO selon tes objets (ordinateur pour ordinateur ; utilisateur pour utilisateur).
Je ne sais pas si ça peut résoudre ton problème mais c'est peut être une piste...

Reply

Marsh Posté le 02-10-2012 à 18:08:17    

C'est en effet le minimum à faire. Il faut aussi désactiver les section sur les GPO entières (onglet settings).
 
Pour débugger bah gpresult est ton ami ainsi que les event logs.

Reply

Marsh Posté le 03-10-2012 à 09:13:56    

Je viens donc d'essayer ce que vous m'avez conseillé.
J'ai crée 2 GPO distincte, une dedié pour les utilisateur et la seconde au ordinateur.
Resultat : Exactement le même problème.
Lorsque je met mes GPO dans l'OU principal Exploitation, les gpo fonctionnent.
Lorsque je met mes GPO dans la sous OU Exploitation\Utilisateur (ou Ordi), les gpo ne s'appliquent pas, et gpresult me dis simplement qu'il n'y as pas de gpo actuellement pour le poste ou pour l'ordinateur.
 
Je devrai plutot regarder les event sur le serveur, vu que le client ne change rien, c'est la manipulation sur le serveur qui fait que cela ne marche plus.
 
Derniere petite question. Sur mon Active directory (dsa) lorsque je vais dans les propriétés d'une OU je ne dispose pas de l'onglet Stratégie de groupes. Un composant particulier a installer ?

Reply

Marsh Posté le 03-10-2012 à 09:54:41    

La GPMC est une fonctionnalité à part, il faut l'installer.
 
Tu n'as pas de blocage de l'héritage des GPO activé ?

Reply

Marsh Posté le 03-10-2012 à 10:54:30    

+1, ça sent le cassage d'héritage.
Fais un capture d'écran de ta gpmc

Reply

Marsh Posté le 03-10-2012 à 15:17:44    

Alors voici exactement ce que j'ai :
 
Marches :
Vous pouvez voir sur l'image ci-dessous que la GPO est ici lié a l'ou Exploitation.
Le lien est actif, j'ai mon filtre avec l'utilisateur
http://imageshack.us/a/img593/267/marche1.jpg
 
Voila le resultat :
Gpresult voit bien GPO user (ma GPO) et voila la fenetre d'affichage qui confirme
http://imageshack.us/a/img853/5964/marche2.jpg
 
Marche pas :
Vous pouvez voir sur l'image ci-dessous que la GPO est ici lié a la sous OU Utilisateurs.
Le lien est actif, j'ai mon filtre avec l'utilisateur et je vous confirme que l'utilisateur est bien dans cette OU dans DSA.MSC.
On peux bien voir que il n'y as pas le blocage d'héritage
http://imageshack.us/a/img845/9133/pmar1.jpg
 
Voila le resultat :
Gpresult ne voit pas GPO user (ma GPO) et voila la fenetre d'affichage qui confirme
Bien sur j'ai essayer Gpupdate /Force sur mon serveur ET mon client, redemarrer les deux, essayer 2 fois. Toujours pareil
http://imageshack.us/a/img822/451/pmar2.jpg
 
 
La seule modification effectué entre les deux est le deplacement de la GPO, rien d'autres.
 
@nebulios
Peux-tu me dire quoi installer pour avoir le menu Stratégie de groupe dans les proprièté de mes OU.


Message édité par Ekimmu le 03-10-2012 à 15:19:25
Reply

Marsh Posté le 03-10-2012 à 15:58:33    

Hmmm, bizarre.
 
Déjà vire ton user de la gpo (filtrage de sécu).
 
Pour le bouton droit propriété sur une ou pour voir les gpo, non ça existe plus

Reply

Marsh Posté le 04-10-2012 à 15:43:59    

Bon ba aucun resultat.
Je vais devoir faire différents groupes et attribuer ces différents groupes a des GPO differentes qui seront rattaché elle, a l'OU principale.

Reply

Marsh Posté le 04-10-2012 à 19:23:16    

Plutôt que le GP result tu peux aussi utiliser l'assistant de modélisation (simulation) ou de résultat (= gpresult)
 
Tu peux juste donner le détail des param de ta GPO,  
Dans l'onglet détail du lien de ta GPO il y a un menu déroulant qui permet de ne faire appliquer que les param users, que ordi ou tous . Tu peux vérifier qu'elle option est sélectionné ?

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed