Si vous souhaitez lire les autres parties de cette série d’articles, veuillez vous rendre sur:

  • Les 10 Principales Raisons pour Lesquelles La Stratégie de Groupe Ne s’applique Pas (Partie 1)
  • Les 10 Principales Raisons pour Lesquelles la Stratégie de Groupe Ne s’applique Pas (Partie 2)

Introduction

Dans nos deux premiers volets de cette rubrique, nous avons examiné 7 raisons pour lesquelles la stratégie de groupe pourrait ne pas fonctionner correctement dans votre environnement. En revenant sur ces 7 raisons, certains facteurs clés de la politique de groupe ont été exposés. Tout d’abord, la stratégie de groupe repose sur une authentification correcte via DNS aux contrôleurs de domaine, en utilisant Kerberos pour le protocole d’authentification, la portée de la gestion et en utilisant le type d’objet correct pour chaque paramètre d’un GPO. Ensuite, nous avons examiné la priorité des GPO (LSDOU) et le filtrage de sécurité. Dans cet épisode, nous examinerons les filtres no override, block inheritance et WMI.

Enforced (No override) est défini sur le GPO

Par défaut, chaque GPO configuré n’a aucun filtrage de sécurité, Forcé (No override), héritage de bloc, etc. Cependant, il peut arriver que quelqu’un configure l’une de ces fonctionnalités. Nous avons examiné le filtrage de sécurité, mais nous examinons maintenant le filtrage appliqué (pas de remplacement). Enforced (No override) est un paramètre qui est imposé à un GPO, avec tous les paramètres du GPO, de sorte que tout GPO avec une priorité plus élevée ne « gagne  » pas s’il y a un paramètre en conflit.

Il est important de comprendre que l’héritage GPO fonctionne avec LSDOU (Local, site, domain, OU). Une fois que vous n’avez pas défini de remplacement sur un GPO, ce concept de priorité est annulé. Enforced (Pas de remplacement) définit le GPO en question pour qu’il ne soit remplacé par aucun autre GPO (par défaut, bien sûr).

Un bon exemple ici est de définir la Stratégie de domaine par défaut pour Enforced (Pas de remplacement), de sorte que les paramètres de stratégie de mot de passe qu’elle contient ne soient pas trompés par un GPO au niveau du domaine pour les utilisateurs de domaine ou à une unité d’organisation pour les utilisateurs SAM locaux sur les ordinateurs situés dans l’unité d’organisation. Vous pouvez voir que cela est défini sur la Stratégie de domaine par défaut de la figure 1.


Figure 1 :
Appliqué (pas de remplacement) est défini pour la Stratégie de domaine par défaut.

Il y a quelques éléments à prendre en compte lors de la définition de Enforced (pas de remplacement). Tout d’abord, le GPO sera défini sur la priorité la plus élevée à partir de l’emplacement où le GPO est lié via la structure AD. Deuxièmement, si un GPO de priorité supérieure (par exemple, au niveau d’une unité d’organisation dans notre exemple) est également défini sur Enforced (Pas de remplacement), il n’aura pas de priorité supérieure au GPO lié plus haut dans la structure AD. C’est ainsi qu’un administrateur d’unité d’organisation ne peut pas définir un GPO pour avoir une priorité plus élevée qu’un administrateur de domaine.

L’héritage de bloc est défini sur le nœud Active Directory

Une autre fonctionnalité, bien qu’il ne soit pas suggéré d’utiliser régulièrement, est la possibilité de bloquer l’héritage du traitement de la stratégie de groupe standard via Active Directory. Comme cela a été mentionné à plusieurs reprises dans cet ensemble d’articles, la priorité LSDOU est respectée pour l’application de la stratégie de groupe et la résolution des conflits.

La fonction d’héritage de bloc est définie sur le nœud de domaine ou une unité organisationnelle. Même si les sites peuvent avoir un GPO lié, le seul GPO qui a une priorité plus faible que le GPO lié au site est local et les GPO locaux ne peuvent pas être bloqués avec cette fonctionnalité.

La fonctionnalité bloque toutes les GPO de priorité plus faibles associées au niveau dans lequel le paramètre d’héritage de bloc est établi. Ainsi, si l’héritage de bloc est défini à une unité d’organisation de deuxième niveau, tous les GPO définis au domaine et à l’unité d’organisation de niveau supérieur seraient bloqués, sans affecter les utilisateurs et les ordinateurs situés dans l’unité d’organisation de deuxième niveau. Seuls les GPO liés à l’unité d’organisation de deuxième niveau auraient un effet quelconque. Bien sûr, s’il y avait plus de niveaux d’UO sous le deuxième niveau, ces OPC seraient également efficaces, mais pas ceux qui ont une priorité plus faible. Vous pouvez voir comment cela affecte les GPO en regardant les figures 2 et 3. La figure 2 n’a pas de jeu d’héritage de bloc, alors que la figure 3 a le paramètre établi au deuxième niveau OU.


Figure 2:
Priorité et héritage de GPO standard au deuxième niveau OU.


Figure 3:
L’héritage de bloc est défini au deuxième niveau OU.

Le filtre WMI est incorrect

Les filtres WMI sont un moyen puissant de contrôler quels objets (utilisateurs ou ordinateurs) reçoivent les paramètres dans un GPO. Le filtre WMI est un fichier autonome lié à un ou plusieurs GPO. Lorsque les paramètres de stratégie de groupe de chaque GPO sont évalués, le filtre WMI détermine si les requêtes incluses dans le filtre WMI reviennent comme positives ou négatives. S’il est positif, répondant aux critères du filtre WMI, les paramètres du GPO auquel le filtre WMI est lié seront appliqués.

Bien sûr, vous pouvez voir où il peut y avoir de nombreuses zones dans ce processus où le filtre WMI fera que le GPO semble échouer. Tout d’abord, si le fichier de filtre WMI est modifié ou supprimé, mais que le lien du filtre WMI reste intact, le filtre WMI ne sera pas respecté, les paramètres de l’objet de stratégie de groupe ne s’appliqueront donc pas. Ensuite, si le filtre WMI présente des erreurs syntaxiques, entraînant l’échec de la requête, les paramètres du GPO ne s’appliqueront pas non plus. Enfin, si la requête est mal conçue ou si la logique de réussite de la requête WMI est incorrecte, les paramètres GPO ne s’appliqueront pas.

Utilisez uniquement les filtres WMI là où il n’y a pas d’autres options, car les filtres WMI ont de nombreuses zones où ils peuvent annuler l’application de tous les paramètres du GPO, et les filtres WMI sont très lents à évaluer et à appliquer. Même dans le ciblage au niveau des éléments (ILT) situé dans les préférences de stratégie de groupe, utilisez les filtres WMI avec parcimonie, car dans l’ILT, ils peuvent également avoir des problèmes.

Résumé

Dans cette série d’articles, nous avons examiné dix façons différentes d’échouer la stratégie de groupe, ou du moins de donner l’impression qu’elle échoue. En réalité, la stratégie de groupe elle-même échoue rarement. Ce qui échoue généralement, c’est la configuration du GPO, des liens, de la structure de la stratégie de groupe, etc. qui sont incorrects, ce qui fait que le GPO et les paramètres ne s’appliquent pas aux cibles souhaitées. Je suggère toujours que revenir aux bases et aux fondamentaux de la politique de groupe aidera à déterminer où les problèmes fondamentaux sont enracinés. De plus, je trouve que les configurations fondamentales et fondamentales causent la majorité des problèmes avec la stratégie de groupe. En règle générale, assurez-vous d’utiliser la structure de l’unité d’organisation pour déployer les paramètres de stratégie de groupe, de sorte que tous les objets de l’unité d’organisation reçoivent les paramètres. Lorsque vous tentez de modifier les autorisations par défaut, l’application et la priorité de la stratégie de groupe, c’est là que les problèmes commencent vraiment à s’accumuler. Il est suggéré, seulement dans de très rares situations, d’utiliser des fonctionnalités telles que le filtrage de sécurité, l’héritage de bloc, l’application et les filtres WMI. Rester à l’écart de ces options et fonctionnalités vous aidera à rendre votre environnement de stratégie de groupe plus simple, stable et plus facile à résoudre lorsque de vrais problèmes surviennent.

Si vous souhaitez lire les autres parties de cette série d’articles, veuillez vous rendre sur:

  • Les 10 Principales Raisons pour Lesquelles la Stratégie de Groupe Ne s’applique Pas (Partie 1)
  • Les 10 Principales Raisons pour Lesquelles la Stratégie de Groupe Ne s’applique Pas (Partie 2)
Afficher les Vues:54,660

 Ezoic signaler cette annonce

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.