Comment contourner le traitement de bouclage GPO pour certains utilisateurs?

8

Comme vous le savez probablement, le traitement en boucle est une fonctionnalité des stratégies de groupe Active Directory qui applique les paramètres utilisateur dans un objet de stratégie de groupe à tout utilisateur qui se connecte aux ordinateurs dans la portée de l'objet de stratégie de groupe (alors que le comportement standard consiste à appliquer les paramètres utilisateur uniquement si le compte d'utilisateur est en fait situé dans la portée du GPO). Cela est utile lorsque vous souhaitez que tous les utilisateurs qui se connectent à un ordinateur spécifique reçoivent une stratégie utilisateur, quel que soit l'emplacement de leur compte utilisateur dans AD.

Le problème: lorsque le traitement de bouclage est activé, un objet de stratégie de groupe contenant des paramètres utilisateur est appliqué à tous ceux qui utilisent ces ordinateurs, et vous ne pouvez pas contourner cela en utilisant des listes de contrôle d'accès sur l'objet de stratégie de groupe, car il n'est pas réellement appliqué aux utilisateurs , mais aux ordinateurs .

La question: comment contourner le traitement de bouclage pour des utilisateurs spécifiques qui doivent se connecter à ces ordinateurs mais ne doivent pas être soumis à ces paramètres de stratégie?

Exemple: il existe plusieurs serveurs de terminaux où les objets de stratégie de groupe avec traitement de bouclage sont utilisés pour appliquer de lourdes restrictions aux utilisateurs sur tous ceux qui s'y connectent (ils ne devraient en principe pouvoir exécuter qu'un tas d'applications approuvées par l'entreprise); mais cela s'applique même aux administrateurs de domaine , qui sont donc rendus incapables même de lancer une invite de commande ou d'ouvrir le gestionnaire de tâches. Dans ce scénario, comment puis-je dire à AD de ne pas appliquer ces paramètres si l'utilisateur qui se connecte appartient à un groupe spécifique (tel que les administrateurs de domaine)? Alternativement, même la solution opposée ("n'appliquer ces paramètres qu'aux utilisateurs appartenant à un groupe spécifique") conviendrait.

Mais n'oubliez pas que nous parlons ici de traitement en boucle . Les stratégies sont appliquées aux ordinateurs , et les paramètres utilisateur à l'intérieur sont appliqués aux utilisateurs uniquement parce qu'ils se connectent à ces ordinateurs (oui, je sais que cela prête à confusion, le traitement de bouclage est l'une des choses les plus délicates à obtenir à propos des stratégies de groupe).

active-directory  group-policy 
Massimo
source
1
ne pas pouvoir contourner les paramètres par utilisateur est exactement la raison pour laquelle vous utilisez le bouclage.
Jim B
Veuillez lire technet.microsoft.com/en-us/library/cc782815(v=ws.10).aspx Ils créent 2 GPO, un avec bouclage et un avec le paramètre utilisateur lié à l'unité d'organisation du serveur Terminal Server. Ils indiquent de supprimer l'administrateur (en supprimant l'utilisateur authentifié) du deuxième GPO uniquement.
yagmoth555
La stratégie est appliquée aux ordinateurs ... l'ingérence avec les autorisations des utilisateurs ne devrait pas fonctionner; cependant, je suis maintenant plus confus que jamais. Certains tests sont en règle; Je reviendrai sur cette question après avoir vérifié comment cela fonctionne réellement.
Massimo
Utiliser une deuxième stratégie appliquée liée aux utilisateurs pour annuler les paramètres acquis à partir du traitement de bouclage?
BlueCompute

Réponses:

1

Je pense que la solution serait le filtrage WMI (c'est comme ça que je l'ai fait à ma place).

Vous créez un filtre WMI qui intercepte les postes de travail que vous souhaitez.
Vous créez un objet de stratégie de groupe avec les paramètres utilisateur uniquement et avec un filtrage de sécurité.
Vous mettez les deux ensemble et placez l'objet de stratégie de groupe sur le conteneur d'utilisateurs.

Ainsi, le filtrage WMI spécifie le comptuer auquel il s'applique et le filtrage de sécurité les utilisateurs auxquels il s'applique.

Et supprimez le bouclage.
Cela vous donnera plus de maux de tête que vous ne l'aviez prévu, car il ne s'applique pas uniquement à l'objet de stratégie de groupe spécifié dans lequel il est configuré, mais à toutes les stratégies appliquées aux ordinateurs.

Mise à jour
Si kb3163622 est installé sur vos postes de travail, vous pouvez faire de même en utilisant uniquement des groupes de sécurité.
Cette mise à jour modifie la façon dont les stratégies utilisateur sont appliquées.
Désormais, les stratégies utilisateur sont réellement appliquées à la fois dans le contexte de sécurité de l'ordinateur et de l'utilisateur.
Donc, si vous mettez dans le filtrage de sécurité de cet objet de stratégie de groupe les ordinateurs et les utilisateurs auxquels vous souhaitez qu'il s'applique, cela fera la même astuce que le WMI (en supposant que vous n'allez pas pour une requête complexe).

EliadTech
source
1

Un refus ACE pour appliquer l'autorisation de stratégie de groupe pour les principaux de sécurité en question (utilisateur / groupe) sur les stratégies de groupe avec les paramètres utilisateur dans l'unité d'organisation de l'ordinateur empêchera les stratégies de groupe d'utilisateurs liées à l'unité d'organisation de l'ordinateur de s'appliquer.

Toutefois, si le traitement de la stratégie de bouclage est configuré pour le mode de remplacement, les stratégies de groupe d'utilisateurs qui sont dans la portée de l'emplacement du compte d'utilisateur (et non pour l'ordinateur) seront ignorées.

Greg Askew
source
La stratégie est appliquée aux ordinateurs , pas aux utilisateurs ; il n'affecte que les utilisations en raison du traitement en boucle. Refuser aux utilisateurs le droit de l'appliquer n'a aucun effet, car la stratégie n'est pas réellement appliquée aux utilisateurs.
Massimo
Le paramètre de stratégie utilisateur s'applique aux utilisateurs et les utilisateurs ne peuvent pas appliquer les paramètres s'il existe un ACE décent. Je l'ai confirmé lors des tests. Le bouclage signifie uniquement vérifier l'étendue de l'ordinateur pour les stratégies utilisateur, et si les stratégies utilisateur dans l'étendue du compte utilisateur doivent être fusionnées ou remplacées / ignorées. Cela ne signifie pas que les paramètres utilisateur s'appliquent aux ordinateurs.
Greg Askew
J'ai essayé ça et ça n'a pas marché; peut-être que j'ai raté quelque chose, je vais réessayer ...
Massimo
@Massimo: Pas de problème. Et vous avez raison, c'est confus. :-)
Greg Askew
@Massimo Vous manquiez probablement le correctif KB mentionné dans l'autre réponse qui a été modifiée avec ce détail, cette solution fonctionne très bien en supposant que vous l'avez appliqué. Je suppose que vous avez déjà compris cela, mais que vous vouliez le mentionner au cas où.
Pimp Juice IT
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.