Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Glenn Gagné
Bonjour,
1- La GPO est copiée sur le disque local de l'ordinateur client.
2- Elle s'appliquera même hors connexion.
3- Sur ton serveur, installe le module additionnel "Gestion des stratégies de groupe", ça va mieux pour gérer une hiérarchie de stratégies.
4- Créé-toi une nouvelle unité (OU) dans laquelle tous tes usagers standards seront stockés au-lieu de les placer au travers des comptes pré-établis de Windows. Fais la même chose pour les groupes. De cette façon, tu créés une stratégie sur ce nouvel OU au-lieu de l'OU par défaut, donc les comptes pré-établis comme "administrateur" ne seront pas affectés.
NOTE: Si tu utilises Windows Server 2003, toutes les stratégies relatives aux mots de passe et à Kerberos sont quand même associé à Default Domain Policy et rien ne prévaut cela.
Bonne journée !
"Stéphane" a écrit dans le message de news:OgwSc$
bonjour,
nous allons déployer des ordi portables et je voudrais appliquer une gpo particuliere. mais j'ai 2 questions
- cette gpo sera-t-elle appliquer même si le potable n'est pas raccordé au réseau. le portable conserve t il la gpo hors connexion?
- comment faire pour que cette gpo ne s'applique pas à un utilisateur administrateur de la machine mais à tous les autres utilisateurs
merci pour vos réponses
a+
Stéphane
Bonjour,
1- La GPO est copiée sur le disque local de l'ordinateur client.
2- Elle s'appliquera même hors connexion.
3- Sur ton serveur, installe le module additionnel "Gestion des stratégies
de groupe", ça va mieux pour gérer une hiérarchie de stratégies.
4- Créé-toi une nouvelle unité (OU) dans laquelle tous tes usagers standards
seront stockés au-lieu de les placer au travers des comptes pré-établis de
Windows. Fais la même chose pour les groupes. De cette façon, tu créés une
stratégie sur ce nouvel OU au-lieu de l'OU par défaut, donc les comptes
pré-établis comme "administrateur" ne seront pas affectés.
NOTE: Si tu utilises Windows Server 2003, toutes les stratégies relatives
aux mots de passe et à Kerberos sont quand même associé à Default Domain
Policy et rien ne prévaut cela.
Bonne journée !
"Stéphane" <sthauvin_spam_@thevenin.fr> a écrit dans le message de
news:OgwSc$cPGHA.3924@TK2MSFTNGP14.phx.gbl...
bonjour,
nous allons déployer des ordi portables et je voudrais appliquer une gpo
particuliere. mais j'ai 2 questions
- cette gpo sera-t-elle appliquer même si le potable n'est pas raccordé au
réseau. le portable conserve t il la gpo hors connexion?
- comment faire pour que cette gpo ne s'applique pas à un utilisateur
administrateur de la machine mais à tous les autres utilisateurs
1- La GPO est copiée sur le disque local de l'ordinateur client.
2- Elle s'appliquera même hors connexion.
3- Sur ton serveur, installe le module additionnel "Gestion des stratégies de groupe", ça va mieux pour gérer une hiérarchie de stratégies.
4- Créé-toi une nouvelle unité (OU) dans laquelle tous tes usagers standards seront stockés au-lieu de les placer au travers des comptes pré-établis de Windows. Fais la même chose pour les groupes. De cette façon, tu créés une stratégie sur ce nouvel OU au-lieu de l'OU par défaut, donc les comptes pré-établis comme "administrateur" ne seront pas affectés.
NOTE: Si tu utilises Windows Server 2003, toutes les stratégies relatives aux mots de passe et à Kerberos sont quand même associé à Default Domain Policy et rien ne prévaut cela.
Bonne journée !
"Stéphane" a écrit dans le message de news:OgwSc$
bonjour,
nous allons déployer des ordi portables et je voudrais appliquer une gpo particuliere. mais j'ai 2 questions
- cette gpo sera-t-elle appliquer même si le potable n'est pas raccordé au réseau. le portable conserve t il la gpo hors connexion?
- comment faire pour que cette gpo ne s'applique pas à un utilisateur administrateur de la machine mais à tous les autres utilisateurs
merci pour vos réponses
a+
Stéphane
Richard M.
"Glenn Gagné" | Bonjour, | | 1- La GPO est copiée sur le disque local de l'ordinateur client.
(Et même certaines stratégies restent "tatouées" dans la base de registre alors que la machine n'est plus dans une OU où la GPO est affectée. C'est parfois un vrai bonheur...)
| | 4- Créé-toi une nouvelle unité (OU) dans laquelle tous tes usagers standards | seront stockés au-lieu de les placer au travers des comptes pré-établis de | Windows. Fais la même chose pour les groupes. De cette façon, tu créés une | stratégie sur ce nouvel OU au-lieu de l'OU par défaut, donc les comptes | pré-établis comme "administrateur" ne seront pas affectés. | | > - comment faire pour que cette gpo ne s'applique pas à un utilisateur | > administrateur de la machine mais à tous les autres utilisateurs | >
D'accord, c'est sûrement mieux de gérer une OU pour les utilisateurs.
Mais attention : là, on parlait de mettre une GPO sur une OU d'ordinateur. Et dans une GPO, il y a bien une partie de stratégie "Utilisateur" en plus de la partie "Ordinateur". Cette partie "Utilisateur" touche les utilisateurs quand ils se loguent sur la machine affectée par la GPO.
Il y a un mécanisme plus fondamental à connaitre : AD prévoit la notion de "à qui" s'applique la GPO.
Pour voir la chose : Faire "Propriété" sur une OU (sur la racine du domaine, si tu n'as pas encore de GPO), aller dans l'onglet "Stratégies de groupe". Là, il y a un nouveau bouton "Propriétés", qui ouvre une boite de dialogue. Dans l'onglet "Sécurité", parmis les permissions, on trouve la notion "Appliquer la stratégie". Par défaut, les administrateurs n'appliquent pas les GPO au contraire des "utilisateurs authentifiés".
Pour en revenir à ta question exacte : je ne pense pas que tu puisses faire la distinction "administrateur de la _machine_". Tu vas devoir te baser sur des groupes du domaine, comme "domain admins" ou, par exemple, ton "Grpe Helpdesk".
--Richard.
"Glenn Gagné"
| Bonjour,
|
| 1- La GPO est copiée sur le disque local de l'ordinateur client.
(Et même certaines stratégies restent "tatouées" dans la base de registre
alors que la machine n'est plus dans une OU où la GPO est affectée. C'est
parfois un vrai bonheur...)
|
| 4- Créé-toi une nouvelle unité (OU) dans laquelle tous tes usagers
standards
| seront stockés au-lieu de les placer au travers des comptes pré-établis de
| Windows. Fais la même chose pour les groupes. De cette façon, tu créés une
| stratégie sur ce nouvel OU au-lieu de l'OU par défaut, donc les comptes
| pré-établis comme "administrateur" ne seront pas affectés.
|
| > - comment faire pour que cette gpo ne s'applique pas à un utilisateur
| > administrateur de la machine mais à tous les autres utilisateurs
| >
D'accord, c'est sûrement mieux de gérer une OU pour les utilisateurs.
Mais attention : là, on parlait de mettre une GPO sur une OU d'ordinateur.
Et dans une GPO, il y a bien une partie de stratégie "Utilisateur" en plus
de la partie "Ordinateur".
Cette partie "Utilisateur" touche les utilisateurs quand ils se loguent sur
la machine affectée par la GPO.
Il y a un mécanisme plus fondamental à connaitre : AD prévoit la notion de
"à qui" s'applique la GPO.
Pour voir la chose :
Faire "Propriété" sur une OU (sur la racine du domaine, si tu n'as pas
encore de GPO), aller dans l'onglet "Stratégies de groupe".
Là, il y a un nouveau bouton "Propriétés", qui ouvre une boite de dialogue.
Dans l'onglet "Sécurité", parmis les permissions, on trouve la notion
"Appliquer la stratégie".
Par défaut, les administrateurs n'appliquent pas les GPO au contraire des
"utilisateurs authentifiés".
Pour en revenir à ta question exacte : je ne pense pas que tu puisses faire
la distinction "administrateur de la _machine_". Tu vas devoir te baser sur
des groupes du domaine, comme "domain admins" ou, par exemple, ton "Grpe
Helpdesk".
"Glenn Gagné" | Bonjour, | | 1- La GPO est copiée sur le disque local de l'ordinateur client.
(Et même certaines stratégies restent "tatouées" dans la base de registre alors que la machine n'est plus dans une OU où la GPO est affectée. C'est parfois un vrai bonheur...)
| | 4- Créé-toi une nouvelle unité (OU) dans laquelle tous tes usagers standards | seront stockés au-lieu de les placer au travers des comptes pré-établis de | Windows. Fais la même chose pour les groupes. De cette façon, tu créés une | stratégie sur ce nouvel OU au-lieu de l'OU par défaut, donc les comptes | pré-établis comme "administrateur" ne seront pas affectés. | | > - comment faire pour que cette gpo ne s'applique pas à un utilisateur | > administrateur de la machine mais à tous les autres utilisateurs | >
D'accord, c'est sûrement mieux de gérer une OU pour les utilisateurs.
Mais attention : là, on parlait de mettre une GPO sur une OU d'ordinateur. Et dans une GPO, il y a bien une partie de stratégie "Utilisateur" en plus de la partie "Ordinateur". Cette partie "Utilisateur" touche les utilisateurs quand ils se loguent sur la machine affectée par la GPO.
Il y a un mécanisme plus fondamental à connaitre : AD prévoit la notion de "à qui" s'applique la GPO.
Pour voir la chose : Faire "Propriété" sur une OU (sur la racine du domaine, si tu n'as pas encore de GPO), aller dans l'onglet "Stratégies de groupe". Là, il y a un nouveau bouton "Propriétés", qui ouvre une boite de dialogue. Dans l'onglet "Sécurité", parmis les permissions, on trouve la notion "Appliquer la stratégie". Par défaut, les administrateurs n'appliquent pas les GPO au contraire des "utilisateurs authentifiés".
Pour en revenir à ta question exacte : je ne pense pas que tu puisses faire la distinction "administrateur de la _machine_". Tu vas devoir te baser sur des groupes du domaine, comme "domain admins" ou, par exemple, ton "Grpe Helpdesk".
--Richard.
Said KHAMAR
Salut !
Pour ta 1ere question c une gpo locale ou dans active directory ? voici la marche a suivre pour la creation de gpo en local donc la reponse a ta deuxieme question.
(attention g du mal a traduire ma machine est en anglais) 1 - Se loguer en Administrateur sur la machine. 2 - Demarrer - Executer - et tapez sans les guillemets "gpedit.msc" ce qui ouvre une console 3 - Dans l'arborescence de gauche de cette fenetre voici le chemin : Configuration utilisateur - Administrative Templates - Panneau de configuration 4 - Sur la droite apparait alors des sous-dossiers et des regles qui sont en statut "non configure" par defaut dont une qui s'appelle " Interdire l'acces au panneau de configuration " 5 - Clique droit sur cette regle - proprietes - activer la regle - Appliquer 6 - Fermer la fenetre 7 - Va dans C:Documents and SettingsAdministrator et COPIE le fichier "ntuser.pol" dans C:Documents and Settings"compte utilisateur qui ne doit pas ouvrir el panneau de configuration" 8 - Delogue toi et teste si l'utilisateur en question peut tjs acceder au panneau de configuration. Logiquement oui. Dans ce cas revient en Administrateur 9 - Demarrer - Executer - et tapez sans les guillemets "gpedit.msc" ce qui ouvre une console. Dans l'arborescence de gauche de cette fenetre voici le chemin : Configuration utilisateur - Administrative Templates - Panneau de configuration 10 - Sur la droite apparait alors des sous-dossiers et des regles qui sont en statut "non configure" par defaut dont une qui s'appelle " Interdire l'acces au panneau de configuration " 11 - Clique droit sur cette regle - proprietes - Non configure - Appliquer 12 - Fermer la fenetre En fait ces regles s'applique a tous les utilisateurs c'est pour cela qu'il faut faire en sorte que l'administrateur ne souffre pas de cela. Pour voir le nom exact de tes comptes : fais un clic droit sur poste de travail option gerer et sur la gauche groupes et utilisateurs locaux puis dossier utilisateurs
Voila a bientot.
"Stéphane" wrote in message news:OgwSc$
bonjour,
nous allons déployer des ordi portables et je voudrais appliquer une gpo particuliere. mais j'ai 2 questions
- cette gpo sera-t-elle appliquer même si le potable n'est pas raccordé au réseau. le portable conserve t il la gpo hors connexion?
- comment faire pour que cette gpo ne s'applique pas à un utilisateur administrateur de la machine mais à tous les autres utilisateurs
merci pour vos réponses
a+
Stéphane
Salut !
Pour ta 1ere question c une gpo locale ou dans active directory ?
voici la marche a suivre pour la creation de gpo en local donc la reponse a
ta deuxieme question.
(attention g du mal a traduire ma machine est en
anglais)
1 - Se loguer en Administrateur sur la machine.
2 - Demarrer - Executer - et tapez sans les guillemets "gpedit.msc" ce qui
ouvre une console
3 - Dans l'arborescence de gauche de cette fenetre voici le chemin :
Configuration utilisateur - Administrative Templates - Panneau de
configuration
4 - Sur la droite apparait alors des sous-dossiers et des regles qui sont en
statut "non configure" par defaut dont une qui s'appelle " Interdire l'acces
au panneau de configuration "
5 - Clique droit sur cette regle - proprietes - activer la regle - Appliquer
6 - Fermer la fenetre
7 - Va dans C:Documents and SettingsAdministrator et COPIE le fichier
"ntuser.pol" dans C:Documents and Settings"compte utilisateur qui ne doit
pas ouvrir el panneau de configuration"
8 - Delogue toi et teste si l'utilisateur en question peut tjs acceder au
panneau de configuration. Logiquement oui. Dans ce cas revient en
Administrateur
9 - Demarrer - Executer - et tapez sans les guillemets "gpedit.msc" ce qui
ouvre une console. Dans l'arborescence de gauche de cette fenetre voici le
chemin : Configuration utilisateur - Administrative Templates - Panneau de
configuration
10 - Sur la droite apparait alors des sous-dossiers et des regles qui sont
en statut "non configure" par defaut dont une qui s'appelle " Interdire
l'acces au panneau de configuration "
11 - Clique droit sur cette regle - proprietes - Non configure - Appliquer
12 - Fermer la fenetre
En fait ces regles s'applique a tous les utilisateurs c'est pour cela qu'il
faut faire en sorte que l'administrateur ne souffre pas de cela.
Pour voir le nom exact de tes comptes : fais un clic droit sur poste de
travail option gerer
et sur la gauche groupes et utilisateurs locaux puis dossier utilisateurs
Voila a bientot.
"Stéphane" <sthauvin_spam_@thevenin.fr> wrote in message
news:OgwSc$cPGHA.3924@TK2MSFTNGP14.phx.gbl...
bonjour,
nous allons déployer des ordi portables et je voudrais appliquer une gpo
particuliere. mais j'ai 2 questions
- cette gpo sera-t-elle appliquer même si le potable n'est pas raccordé au
réseau. le portable conserve t il la gpo hors connexion?
- comment faire pour que cette gpo ne s'applique pas à un utilisateur
administrateur de la machine mais à tous les autres utilisateurs
Pour ta 1ere question c une gpo locale ou dans active directory ? voici la marche a suivre pour la creation de gpo en local donc la reponse a ta deuxieme question.
(attention g du mal a traduire ma machine est en anglais) 1 - Se loguer en Administrateur sur la machine. 2 - Demarrer - Executer - et tapez sans les guillemets "gpedit.msc" ce qui ouvre une console 3 - Dans l'arborescence de gauche de cette fenetre voici le chemin : Configuration utilisateur - Administrative Templates - Panneau de configuration 4 - Sur la droite apparait alors des sous-dossiers et des regles qui sont en statut "non configure" par defaut dont une qui s'appelle " Interdire l'acces au panneau de configuration " 5 - Clique droit sur cette regle - proprietes - activer la regle - Appliquer 6 - Fermer la fenetre 7 - Va dans C:Documents and SettingsAdministrator et COPIE le fichier "ntuser.pol" dans C:Documents and Settings"compte utilisateur qui ne doit pas ouvrir el panneau de configuration" 8 - Delogue toi et teste si l'utilisateur en question peut tjs acceder au panneau de configuration. Logiquement oui. Dans ce cas revient en Administrateur 9 - Demarrer - Executer - et tapez sans les guillemets "gpedit.msc" ce qui ouvre une console. Dans l'arborescence de gauche de cette fenetre voici le chemin : Configuration utilisateur - Administrative Templates - Panneau de configuration 10 - Sur la droite apparait alors des sous-dossiers et des regles qui sont en statut "non configure" par defaut dont une qui s'appelle " Interdire l'acces au panneau de configuration " 11 - Clique droit sur cette regle - proprietes - Non configure - Appliquer 12 - Fermer la fenetre En fait ces regles s'applique a tous les utilisateurs c'est pour cela qu'il faut faire en sorte que l'administrateur ne souffre pas de cela. Pour voir le nom exact de tes comptes : fais un clic droit sur poste de travail option gerer et sur la gauche groupes et utilisateurs locaux puis dossier utilisateurs
Voila a bientot.
"Stéphane" wrote in message news:OgwSc$
bonjour,
nous allons déployer des ordi portables et je voudrais appliquer une gpo particuliere. mais j'ai 2 questions
- cette gpo sera-t-elle appliquer même si le potable n'est pas raccordé au réseau. le portable conserve t il la gpo hors connexion?
- comment faire pour que cette gpo ne s'applique pas à un utilisateur administrateur de la machine mais à tous les autres utilisateurs
