Bonjour à tous,
 
J'ai besoin de votre aide car je sèche sur un problème d'application de GPO.
En règle générale les GPO définies jusqu’à maintenant fonctionnent toutes bien et s'appliquent sans souci.
 
J'ai créé une nouvelle GPO ( de type, user configuration, pour exécuter un script Logon et Logoff) qui est liée à une OU d'utilisateurs.
Si je laisse le groupe par défaut "Authenticated Users" dans les security filtering, ma gpo s'applique correctement aux utilisateurs de cette OU. Malheureusement comme je ne souhaite pas qu'elle s'applique à tous les utilisateurs de l'OU j'ai retiré ce groupe et j'ai ajouté les utilisateurs désirés à la place, mais la GPO ne s'applique plus.
J'ai tenté de créer un groupe de sécurité avec les users concernés et de mettre ce groupe à la place des utilisateurs, mais ceci ne fonctionne pas non plus.
Quand je fais un Gpresult, je vois bien que l'utilisateur fait parti du groupe créé pour appliquer la GPO mais la GPO apparaît dans les GPO refusées. La raison du refus est "inaccessible". Je répète que lorsque je donne l'accès au groupe par défaut "Authenticated users" la GPO s'applique correctement.
Avez-vous une idée de pourquoi la GPO ne s'applique pas quand elle est ciblé sur le groupe ou directement sur les users concernés mais fonctionne avec le groupe par défaut?
 
Merci d'avance pour votre aide.

à chaud je dirais essaie cela :
 
https://technet.microsoft.com/en-us [...] 86839.aspx

Merci pour ta réponse Exmachina.
Cependant ce n'est clairement pas un problème de réseau vu que ça fonctionne selon le groupe autorisé  à appliquer la GPO.
De plus le GPresult m'informe que la GPO est refusé (raison "inaccessible" ), ce qui me laisse plus penser qu'il s'agit bien d'un problème d'accès.

Bonjour,
 
moi je pense à un probleme de droits du groupe /des users . Si tu mets tes users dans une OU spécifique et que tu l'appliques sur l'OU ça fonctionne ?

En fait tous les users du domaine font parti du groupe "authenticated users". Si j'applique la GPO sur ce groupe, cela fonctionne parfaitement.
En revanche si j'applique uniquement à "Toto" qui se trouve dans l'OU concernée, ça ne fonctionne pas.
Ou si j'applique au groupe "test" dans lequel se trouve Toto, cela ne fonctionne pas non plus....

Si tu as fais les dernières mises à jour, c'est normal.
Il faut au moins que Authenticated Users ait Read (ou si tu veux vraiment vraiment pas Authenticated Users, met Domain Computers).
Par contre oui met juste ton groupe en tant que Apply the settings
 
C'est parce que maintenant windows utilise le compte système pour appliquer une gpo utilisateur là où avant c'était exécuté en contexte utilisateur.

Salut Je@nb.
Merci pour ton aide.
Effectivement les PC détiennent toutes les mises à jour Win7 disponibles a ce jour.
Ce qui est surprenant c'est que j'ai des GPo sur d'autres OU où tout se passe bien sans ce groupe "Authenticated Users"
Et comme je veux pas que la GPO s'applique a tous les users de l'OU, c'est la raison pour laquelle je voulais retirer ce groupe et selectionner uniquement les users concernés.  
DOnc si j'ai bien compris, je dois procéder a l'envers. Je fais un groupe avec les utilisateurs qui ne doivent pas recevoir cette GPO et je met le groupe en "Deny - Apply group policy"?
Cela semble fonctionner mais est ce la Best Practice?

ça fonctionne mais non faut pas faire ça.
Tu fais ce que je t'ai dis.
Tu mets juste Read à Authenticated users et tu met ton groupe en apply group policy

@ Je@nb
 
Alors un grand MERCI. Ta solution fonctionne parfaitement et cela semble en effet assez propre.
En revanche cela soulève d'autres questions:
Est-ce une mise a jour du DC ou des postes de travail qui a modifié le comportement des GPO?
Cela signifie-t-il que je dois revoir toutes mes GPOs et remettre le groupe "Authenticated users" avec un accès en Lecture?
Merci encore pour ton temps et ton aide.

postes des travail.
Oui.
https://support.microsoft.com/en-us/kb/3163622
https://blogs.technet.microsoft.com [...] heck-gpos/ pour voir les gpo affectées

Merci Je@nb pour l'info, ça fait plusieurs jours que je cherche pourquoi mes GPO ne fonctionnent plus.
 
Est ce qu'il y a moyen d'ajouter ce groupe à toutes les nouvelles GPO? C'est le genre de truc que je ne vais pas me souvenir dans 6 mois.

C'est de base en fait

Je pense avoir le même soucis sur ma GPO ordinateur qui ne fonctionne pas du tout. Par contre j'ai beau ajouté en filtre de sécurité Ordinateur du domaine ou alors Utilisateurs authentifiés ça ne fonctionne pas. Il faut autre chose ?

Tu laisses le filtre de sécurité par défaut, tu ne rajoutes pas de filtre WMI, tu laisses les permissions par défaut, pas de raison évidente que cela ne fonctionne pas. Ensuite ça dépend bien sûr de ce que contient la GPO.

Juste le script VBS de base d'installation de l'agent fusion inventory, rien de bien spécial.

Bon j'ai supprimé ma GPO, j'ai refait sans rien toucher du tout. J'ai juste remis l'indication de mon script VBS et bas ... toujours rien. Il m'indique toujours que la GPO est refusé
 
 
EDIT :
 
Je viens de faire une autre GPO avec juste un script en .bat qui ajoute un répertoire. Il fonctionne très bien, mais il est toujours dans la liste des GPO refusé bizarrement.

La réponse va te paraitre tordue et pourtant ca marche parce que j'ai rencontré le meme souci
 
Meme si c'est une GPO utilisateur, dès que tu retires utilisateurs authentifiés ca ne fonctionne plus.
Remet Ordinateurs du domaine en plus de ton ou tes utilisateurs et tu vas voir que ca va fonctionner uniquement pour les utilisateurs désignés

Moi il s'agit d'une GPO ordinateur (pour avoir les droits d'installation sur un poste user).
 
En gros je dois avoir :
 
Ordinateur du domaine
Utilisateurs authentifiés  
Nom de l'ordinateur ou utilisateur que je veux cibler
 
 
J'ai bon ?

Non. Si tu veux balancer ta GPO sur toutes les machines, tu laisses Utilisateurs authentifiés uniquement.

Bon j'ai encore des difficultés avec ça, si je vais sur mon serveur dans la Policie que je lance le script à la main, 0 soucis ça fonctionne.
 
 
J'ai actuellement une OU avec les ordinateurs du domaine. J'ai une autre OU avec mes utilisateurs (sans prendre les sous OU).
 
J'ai donc lié ma GPO sur l'OU ordinateur pour appliquer ma GPO FusionInventory, au niveau de la GPO j'ai dans :
 
Étendue :  
 
Emplacement >> OU de mes ordinateurs
Filtre de sécurité >> vide
 
Délégation :
 
Admin de l'entreprise >> modif, supp etc...
Admin du domaine >> modif, supp etc...
Entreprise domain controleurs >> Lecture
Système >> modif, supp etc...
Utilisateurs authentifiés >> Lecture
 
J'ai testé de rajouter Ordinateur du domaine dans délégation en lecture, mais toujours rien.  
 
Quand je fais un GPRESULT /R , je vois bien ma GPO qui est en FILTRATE : REFUSE (sécurité)  
 
Et en RSOP effectivement je vois pas le script de démarrage de mon fusion. Avez-vous une idée ? j'ai testé toutes les combinaisons, mais il doit me manquer un truc.
 
 
 

il est où le apply gpo ?

Avec un "Filtre de sécurité >> vide", nulle part. Normal que ça ne fonctionne pas.

Le Apply GPO est bien actif (enfin si tu parles bien du fait d'activer la GPO dans le menu). D'ailleurs je la vois bien dans mon GPresult au final (Mais en refuse).
 
 
Je ne veux pas filtrer mais appliquer à toute l'OU, ou sinon le terme filtre est étrange. Je dois vérifier et rajouter quoi du coup ?

Dans filtre de sécurité tu laisses "Utilisateurs authentifiés", comme c'était au début, et c'est tout.

Ok je test ça en rentrant chez moi, merci pour l'info en tout cas.
 
Mais je suis un peu perdu entre la délégation, les filtres et autre. Quand je veux vraiment filtrer sur un ordinateur ou users du coup ça ressemble à quoi la partie délégation et filtrage ?

je parlais bien évidemment de la partie délégation puisque c'est ce que tu montrais juste au dessus ...

Bas j'ai les deux justement en haut, j'ai bien mis l'étendue , le filtre qui est vide et la délégation.  
 
Bon en gros je vais prendre 3 scénarios pour voir si ok, et uniquement la partie filtrage et étendue (car l'étendue j'ai pas de doute sur ça).
 
1) Une GPO que je veux appliquer à TOUS les users d'une OU (GPO utilisateurs donc)
 
- Filtrage : utilisateurs authentifiés  
- Délégation : utilisateurs authentifiés
 
2) pareil que la situation 1, mais pour des ordinateurs maintenant :
 
- Filtrage : Utilisateurs Authentifiés
- Délégation : Ordinateur du domaine  
 
3) la situation 1 mais avec uniquement 3 users cibles dans une OU avec d'autres idées :
 
- Filtrage : utilisateurs authentifiés + users1 + users2 (par exemple)
- Délégation : utilisateurs authentifiés
 
 
Si c'est pas Ok, il faudrait faire quoi a la place ?

Plus simple :  
- supprime ta GPO
- crée une nouvelle GPO sans rien toucher aux délégations et filtres
- configure-la avec ton script
- applique-la à ton OU
- enjoy

Effectivement plus simple ça  
 
 
Mais sinon j'avais pas complètement faux  au dessus si ? Car les scénarios arriveront forcément autant comprendre au mieux. Et puis ça servira à d'autre aussi

Tu ne touches pas à la délégation sauf cas très précis.
 
Scénario 1 : config par défaut (Authenticated Users dans le filtre de sécu)
 
Scénario 2: si l'OU ne contient que des ordinateurs c'est comme 1)
 
Scénario 3: dans le filtre, tu remplaces Authenticated Users par un groupe contenant tes trois users. Puis, dans délégation, tu rajoutes Domain Computers avec "Read" sur la GPO mais pas "Apply"

Pour la partie 3, quand tu parles de ne pas mettre "Apply" c'est ou exactement ? Quand tu fais un clic droit sur la GPO et Appliquer ou c'est autre chose ?

Dans la délégation.

la partie filtrage au final c'est juste l'affichage de la partie délégation sur qui a apply de la gpo