Quel est l’ordre d’application des GPO sur une machine ?

Progression du Module
0% Terminé

I. Présentation

Comme nous l'avons vu précédemment, nous avons d'un côté la stratégie locale d'une machine, de l'autre les stratégies du domaine Active Directory. Au niveau du domaine, la GPO peut s'appliquer à différents niveaux : au niveau du site, du domaine ou d'une unité d'organisation (OU - Organizational Unit).

Lorsque les GPO s'appliquent sur une machine, l'ordre d'application et la priorité ne sont pas gérés aléatoirement. Cela répond à une logique et à une hiérarchie précise qu'il faut connaître. Parlons de la notion de Group Policy Processing...

II. GPO au niveau du site, du domaine et d'une OU

Lorsqu'une machine démarre, son premier réflexe sera d'appliquer les paramètres de la stratégie de groupe locale afin de configurer la machine locale en fonction des paramètres configurés. Cependant, comme je le disais précédemment, il est rare d'utiliser la GPO locale pour configurer une machine, car cela oblige de gérer au cas par cas chaque ordinateur.

Ensuite, au niveau de l'Active Directory, nous pouvons retrouver des GPO qui s'appliquent à différents endroits :

- Stratégie de groupe au niveau du site

La console "Sites et services Active Directory" regroupe vos différents sites, généralement géographiques, afin d'y associer vos sous-réseaux et vos contrôleurs de domaine. Sur chaque site que vous créez, il est possible d'associer une stratégie de groupe afin d'appliquer des paramètres en fonction du site où se situe actuellement la machine ou l'utilisateur.

- Stratégie de groupe au niveau du domaine

Si vous envisagez d'appliquer une stratégie de groupe à l'ensemble de vos postes de travail ou de vos utilisateurs, il est tout à fait approprié de lier une stratégie de groupe directement au niveau du domaine. Quand je dis cela, j'entends lier la GPO à la racine du domaine afin qu'elle s'applique sur l'ensemble des objets puisqu'elle sera au niveau le plus haut.

- Stratégie de groupe au niveau d'une unité d'organisation

Votre annuaire Active Directory contiendra probablement de nombreuses unités d'organisation, afin d'organiser vos utilisateurs et machines dans ces containers très utiles. Vous allez probablement créer plusieurs OU et former une hiérarchie, par exemple, une OU "Utilisateurs" avec une sous-OU "Direction". Dans le même esprit que l'on pourrait créer un dossier et des sous-dossiers sur un serveur de fichiers.

Il faut savoir que vous pouvez lier une stratégie de groupe sur une OU ou même plusieurs OU. Grâce à cette arborescence, vous allez pouvoir appliquer une GPO sur "Utilisateurs" pour cibler tous vos utilisateurs ou uniquement sur "Direction" pour appliquer des paramètres spécifiques. Ces paramètres s'appliqueront uniquement sur les objets contenus dans l'OU "Direction".

III. La règle LSDOU

Derrière l'acronyme LSDOU se cache les termes suivants : Local, Site, Domain, Organizational Unit. Se cache également l'ordre d'application des stratégies de groupe sur une machine.

Ce qu'il faut retenir, c'est que la GPO locale s'applique en premier lieu, ensuite viennent s'appliquer les GPO au niveau du site et du domaine. Enfin, les GPO liées sur les unités d'organisation s'appliquent.

Modèle LSDOU

Prenons un exemple, nous avons le domaine "it-connect.local", qui contient plusieurs unités d'organisation et 3 stratégies de groupe : GPO n°1, GPO n°2 et GPO n°3. Ce qui nous donne :

Ces trois stratégies de groupe servent à faire quelque chose de très simple, configurer le fond d'écran dans les sessions des utilisateurs. Il y a seulement une image différente utilisée à chaque fois.

Compte tenu du positionnement des GPO, voici ce que ça donnera dans la pratique :

  • Cas n°1 : un utilisateur dont l'objet se situe dans l'OU "Secretariat" va hériter de l'image de fond d'écran défini dans la GPO n°2.
  • Cas n°2 : un utilisateur dont l'objet se situe dans l'OU "Direction" va hériter de l'image de fond d'écran défini dans la GPO n°3.
  • Cas n°3 : un utilisateur qui est situé dans une autre OU que "Utilisateurs" (et donc "Secretariat" et "Direction") va hériter de l'image définie dans la GPO n°1.

En résumé, les stratégies de groupe Active Directory ont plus de poids que la stratégie de groupe locale. Ensuite, au niveau Active Directory, c'est la GPO la plus proche qui l'emporte, donc s'il y a une GPO appliquée sur l'OU qui contient l'objet, elle sera gagnante (sauf exception, nous en reparlerons).

Note : il est possible de lier plusieurs GPO sur une même unité d'organisation, donc pour gérer l'ordre d'application au niveau d'une OU directement, il faudra gérer l'ordre pour définir une priorité, le tout via la console GPO.

Il faut retenir qu'une GPO reste une GPO : que ce soit une GPO liée à un site, à la racine du domaine ou à une unité d'organisation, le processus de création de la GPO reste le même. Une GPO peut-être liée à une OU aujourd'hui et demain vous pouvez décider de la lier à un site. Nous parlerons des liens un peu plus tard dans ce cours.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Consultant chez Délibérata le jour, blogueur pour IT-Connect la nuit, je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 2464 posts and counting.See all posts by florian