Scribd
Importer
46 vues4 pages

LAB Conflit Des GPO Entre Le Domaine Et Une Unité Organisationnelle

Transféré par

Ridoine Zak
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
46 vues4 pages

LAB Conflit Des GPO Entre Le Domaine Et Une Unité Organisationnelle

Transféré par

Ridoine Zak
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
Vous êtes sur la page 1/ 4

Un lab pratique sur le conflit des GPO entre le domaine et une Unité Organisationnelle (OU) vous

permettra de mieux comprendre l’ordre d’application des stratégies de groupe et la gestion des conflits.

Objectifs

1. Apprendre comment les GPO sont appliquées dans un domaine Active Directory.

2. Comprendre l’ordre de priorité entre les GPO liées au domaine et celles liées à une OU.

3. Tester le comportement lorsque des paramètres contradictoires existent.

Prérequis

1. Un contrôleur de domaine Windows Server (par exemple, Windows Server 2019).

2. Une ou plusieurs machines clientes jointes au domaine.

3. Un compte utilisateur pour appliquer les GPO.

Étapes du Lab

Étape 1 : Préparation de l'environnement

1. Création de l'OU et des utilisateurs :

• Connectez-vous au serveur.

• Ouvrez Active Directory Users and Computers (dsa.msc).

• Créez une nouvelle OU, par exemple TestOU.

• Créez un utilisateur test dans cette OU, par exemple TestUser.

2. Ajouter une machine cliente à l’OU (facultatif) :

• Si vous voulez tester sur une machine spécifique, déplacez son compte dans
l’OU TestOU.

Étape 2 : Créer deux GPO avec des paramètres contradictoires

1. Créer une GPO pour le domaine entier :

• Ouvrez la console Group Policy Management Console (GPMC) (gpmc.msc).

• Faites un clic droit sur le domaine, sélectionnez Créer une GPO dans ce domaine et la
lier ici.
• Donnez-lui un nom, par exemple Domaine Bloquer CMD.

• Modifiez la GPO :

• Allez dans Configuration utilisateur > Modèles d'administration > Système.

• Activez Interdire l'accès aux invites de commandes.

• Enregistrez les modifications.

2. Créer une GPO pour l'OU :

• Dans la même console, faites un clic droit sur TestOU et sélectionnez Créer une GPO
dans ce domaine et la lier ici.

• Donnez-lui un nom, par exemple OU Autoriser CMD.

• Modifiez la GPO :

• Allez dans Configuration utilisateur > Modèles d'administration > Système.

• Désactivez Interdire l'accès aux invites de commandes.

• Enregistrez les modifications.

Étape 3 : Appliquer les GPO et gérer les conflits

1. Forcer l'application des stratégies :

• Sur une machine cliente (où l’utilisateur est connecté), exécutez la commande suivante :

bash

Copier le code

gpupdate /force

2. Tester les effets des GPO :

• Connectez-vous avec l’utilisateur TestUser.

• Essayez d’ouvrir CMD :

• Si CMD est bloqué, cela signifie que la GPO du domaine a priorité.

• Si CMD est autorisé, cela signifie que la GPO de l’OU a priorité.

Étape 4 : Comprendre le comportement des GPO

1. Ordre d'application des GPO : Les stratégies de groupe sont appliquées dans l'ordre suivant :

• Local : GPO de la machine locale.


• Site : GPO liée au site Active Directory.

• Domaine : GPO liée au domaine.

• OU : GPO liée à l’OU, y compris les sous-OU.

2. Priorité entre les GPO :

• Les GPO de l'OU prennent le dessus sur celles du domaine.

• Si deux GPO sont appliquées au même niveau (par exemple, deux GPO sur l'OU), celle
ayant la plus haute priorité dans la liste (GPMC) s'applique en dernier.

Étape 5 : Résoudre les conflits avec des options avancées

1. Utiliser l'option "Enforcer" :

• Dans GPMC, faites un clic droit sur la GPO liée au domaine (Domaine Bloquer CMD) et
sélectionnez Enforcer.

• Cela force la GPO à s’appliquer même si une GPO au niveau OU essaie de la contredire.

2. Utiliser le blocage d'héritage :

• Faites un clic droit sur l’OU TestOU, puis sélectionnez Bloquer l’héritage.

• Cela empêche les GPO du domaine d’affecter les objets dans l’OU.

Étape 6 : Vérification avec l'outil RSOP

1. Utiliser l’outil RSOP (Resultant Set of Policy) :

• Sur la machine cliente, ouvrez une invite de commandes et tapez :

bash

Copier le code

rsop.msc

• Analysez les résultats pour voir quelle GPO s'applique.

2. Utiliser gpresult :

• Sur la machine cliente, exécutez la commande suivante pour obtenir un rapport détaillé :

bash

Copier le code

gpresult /h report.html
• Ouvrez le fichier report.html dans un navigateur pour voir quelles stratégies ont été
appliquées.

Résumé du Lab

• Les GPO sont appliquées selon un ordre hiérarchique.

• Les GPO liées à une OU prennent le dessus sur celles du domaine, sauf si une GPO est forcée ou
si l’héritage est bloqué.

• Les outils RSOP et gpresult sont utiles pour analyser les conflits et comprendre quelles GPO
s'appliquent.

Ce lab vous permet de maîtriser la gestion des conflits entre GPO, essentielle dans un environnement
Active Directory complexe.

Vous aimerez peut-être aussi