GPO : désactiver l’application sur un groupe AD

Dans ce tutoriel, je vais vous expliquer comment désactiver ou plutôt empêcher le traitement d’une stratégie de groupe en utilisant un groupe Active Directory.

En tant qu’administrateur d’un système d’information nous devons souvent traiter des cas particuliers même quand on cherche à avoir quelques choses de standard, dans un service, nous avons « toujours » un utilisateur qui trouve le moyen de devoir nous faire mettre une exception sur un stratégie de groupe.

Pour traiter ce problème, nous avons deux solutions :

  • Limiter l’application de la GPO à un groupe qui va contenir les objets utilisateurs ou ordinateurs
  • Appliquer la stratégie de groupe à tout le monde (utilisateurs ou ordinateurs) et utiliser un groupe Active Directory qui va contenir les exceptions

Dans cet article, nous allons voir le second cas, qui est plus facile à maintenir, car cela nous évite de devoir ajouter l’objet ordinateur ou utilisateur dans un groupe lors de sa création afin que la stratégie soit appliquée.

Pour illustrer ce tutoriel, je vais partir de la stratégie de groupe ci-dessous, C_PS-SCRIPT_START-UP, comment on peut le voir, elle est liée à l’OU ordinateur et appliquer sans restriction (Utilisateurs authentifiés).

Pour commencer, il faut créer un groupe dans l’annuaire Active Directory, pour cela j’ai créé un groupe GL_C_PS-SCRIPT_START-UP-DISABLE, qui va contenir les ordinateurs que je souhaite exclure de l’application de la GPO.

De retour sur la stratégie de groupe, aller sur l’onglet Délégation 1 puis cliquer sur le bouton Ajouter 2.

Depuis les paramètres de sécurité, cliquer sur Ajouter 1.

Sélectionner le groupe 1 que vous venez de créer, puis cliquer sur OK 2 pour l’ajouter aux paramètres de sécurité.

Maintenant dans les autorisations, cocher la case de refus pour Appliquer la stratégie de groupe 1 puis cliquer sur le bouton Appliquer 2.

Cliquer sur le bouton Oui 1 pour valider le message qui vous informe qu’une autorisation de Refus et prioritaire sur une Autorisation.

Cliquer sur OK 1 pour fermer la fenêtre de Paramètres de sécurité.

Dans les délégations de la GPO, on retrouve le « droit » que l’on a ajouté.

Vous savez maintenant comment refuser l’application d’une stratégie de groupe en vous appuyant sur un groupe de sécurité Active Directory.

GPO - Stratégie de groupe
Active DirectoryConfigurationGPOGroupesSécurité
Soutenir
LinkedInReddit

📚 Articles similaires

Romain Drouche
Architecte Système | MCSE: Core Infrastructure
Expert en infrastructures IT avec plus de 15 ans d’expérience sur le terrain. Actuellement Chef de projet Systèmes et Réseaux et Référent SSI (Sécurité des Systèmes d’Information), je mets mon expertise au service de la fiabilité et de la sécurité des environnements technologiques.