me revoilà avec un nouvel article, plutôt succinct mais qui mérite vraiment qu'on s'y attarde!
J'ai d'ailleurs eu droit à cette question lors de mon passage de ma certification MCSA sur Windows Server 2012 R2.
L'ordre d'application des GPO forcées!
Et oui, les GPO c'est simple, cela s'applique dans un ordre défini et connu.
Par contre, quand on commence à forcer des GPO, et à bloquer des héritages, cela peut devenir beaucoup plus complexe.
Pour faire simple, on débute "normalement".
Le LSD
Non ce n'est pas un papier buvard qu'on aime manger lors de festival (enfin pour certains si peut être), mais l'ordre d'application des GPO sous Windows...c'est hallucinant non?Les GPO s'appliquent toujours dans cet ordre, Locale, Site, Domaine...puis OU, OU enfant etc...
 |
| L'ordre d'application des GPO, de la plus "éloignée" à la plus "près". |
Prenons un exemple simple à comprendre, la définition d'un fond d'écran de couleur via GPO
(Attention, ceci est un exemple pour bien comprendre, une GPO locale ne permet pas de définir ce paramètre en natif).
Pour faire plus simple, je les ai numérotées.
GPO 1 Locale : Fond écran noir
GPO 2 Site : Fond écran bleu
GPO 3 Domaine : Fond écran vert
GPO 4 OU Besançon : Fond écran rouge
GPO 5 OU Direction, qui est l' OU enfant de l'OU Besançon : Fond écran jaune
 |
| Les différentes stratégies de groupes définies pour mon exemple. |
Donc en ouvrant notre session, nous aurons un beau fond d'écran jaune!
Et le blocage?
Maintenant si on bloque l'application des GPO sur l'OU Besançon, que se passe t-il? |
| Blocage de l'héritage de la GPO sur l'OU Besançon. |
les GPO locale, site et domaine seront ignorées (bloquées), et seules les GPO de l'OU Besançon et de l'OU Direction s'appliqueront...
Nous aurons donc un beau fond d'écran...Jaune (bien il y en a qui suivent)!
J'en profite pour rappeler qu'un héritage bloqué est représenté par un point d'exclamation bleu sur l'OU qui bloque l'héritage.
 |
| Représentation graphique d'un blocage d'héritage sur une OU. |
Jusque là, tout est facile, on applique des GPO dans un ordre connu, et on peut bloquer celles-ci à certains endroits de l'arborescence de notre annuaire Active Directory.
Et le forçage?
Ici je fais volontairement une faute, c'est pour bien insister sur un point : une GPO qu'on "applique" est une GPO qui sera forcée! Les traducteurs chez Microsoft ont mal traduits le terme, et aujourd'hui nous nous retrouvons avec un terme qui ne correspond pas à la réalité, et qui plus est induit les administrateurs débutants en erreur.Le terme anglais est "enforced", qui est à mon sens beaucoup plus parlant!
 |
| Un terme beaucoup plus compréhensible en anglais. |
Combien de fois je vois la totalité des GPO forcées du fait que l'administrateur n'a pas compris qu'il n'avait pas besoin de sélectionner "appliquer" pour que la GPO soit appliquée sur la machine! Beaucoup trop de fois! En plus nous le verrons à la fin, cela a un effet pervers non désiré!
Donc pour reprendre notre exemple initial, j'ai bien mes paramètres de fond d'écran qui sont définis dans mes différentes GPO, et j'ai un blocage de l'héritage de celles-ci sur l'OU Besançon, ce qui fait que j'ai mes GPO plus hautes dans l'arborescence qui ne s'appliquent pas.
Si j'applique la GPO site, celle-ci ne sera pas bloquée par l'héritage, elle s'appliquera donc malgré le fait qu'il y ait un blocage plus bas dans l'arborescence.
 |
| Ma GPO site est "appliquée", elle sera donc "forcée", malgré le blocage sur l'OU Besançon. |
De plus, celle-ci sera prioritaire sur les autres, j'aurai donc au final un beau fond d'écran....BLEU!
Voilà, donc pour faire simple, une GPO "appliquée" est une GPO "forcée" (merci les traducteurs de chez Microsoft), qui s'appliquera de manière prioritaire, même si un blocage existe plus bas dans l'arborescence.
 | ||
| Une GPO "forcée" est représentée avec un petit cadenas, encore quelque chose de pas très logique... |
C'est d'ailleurs pour cette raison, que les deux stratégies par défaut, qui sont la "default domain policy", et la "default domain controllers policy", qui sécurisent respectivement toutes les machines du domaine, et tous les contrôleurs de domaine du domaine, sont forcées et s'appliqueront quoi qu'il arrive.
La question qui tue:
Maintenant que nous avons vu tout ça, c'est le moment de la question qui tue : l'ordre d'application des GPO quand plusieurs sont forcées!Nous allons reprendre notre exemple initial, et nous allons forcer deux GPOs, la 1 et la 4.
GPO 1 Locale : Fond écran noir --> GPO appliquée
GPO 2 Site : Fond écran bleu
GPO 3 Domaine : Fond écran vert
GPO 4 OU Besançon : Fond écran rouge --> GPO appliquée
GPO 5 OU Direction, qui est l' OU enfant de l'OU Besançon : Fond écran jaune
Je vous laisse réfléchir deux secondes à ce qu'on a vu plus haut...
Donc au final nous aurons un fond d'écran...NOIR! Et oui, la GPO forcée en premier est prioritaire sur toutes les autres, même celles qui sont forcées ensuite.
L'ordre d'application des GPO sera donc le suivant:
2, 3, 5, 4, 1
Les GPOs forcées sont donc appliquées dans le sens inverse, en remontant!
Ce comportement logique est très mal documenté, et très rarement expliqué.
Pour finir concernant les GPOs, il est possible ensuite de cibler celles-ci suivant des groupes définis, des types d'objets, des paramètres WMI (version du système d'exploitation, ...), ou encore de cibler certains éléments à l'intérieur d'une GPO suivant des conditions.
Je précise, car je le vois encore trop souvent, qu'on ne peut pas appliquer une GPO à un groupe de sécurité! Il est possible de cibler la GPO sur un groupe, mais après l'avoir appliquée à une Unité d'Organisation contenant des utilisateurs ou des ordinateurs.
 | |||
| Je créé un filtre WMI qui va cibler les machines Windows 8 64 bits. |
 |
| Depuis ma GPO je vais sélectionner le filtre précédemment créé. |
 |
| Ici je filtre l'application de la GPO sur un groupe spécifique... |
A bientôt!
Pierre
