Un peu sur le Traitement de la politique de groupe standard
Avant d’examiner le fonctionnement du traitement de bouclage, il peut être avantageux d’avoir un rafraîchissement rapide sur le fonctionnement du traitement de la politique de groupe standard.
Les objets de stratégie de groupe (GPO) sont un ensemble de paramètres de stratégie configurables organisés en un seul objet et contenant des stratégies de configuration d’ordinateur qui sont appliquées aux ordinateurs lors du démarrage et des stratégies de configuration d’utilisateur qui sont appliquées aux utilisateurs lors de l’ouverture de session.
Tout sur la portée
Le terme dans la portée est utilisé pour désigner tout objet de stratégie de groupe qui s’applique à un objet (compte d’ordinateur ou compte d’utilisateur).
Les stratégies de groupe peuvent être appliquées en quatre points distincts dans une structure de domaine (Local, Site, Domaine et Unité organisationnelle (OU)) et sont appliquées l’une après l’autre dans l’ordre de priorité pour chaque étape.
Ainsi, les GPO de portée pour un compte se composent de tous les GPO de stratégie locale, de tous les GPO de Site, de tous les GPO de Domaine et de tous les GPO liés à chaque unité d’organisation dans le chemin de l’objet compte. À chaque étape, un nouveau GPO s’applique, il écrasera tous les paramètres en conflit avec ses propres paramètres ; l’ensemble final de stratégies appliquées est connu sous le nom d’Ensemble de stratégies résultant (RSoP) et peut être consulté sur un périphérique client via le RSoP.console msc.
Tout objet de stratégie de groupe qui s’est vu refuser des droits d’application ou qui a été filtré via le filtrage WMI est considéré comme hors de portée
Pourquoi Bouclage
L’option de mode de traitement de bouclage de stratégie de groupe d’utilisateurs disponible dans le nœud de configuration de l’ordinateur d’un Objet de stratégie de groupe est un outil utile pour s’assurer que certains paramètres utilisateur sont appliqués sur des ordinateurs spécifiés.
Essentiellement, le traitement de bouclage modifie le traitement de la stratégie de groupe standard de manière à permettre l’application des paramètres de configuration utilisateur en fonction de la portée du GPO des ordinateurs lors de la connexion. Cela signifie que les options de configuration utilisateur peuvent être appliquées à tous les utilisateurs qui se connectent à un ordinateur spécifique.
Quand utiliser le bouclage
Les scénarios courants dans lesquels cette stratégie est utilisée incluent les terminaux accessibles au public, les machines servant de bornes d’application, les serveurs de terminaux et tout autre environnement où les paramètres utilisateur doivent être déterminés par le compte d’ordinateur au lieu du compte d’utilisateur.
Où activer le bouclage
Le paramètre se trouve dans le nœud de Configuration informatique d’un GPO :
Configuration informatique >Modèles d’administration >Système >Stratégie de groupe > Stratégie de groupe > div> Mode de traitement de bouclage de stratégie de groupe d’utilisateurs
Remplacer ou fusionner
Lorsque cette option est activée, vous devez sélectionner le mode dans lequel le traitement de bouclage fonctionnera ; Remplacer ou Fusionner.
Le mode Remplacer supprimera complètement les paramètres utilisateur qui s’appliquent normalement à tous les utilisateurs se connectant à une machine appliquant un traitement de bouclage et les remplacera par les paramètres utilisateur qui s’appliquent au compte d’ordinateur à la place.
Le mode Fusion appliquera les paramètres utilisateur qui s’appliquent à tous les utilisateurs se connectant à une machine en appliquant le traitement de bouclage normalement, puis appliquera les paramètres utilisateur qui s’appliquent au compte d’ordinateur ; en cas de conflit entre les deux, les paramètres utilisateur du compte d’ordinateur écraseront les paramètres utilisateur du compte d’utilisateur.
Fonctionnement du bouclage
Le traitement du bouclage affecte le fonctionnement de la fonction GetGPOList, normalement lorsqu’un utilisateur se connecte à la fonction GetGPOList collecte une liste de tous les GPO de portée et les organise par ordre de priorité pour le traitement.
Lorsque le traitement de bouclage est activé en mode Fusion, la fonction GetGPOList collecte également tous les GPO de portée pour le compte de l’ordinateur et les ajoute à la liste des GPO collectés pour le compte de l’utilisateur, ceux-ci s’exécutent alors avec une priorité plus élevée que les GPO des utilisateurs.
Lorsque le traitement de bouclage est activé en mode Remplacement, la fonction GetGPOList ne collecte pas les utilisateurs dans les GPO de portée.
Donc, sans bouclage activé, le traitement des stratégies ressemble un peu à ceci:
1. Les stratégies de nœud d’ordinateur de tous les GPO dans la portée de l’objet compte d’ordinateur sont appliquées au démarrage (dans l’ordre normal Local, Site, Domaine, OU).
2. Les stratégies de nœud utilisateur de tous les GPO dans la portée de l’objet compte utilisateur sont appliquées lors de l’ouverture de session (dans l’ordre normal Local, Site, Domaine, OU).
Et, avec le traitement de bouclage activé (en mode Fusion) :
1. Les stratégies de nœud d’ordinateur de tous les GPO dans la portée de l’objet computer account sont appliquées au démarrage (dans l’ordre normal Local, Site, Domaine, OU), l’ordinateur indiquant que le traitement de bouclage (mode de fusion) est activé.
2. Les stratégies de nœud utilisateur de tous les GPO dans la portée de l’objet compte utilisateur sont appliquées lors de l’ouverture de session (dans l’ordre normal Local, Site, Domaine, OU).
3. Comme l’ordinateur s’exécute en boucle (mode de fusion), il applique ensuite toutes les stratégies de nœud utilisateur de tous les GPO dans la portée de l’objet compte d’ordinateur pendant l’ouverture de session (Local, Site, Domaine et OU), si l’un de ces paramètres est en conflit avec ce qui a été appliqué lors de l’étape 2. Ensuite, le paramètre de compte d’ordinateur aura priorité.
Et, avec le traitement de bouclage activé (en mode Remplacement) :
1. Les stratégies de nœud d’ordinateur de tous les GPO dans la portée de l’objet compte d’ordinateur sont appliquées au démarrage (dans l’ordre normal Local, Site, Domaine, OU), les indicateurs d’ordinateur que le traitement de bouclage (mode Remplacer) est activé.
2. Les stratégies de nœud utilisateur de tous les GPO dans la portée de l’objet compte utilisateur ne sont pas appliquées lors de l’ouverture de session (comme l’ordinateur exécute un traitement de bouclage en mode Remplacement, aucune liste de GPO utilisateur n’a été collectée).
3. Comme l’ordinateur s’exécute en boucle (mode Remplacer), il applique ensuite toutes les stratégies de nœud utilisateur de tous les GPO dans la portée de l’objet compte d’ordinateur lors de l’ouverture de session (Local, Site, Domaine et OU).
Mais je ne veux pas que tous ceux qui se connectent obtiennent ces paramètres
Si vous souhaitez ajouter une exception à cette règle, par exemple, vous avez utilisé le traitement de bouclage pour sécuriser un serveur de terminal en utilisant le mode remplacer mais souhaitez vous assurer que les administrateurs du serveur ne reçoivent pas les paramètres; ensuite, vous pouvez définir un groupe de sécurité contenant les comptes administrateurs dans l’onglet délégation des GPO(s) affichés depuis la Console de gestion des stratégies de groupe (GPMC) en tant que Refus pour l’option Appliquer la stratégie de groupe. Cela devra être défini pour tous les GPO qui contiennent des paramètres utilisateur que vous souhaitez refuser et qui sont dans le champ d’application du compte d’ordinateur.
En conclusion
Tout ce que vous devez faire pour vous assurer que le paramètre de nœud utilisateur que vous souhaitez configurer dans le traitement de bouclage s’applique; est de s’assurer que le paramètre de nœud utilisateur se trouve dans un GPO qui est dans la portée de l’objet compte d’ordinateur (et qu’il a priorité sur les GPO concurrents).