Bonjour,
 
Je suis perplexe quant au fonctionnement d'une GPO ordinateur basique qui ne s'exécute pas au lancement de la machine.
 
J'ai crée une GPO ordinateur qui bascule le mode de démarrage d'un service (Ultra VNC en l'occurence) du mode automatique en mode manuel pour des pc sous Win7.
 
J'ai beau re-démarré 5 fois ma machine : la GPO ne s'applique pas.
 
Par contre, si je lance un gpupdate /force, la GPO descend et s'exécute immédiatement.
 
Une idée ?

que disent tes log ?

Lorsque je regarde dans :
 
journaux des applications et services/Microsoft/Windows/Group policy de l'observateur d'évènements, il n'y a aucune erreur ou avertissement que ce soit.
 

Tu peux utiliser via la console gpmc l'assistant modélisant ou résultat de stratégie de groupe pour simuler ou lire les GPO qui ont été appliquées à une machine

Tout est "success" rien d'anormal.
 
J'ai pensé que çà pouvait provenir de l'ordre d'exécution des GPO car en fait j'en ai 3.
 
GPO ordinateur N°1
 
Déploiement d'un paquet MSI pour installer le logiciel UltraVNC sur un Win7 64 bits
 
GPO ordinateur N°2 (celle qui pose problème)
 
Démarrage manuel du service et attribution de droits étendus aux utilisateurs pour leur permettre de démarrer/arrêter le service
 
GPO Utilisateur N°3
 
Copie du raccourci de l'application sur le bureau utilisateur via un script tout bête appliqué lors de l'ouverture de session.
 
Si j'exécute 1 par 1 chacun leur tour ces GPO, je ne rencontre aucun souci.
 
C'est à dire que si j'active la GPO N°1, que je démarre le PC => Ultra VNC s'installe.
 
Ensuite, je désactive la GPO 1 et j'active la GPO 2, je re-démarre le PC => Démarrage en mode manuel effectué
 
Ensuite je désactive la GPO 2 et j'active la 3, je redémarre le pc, le raccourci se copie sur le bureau.
 
Si par contre je les active toutes les 3 pour les exécuter simultanément en les mettant dans l'ordre ci-dessus, Il n'y a que la 1 et la 3 qui vont s'exécuter, c'est à dire que j'aurais ultraVNC d'installé et le raccourci présent sur le bureau utilisateur mais le mode de démarrage sera toujours en automatique et les utilisateurs n'auront aucun pouvoir sur l'arrêt ou la mise en marche du service.
 
Si par contre je rajoute la ligne suivante :
 
gpupdate /force  
 
dans le script d'ouverture de session de la GPO N°3
 
 
 
hé bien çà force la descente de la GPO N°2 et le service se met en démarrage manuel .... solution alternative absolument pas propre j'en conviens.
 
Je déteste autant d'illogisme, si quelqu'un a une piste pour m'expliquer le pourquoi de ce dysfonctionnement étrange.

Comprend pas ce qui est illogique, ta gpo configure un service qui est installé par la gpo 1, comment la GPO 2 peut configurer le service si la gpo 1 n'a pas terminé son install ?
 
C'est plus simple de faire un petit script vn et de mettre une gpo, car il n'y a pas de condition d'éxecution d'une gpo par rapport à une autre.
Hors toi tu as une condition install de la gpo 1 doit être terminé quand gpo 2 s'applique.
 

ouais c'est pour moi normal. Le mieux serait de repackager ton appli pour injecter la configuration de ton service directement dans ton msi

Je pensais (à tort apparemment) que justement windows respectait l'ordre d'exécution dans lequel on classait les GPO, sinon quel intérêt y a-t-il à pouvoir les classer l'une au dessus ou au dessous de l'autre ?
 
secondo, pourquoi lors d'un redémarrage de la machine (donc après l'install de l'appli), la GPO N°2 ne s'exécute-t-elle pas ? Car à priori vu que la GPO N°1 s'est exécutée parfaitement, le service UltraVNC existe , donc rien n'empêche à priori la GPO N°2 de s'exécuter ?
 
phil255 : qu'est-ce qu'un script vn ?
 
Je@nb : je ne sais pas faire ce genre de chose, j'ai crée le msi à l'aide d'un script tout préparé "UltraVNC MSI Creator"

 
Ce n'est pas un ordre d'exécution mais une "priorité des paramètres", le paramètre "le plus prioritaire" est pris en dernier et écrase le moins élevé.
Par contre si ta GPO lance un script il n'attendra pas la fin de l'exécution d'un script pour charger les param de la suivantes

Aurais-tu un exemple concret à me proposer phil pour illustrer ton explication car là çà reste un peu vague pour moi.
 
La GPO prioritaire est laquelle donc ? celle qui se trouve en haut de liste ou en bas de liste ?
 
As-tu une explication pour le fait qu'après l'install de VNC et un re-démarrage de la machine que la GPO N°2 ne s'exécute pas malgré tout ?
 
merci

http://technet.microsoft.com/fr-fr [...] 0(v=ws.10)
 
Ce que tu as du mal a comprendre c'est que la priorité n'est pas un ordre chronologique d'execution.
La plus prioritaire et la dernière a passé et ecrase les éléments en conflits de la moin prioritaire qui est passé avant. Cela permet de déterminer les paramètres de GPO gagnants.
 
En plus lorsqu'on lance un script dans une GPO, il n'y a pas d'attente que le script de la gpo soit executé avant l'execution d'un autre script d'une autre GPO.
Si tu veux une chronologie entre tes scripts tu ne peux pas utiliser plusieurs GPO.
J'avoue que j'ai du mal a l'expliquer tellement cela me parait évident.
La priorité des GPO n'est pas un ordre chronologique dans lequel les paramètres vont être appliqués. C'est juste la force qu'a un paramètre de prendre le dessus sur le même paramètre définis dans une autre GPO. Cela n'a rien a voir avec un ordre d'execution des scripts.
 

est ce que tu vois simplement que ta GPO est pris en compte avec :
 
gpresult /z >> c:\resultat_gpo.txt
 
tu peux taper la commande : rsop.msc pour voir ce que tu as appliqué.
 
As tu fait clic droit dans active directory et cliquer sur appliquer ?
 
EDIT : une gpo avec "la fonction appliqué" de coché, s'appliquera toujours
 
Aprés, moi je suis d'accord avec Je@nb >> repackage

 
C'est plus simple d'utiliser l'assistant de résultat de stratégie de groupe dans la console gpmc

Je prefère travailler directement sur la machine...

Rien ne t'empêche de lancer la commande depuis une machine distante. Par contre rsop.msc n'est plus supporté depuis 2008, il faut passer par gpresult.

En effet c'est bizarre que ton services ne soit pas bien setté après le reboot puisque la GPO devrait s'appliquer
 
Un gpresult devrait te dire qq infos, et les logs (Applications ou Système)

 
Tu n'est pas obligé de passé par gpresult sur ton dc dans la console des stratégie de groupe tu peux prendre résultat de stratégie de groupe.
Après à chacun sa méthode, pour ce qui préfère le lancer en local sur le poste.

Tu parles de la modélisation ? Installe les outils d'admin sur ton PC, ce sera plus simple et plus propre que de te connecter au DC.
Ça prend un peu plus de temps que gpresult par contre.

+1 pour phil255 "a chacun sa méthode"...  
@ nebulos  : n'est peut etre plus supporté mais "fonctionne toujours" et bien.

J'ai beau regarder les GPresult tout est OK, par contre dans les logs système j'ai une erreur récurrente mais je ne sais pas si elle a un lien avec notre problème.
 

 
 
 
Quoiqu'il en soit, j'ai refait un test en unifiant mes 3 GPO ordinateur en 1 seule couplé avec une GPO utilisateur dont voici le récapitulatif :
 
GPO Ordinateur
 
- Install du MSI
 
Installation du logiciel UltraVNC en mode Attribué
 
- Affectations des droits "Démarrage, Arrêt et Pause" aux utilisateurs du domaine sur le service UltraVNC + Mode de démarrage Manuel du service.
 
- Un script bat de démarrage qui copie un dossier VNC de \\serveur\dossier_partagé vers c:\
 
Ce dossier C:\VNC contient :
 
              - un script bat qui lance le service VNC (net start UltraVNC)
              - le raccourci lnk de ce script
              - le fichier icône d'UltraVNC (l'icône verte avec un oeil)
 
GPO Utilisateur :
 
Un script bat d'ouverture de session qui copie le raccourci C:\VNC\ultravnc.lnk  vers le bureau de l'utilisateur via la commande :
 
copy c:\vnc\Ultravnc.lnk "%userprofile/Desktop%" /y
 
 
Test 1  
 
Ultra VNC s'installe
Le dossier c:\VNC est présent sur C avec les 3 fichiers à l'intérieur
Le raccourci est copié sur le bureau à l'ouverture de session
 
Résultat Négatif :
 
Le mode de démarrage est toujours en automatique et non en manuel, les utilisateurs non pas les droits requis sur le service (pour le stopper par exemple)
 
Je re-démarre la machine en supposant que l'attribution des droits sur le service a été prioritaire sur l'installation du MSI, ce qui fait que Windows n'a pas pu appliquer des droits sur un service qui n'existait pas encore.
 
On peut s'attendre suite au redémarrage, que Windows puisse appliqué enfin les droits vu que le service UltraVNC est à présent installé.
 
Hé bien non toujours pas ....
 
Test 2
 
Je modifie donc ma GPO ordinateur en ajoutant uniquement la ligne gpupdate /force au début de mon script bat de démarrage.
 
Je désinstalle UltraVNC, j'efface mon dossier C:\VNC, j'efface le raccourci bureau afin de repartir de Zéro.
 
Je re-démarre la machine ....
 
et BINGO tout s'installe nickel avec cette fois-ci le service en mode de démarrage manuel et les droits utilisateurs affectés au service sauf une exception !!!
 
Le raccourci sur le bureau n'a cette fois-ci pas été copié !!!!!
 
Ca n'a pourtant rien à voir puisqu'il s'agit de la GPO utilisateur ....
 
Je ferme la session utilisateur, je l'ouvre de nouveau .. le raccourci est cette fois-ci copié ... je n'y comprend rien ...
 
 
Conclusion :
 
Cet exemple suffit selon moi à expliquer la bizarrerie de la chose car malgré tout vos conseils (je suis peut-être idiot) cela n'explique à mon avis en rien le fait que les droits utilisateurs ne soient pas affectés.
 
S'il y avait un problème de forme ou de fond sur la GPO lors de mon premier essai, le fait de faire un gpupdate /force ne devrait rien changer dans l'essai 2 ... non ?
 
Bon çà marche mais çà me gêne de ne pas comprendre le couac dans le process du test 1.

Si ce n'est plus supporté cela signifie que ce n'est pas testé avec les nouvelles versions (concrètement on peut avoir n'importe quel résultat),  et n'en supporte pas les nouvelles fonctionnalités.
Et puis utiliser gpresult /H au lieu de rsop.msc n'est quand même pas un changement d'habitude majeur

 
Modélisation ET résultat, oui j'ai les outils d'admin sur mon poste local je n'ouvre que rarement une session sur un serveur.
outil admin de serveur, exchange , System Center .... toute les console sur mon poste.
 
Oui en peu plus long que gpresult, mais plus simple à lire. Après c'est vraiment qu'une question de confort.