Bonjour a tous,
Je reprend doucement le fonctionnement des GPO et je rencontre un problème mais je n'arrive pas a comprendre pourquoi et comment régler ça :
 
J'ai config un GPO simple qui va mapper certains lecteurs réseau via "Mappage des lecteurs". Ensuite dans "Filtrage de sécurité" j'ajoute les groupes d'utilisateurs correspondants, et je dépose simplement ma GPO a la racine de mon domaine.
Tout fonctionne très bien, les lecteurs remontent bien chez les bons utilisateurs, les droits avec.  
 
Le soucis rencontré est que certains utilisateurs qui ne font pas partie des groupes liés dans cette GPO "voient" quand même apparaître ces lecteurs réseaux mais n'y ont aucun accès.
J'ai laissé une entrée "Utilisateurs authentifiés" dans le filtrage de sécurité sur ma GPO, je me demande si ça peut venir de la?
 
Merci d'avance!

Ne font-il pas partie du groupe par l’intermédiaire d'un autre groupe ?
 
(Utilisateur authentifié est bien le bon groupe à mettre dans le filtrage)

Hello, merci de ta réponse, c'est bon j'ai trouvé la raison de ce comportement :  
 
Le souci vient d'une maj microsoft (MS16-072) qui nécessite la présence de ce groupe automatique sur la GPO pour fonctionner, et il faut qu'elle soit a minima présente dans "délégation" sur la GPO en lecture. Du coup il faut la virer du filtrage de sécurité et l'ajouter manuellement dans la délégation.  
 
Merci en tout cas !
 

On ne lie jamais une GPO à la racine du domaine, mais directement à l'OU cible.
 
Dans filtrage de sécurité tu mets ton groupe d'utilisateurs, et dans la délégation tu rajoutes ordinateurs du domaine en "Apply GPO". C'est effectivement un nouveau comportement qui diffère d'avant.

Effectivement c'est bien mieux en liant directement sur une OU.  
Par contre je m'interroge sur le fonctionnement de la GPO : Une fois liée dans l'OU, celle-ci ne s'applique plus sur le groupe, pourtant il est toujours présent dans le filtrage de sécurité :  

 
Par contre si je met directement un utilisateur dans la même OU, sans passer par le groupe, celle-ci est appliquée :  

 
 
Je sais pas si je passe a côté d'un truc ?

Tu as bien fait la manip que j'ai décris plus haut ?
 
Idéalement, ton OU contient exactement les utilisateurs don't tu as besoin, et tu n'as pas à réutiliser du filtrage de sécurité derrière.

J'ai suivi ton conseil mais je l'ai peut être saisi de travers !  
Quand tu indique d'ajouter "Ordinateurs du domaine" dans la délégation, on parle de l'onglet "délégation" de la GPO ?  
 
Car c'est ce que j'ai fait :  

 
Mais je pense que je vais aussi suivre ton conseil pour l'organisation des OU et ajouter les users directement dedans.

Une gpo s'applique aux ordinateurs et aux utilisateurs. Pas au groupe donc oui il faut que tes users/ordis soient dans l'ou et après tu filtres avec les groupes si besoin comme tu as fait

Ok, je n'ai pas besoin de filtrer dans ce cas. Du coup j'ai suivi ce que tu me dis: j'applique ma GPO sur mon OU dans laquelle se trouve mes postes et users :  
 
(on peut voir que les OU "Ordinateur" et Utilisateurs" héritent bien de cette GPO)
Je n'ai appliqué aucun groupe dans le filtrage :  

 
on peut voir que mon user et poste sont bien présent dans les bonnes OU :  

 
Dans cette configuration précise, la GPO ne s'applique pas. Si par contre j'ajoute dans le filtrage un groupe avec un utilisateur dedans, la GPO s'appliquera uniquement pour lui.. c'est la que je comprend pas ce qui coince?
 
 

Si tu veux que ça s'applique à tous tu met utilisateurs authentifiés dans le filtrage (par défaut normalement). Et si ta gpo a des settings utilisateurs tu l'applique à ton ou utilisateurs pas au dessus (même principe pour les ordis)

Il faut linker ta GPO à l'OU "Utilisateurs" seulement, puis dans le filtrage de sécurité 1) tu laisses "Authenticated Users"  ou 2) tu enlèves Authenticated Users du filtrage et tu le remplaces par le groupe de ton choix puis dans la delegation tu rajoutes "Domain computers" avec "Lecture".

Pas besoin de domaine computers en apply non

Domain computer n'a rien à faire en délégation...

Si tu n'as pas Authenticated Users ou équivalent en groupe de sécurité si.
 
Par contre c'est "Read", pas "Apply GPO", j'ai corrigé