J'ai une GPO AD sur une OU que je voudrais pouvoir bypasser dans un certain scénario.
Mon problème est que c'est fait en sorte pour ne pas pouvoir le faire (ordre LSDOU notamment...)
Du coup, je cherche des idées pour que cette sa.... de GPO puisse être désactivée.
Bien évidemment, sans toucher à la GPO OU
J'ai essayé de supprimer les clés de registre, faire une stratégie locale mais y'a pas moyen
C'est impossible ou pas ma demande ?
Est-ce que c'est clair ce que je raconte ?
Merci
Message édité par akizan le 16-03-2017 à 11:10:39
Publicité
Posté le 16-03-2017 à 11:09:53
nebulios
Posté le 16-03-2017 à 11:59:46
Tu as les droits pour modifier cette GPO ?
akizan
Eye Sca Zi
Posté le 16-03-2017 à 13:06:24
moi oui, le helpdesk non.
Mais à la fois, on ne souhaite pas que le helpdesk puisse faire tout et n'importe quoi.
Sinon, j'imaginais pousser une stratégie locale sur l'ensemble des PC sans passer par l'AD donc pour laisser la main de désactiver la stratégie aux gens du helpdesk par le gpedit.msc
Z'avez déjà fait ce genre de choses ? c'est un peu crade vu que y'a pas de gestion centralisée mais bon...
Je@nb
Modérateur Kindly give dime
Posté le 16-03-2017 à 13:27:06
je dirais plutôt fait un groupe ad, met un deny sur apply this gpo sur la gpo en question pour le groupe et tu indiques au helpdek de mettre les gens ou les computer en fn de la gpo dans le groupe en question puis logon/logoff ou restart et zou ?
Tu peux utiliser un filtre de sécurité pour mieux cibler ta GPO. Ou utiliser un deny pour éviter de l'appliquer à un groupe d'utilisateurs particulier, mais c'est crade.
Oublie les GPO locales, elles seront écrasées par la GPO de domaine.
je dirais plutôt fait un groupe ad, met un deny sur apply this gpo sur la gpo en question pour le groupe et tu indiques au helpdek de mettre les gens ou les computer en fn de la gpo dans le groupe en question puis logon/logoff ou restart et zou ?
ils n'ont pas les droits pour modifier ça dans l'AD et on ne veut pas leur donner.
Tu peux utiliser un filtre de sécurité pour mieux cibler ta GPO. Ou utiliser un deny pour éviter de l'appliquer à un groupe d'utilisateurs particulier, mais c'est crade.
Oublie les GPO locales, elles seront écrasées par la GPO de domaine.
Ce sont des paramètres GPO ou GPP ?
C'est des GPO.
Justement, je pense prendre le truc à l'inverse de la bonne pratique, je viens de tester ça marche.
Je déploie une stratégie locale par SCCM sur tous les postes.
Je développe un outil pour modifier cette stratégie (le bypass), outil accessible au helpdesk comme ça ils trifouillent pas le gpedit.msc
Je redéploie la stratégie locale par SCCM à J+1 pour remettre tout d'équerre.