Bonjour
 
Nous exploitons un domaine Active Directory sous Windows 2019 (2 DC, qui font également DNS et DHCP)
 
je me pose une question sur les GPO, notamment lors de modification, quelles sont les bonnes pratiques ?
 
car j'ai plusieurs fois eux le cas ou nous changions les paramètres d'une GPO, mais qu'au final coté client les paramètres de la GPO concerné ne sont pas mis à jour
même après un gpupdate force et un reboot.
 
Actuellement du coup, ce que je fait c'est que je supprime le liens de la GPO vers mon OU, je renomme la gpo, puis je refait le liens vers l'OU, et la elle est bien réappliquée et Maj sur les clients (et l'ancienne n'apparait plus sur le client)
 
mais je m'interroge du coup sur la bonne pratique dans ces cas la
cela concerne aussi bien des Gpo appliqué pour le poste, que pour les utilisateurs.
 
Dernièrement typiquement c'etait une gpo qui forçait la mise en veille des PC après 10 minutes (avec verrouillage de session et demande de MDP pour sortir de veille)
sauf qu'après pas mal de remonté, on a lâché du mou pour mettre 15 minutes
la GPO avait été modifié, mais coté poste client, le paramètre restait a 10 minutes.
en supprimant le liens de la gpo, renommage, puis re-creation d'un liens, ce coup ci j'ai bien le bon paramétrage a 15 minutes.

Dans un fonctionnement normal, une mise à jour de GPO va s'appliquer : ça peut prendre un peu de délai (selon le type de GPO, ça peut être plus ou moins), le gpupdate /force ou la fermeture/réouverture de session peuvent parfois accélérer la prise en compte du changement, mais globalement ça finit par se faire. Etre obligé de supprimer/refaire le lien n'est pas normal.
 
Tu as vérifié avec du gpresult si ta GPO descendait bien ? Tu as vérifié l'état de synchro de tes contrôleurs de domaine ? Pas de problème de ce côté là ?

mes 2 DC sont bien synchro
un gpresult ou avec rsop, la GPo ayant le meme nom elle apparait bien, mais effectivement le nouveau reglage n'y etait pas, c'etait toujours l'ancienne valeur.
 
en soit c'est pas genant, du coup on prend l'habitude de retirer el liens de la Gpo, on fait la modif, on change un peu le nom et on refait le liens et ca remonte tout de suite
 
mais si effectivement la modification d'une gpo doit etre remise a jour automatiquement, sans changer le nom, c'est qu'il y'a anguille sous roche chez nous alors >_<

Tu n'as pas d'erreur sur un gpupdate ?  
 
Jette un oeil à ça pour activer le debug et dépiauter les logs : https://learn.microsoft.com/en-us/a [...] t-updating

+1 c'est pas normal

C'est un peu complexe car selon les paramètres, le changement ne s'applique pas forcément de la même façon.
Tu peux vérifier la bonne santé de la réplication des GPO dans la GPMC, et vérifier les priorités, les filtres WMI, le ciblage etc.
Puis vérifier les logs Windows côté client, voir activer le mode debugging si toujours rien.