WebLog de Stéphane PAPP [MSFT]

Journal sur le web de Stéphane PAPP sur l'administration de systèmes.

Confusion sur les groupes restreints

Blog - About

A propos du WebLog de Stéphane PAPP [MSFT]

Après près de 10 ans de conseil dans l'équipe française de Microsoft Consulting Services (MCS), j'ai rejoint l'équipe européenne de Customer Service and Support (CSS) comme ingénieur conseil grands comptes. Mon rôle consiste à délivrer du conseil proactif et réactif sur les logiciels de la gamme System Center (ConfigMgr et OpsMgr, principalement).
Je délivre de l'expertise technique associée aux méthodologies ITIL/MOF sous la forme d'atelier de type vérification de l'état de santé, évaluation des risques, revues de supportabilité, cours magistraux.
Si vous êtes intéressés pour avoir un contact Microsoft dédié pour des ressources techniques, travailler avec vous sur des projets, délivrer une formation ou un transfert d’expertise et vous aider à résoudre vos problèmes, le PFE dédié est fait pour vous. Pour en savoir plus, contactez votre responsable technique de compte ou interlocuteur habituel chez Microsoft.

Confusion sur les groupes restreints

  • Comments 0

Dans l'utilisation des stratégies de groupe, une fonction très puissante est la possibilité de contrôler les membres d'un groupe à travers ce qui se nomme les "groupes restreints" ou "restricted groups".

Ces groupes restreints fonctionnent de deux manières différentes avec un objectif opposé l'un à l'autre :

  • Soit vous cherchez à faire en sorte qu'un groupe ne contienne qu'une liste précise de membres
  • Soit vous cherchez à faire en sorte qu'un groupe soit forcément membre d'un autre groupe

Une erreur sur la démarche et vous pouvez vous retrouver dans la situation du bûcheron qui a coupé la branche sur laquelle il était assis. Si vous indiquez qu'un groupe "Administrateurs" ne doit contenir qu'un groupe défini à l'avance, vous risquez de perdre le contrôle de ce groupe "Administrateurs"

Le réglage de cette stratégies est dans :
Configuration de l'ordinateur\Paramètres Windows\Paramètres de sécurité\Groupes restreints

En anglais :
Computer Configuration/Windows Settings/Security Settings/Restricted Groups

Il est assez fréquent de chercher à faire en sorte, par exemple, pour Operations Manager ou Configuration Manager" qu'un groupe d'utilisateurs (plutôt des groupes de comptes assimilable à des comptes de service) soit membre des groupes "Administrateurs" d'un groupe de serveurs membres d'un domaine. La bonne démarche consiste à placer ces serveurs dans une unité d'organisation sur laquelle sera appliquée une stratégie de groupe imposant que le groupe spécifique que vous utilisez soit membre du groupe local des administrateurs. Ce n'est pas le groupe local des "Administrateurs" que vous contrôlez, mais le groupe spécifique.

Dans la mise en oeuvre de la stratégie, le haut de la fenêtre (Members of this group) permet de retreindre la liste des membres du groupe contrôlé à une liste précise et limitée.

Le base de la fenêtre (This group is a member of) correspond au cas d'un groupe que vous forcez à être membre d'un autre groupe, sans pour autant exclure que d'autres groupes en soient membres.

Dans des tests, évitez de choisir le groupe "Administrateurs", car vous pourriez parvenir à faire en sorte qu'il soit vide si vous ne renseignez pas de membres à ce groupe, avec les conséquences que je vous laisse imaginer :-).

Leave a Comment
  • Please add 7 and 5 and type the answer here:
  • Post