Par défaut lorsque l’on configure la partie « configuration utilisateur », elle ne s’applique que si la GPO est liée à une OU contenant des utilisateurs. De la même manière, la partie « configuration ordinateur » ne s’applique que si la GPO est liée à une OU contenant l’ordinateur en question.
Il existe cependant un moyen d'appliquer des paramètres utilisateurs spécifiques pour des postes précis. Par exemple sur des ordinateurs en libre-service ou des serveurs de bureau à distance (TS). Il s'agit du traitement par boucle de rappel.
Nous souhaitons améliorer la sécurité du poste « client81 » en cachant le lecteur système « c : » et en empêchant la modification de certains paramètres du navigateur.
Nous constatons pour l’instant sur les images ci-dessous que l’utilisateur peut accéder aux lecteurs « c : »
De même l’utilisateur peut accéder aux paramètres d’Internet Explorer :
Nous allons créer une stratégie de groupe s’appliquant sur l’ « OU » dans laquelle se trouve le compte de l’ordinateur :
Nous créons et lions une nouvelle «GPO » à l’ « OU » ordinateurs avec les paramètres présentés ci-dessous.
Configuration ordinateur\Stratégies\Modèles d’administration\Système\Stratégie de groupe
Configurer le mode de traitement par bouclage de la stratégie de groupe utilisateur : Activé
Mode : Remplacer
Configuration utilisateur\Stratégies\Modèles d’administration\Composants Windows\Explorateur de fichiers\
Dans Poste de travail, masquer ces lecteurs spécifiés : Activé
Choisissez l’une des combinaisons suivantes : Restreindre au lecteur C uniquement
Composants Windows\Internet Explorer\Panneau de configuration Internet\
Désactiver l’onglet Connexions Désactivé
Désactiver l’onglet Sécurité Activé
Après redémarrage du poste nous constatons que le lecteur « c : » n’est plus visible dans l’explorateur :
(Attention au délai de réplication entre les contrôleurs de domaines si vous possédez plusieurs DC)
Et l’onglet « sécurité » n’apparaît plus dans les propriétés d’Internet Explorer :
A noter que si je lance Notepad ou même l'explorateur, que je fais ouvrir un fichier et que je saisis « c : », le contenu de « c : » s’affichera tout de même. Il ne s’agit pas de bloquer l’accès à « c : » mais de masquer le lecteur par défaut dans l’explorateur.
Dans cet exemple nous avons donc vu comment modifier les stratégies d’utilisateurs pour des ordinateurs spécifiques à l’aide du traitement par boucle de rappel.
Commentaires
?
Bonjour,
Je suis à la recherche d'info, j'ai bien compris le principe du loopback processing, mais pourquoi ne pas configurer les paramètres communs à tous les utilisateurs directement dans la partie "Ordinateur" de la GPO.
Merci d'avance si quelqu'un peut éclairer ma demande
RE : ?
Bonjour,
Il existe plusieurs raisons pour utiliser le traitement par boucle de rappel :
- vous voulez fixer des paramètres que sur certaines machines et ces paramètres n'existent pas dans la partie Ordinateur
- vous voulez fixer des paramètres que sur des serveurs de bureau à distance mais vous ne voulez pas que la session locale sur un poste physique soit impacté par ce paramètre.
En général, le "loopback processing" n'est pas utilisé s'il s'agit de paramètre commun à tout le monde.
Merci, je ne maitrisais pas
Merci, je ne maitrisais pas tout le fonctionnement des gpo. Je pensais que les paramètres ordinateur et utilisateurs étaient les mêmes.
plusieurs GPO
Bonjour, si l'on a plusieurs GPO à appliquer sur une même OU faut-il activer la boucle de rappel sur chaque GPO.
Merci
Si vous avez défini des
Si vous avez défini des paramètres utilisateurs dans une GPO et que vous souhaitez les appliquer sur des machines spécifiques il faut appliquer la boucle de rappel. Cette option ne s'applique que sur la GPO en question. Si vous avez plusieurs GPO dans ce cas il faut activer la boucle de rappel sur chacune d'elles.