Traitement par boucle de rappel de la stratégie utilisateur

 

Par défaut lorsque l’on configure la partie  « configuration utilisateur », elle ne s’applique que si la GPO est liée à une OU contenant des utilisateurs. De la même manière, la partie « configuration ordinateur » ne s’applique que si la GPO est liée à une OU contenant l’ordinateur en question.

Il existe cependant un moyen d'appliquer des paramètres utilisateurs spécifiques pour des postes précis. Par exemple sur des ordinateurs en libre-service ou des serveurs de bureau à distance (TS). Il s'agit du traitement par boucle de rappel.

Nous souhaitons améliorer la sécurité du poste « client81 » en cachant le lecteur système « c : » et en empêchant la modification de certains paramètres du navigateur.

Nous constatons pour l’instant sur les images ci-dessous que l’utilisateur peut accéder aux lecteurs « c : »

De même l’utilisateur peut accéder aux paramètres d’Internet Explorer :

Nous allons créer une stratégie de groupe  s’appliquant sur l’ « OU » dans laquelle se trouve le compte de l’ordinateur :

 

 Nous créons et lions une nouvelle «GPO »  à l’  « OU » ordinateurs avec les paramètres présentés ci-dessous.

Configuration ordinateur\Stratégies\Modèles d’administration\Système\Stratégie de groupe

Configurer le mode de traitement par bouclage de la stratégie de groupe utilisateur :  Activé

Mode : Remplacer

Configuration utilisateur\Stratégies\Modèles d’administration\Composants Windows\Explorateur de fichiers\

Dans Poste de travail, masquer ces lecteurs spécifiés : Activé

Choisissez l’une des combinaisons suivantes : Restreindre au lecteur C uniquement

Composants Windows\Internet Explorer\Panneau de configuration Internet\

Désactiver l’onglet Connexions Désactivé 

Désactiver l’onglet Sécurité Activé  

 

Après redémarrage du poste nous constatons que le lecteur « c : » n’est plus visible dans l’explorateur :

 (Attention au délai de réplication entre les contrôleurs de domaines si vous possédez plusieurs DC)

 

Et l’onglet « sécurité » n’apparaît plus dans les propriétés d’Internet  Explorer :

 

A noter que si je lance Notepad ou même l'explorateur, que je fais ouvrir un fichier et que je saisis « c : », le contenu de « c : » s’affichera tout de même. Il ne s’agit pas de bloquer l’accès à « c : » mais de masquer le lecteur par défaut dans l’explorateur.

 

 

 

 

Dans cet exemple nous avons donc vu comment modifier les stratégies d’utilisateurs pour des ordinateurs spécifiques à l’aide du traitement par boucle de rappel.

 

 

Tags: 

Theme: 

Annee: 

Commentaires

?

Bonjour,

Je suis à la recherche d'info, j'ai bien compris le principe du loopback processing, mais pourquoi ne pas configurer les paramètres communs à tous les utilisateurs directement dans la partie "Ordinateur" de la GPO.

Merci d'avance si quelqu'un peut éclairer ma demande

RE : ?

Bonjour,
Il existe plusieurs raisons pour utiliser le traitement par boucle de rappel :
- vous voulez fixer des paramètres que sur certaines machines et ces paramètres n'existent pas dans la partie Ordinateur
- vous voulez fixer des paramètres que sur des serveurs de bureau à distance mais vous ne voulez pas que la session locale sur un poste physique soit impacté par ce paramètre.

En général, le "loopback processing" n'est pas utilisé s'il s'agit de paramètre commun à tout le monde.

Merci, je ne maitrisais pas

Merci, je ne maitrisais pas tout le fonctionnement des gpo. Je pensais que les paramètres ordinateur et utilisateurs étaient les mêmes.

plusieurs GPO

Bonjour, si l'on a plusieurs GPO à appliquer sur une même OU faut-il activer la boucle de rappel sur chaque GPO.

Merci

Si vous avez défini des

Si vous avez défini des paramètres utilisateurs dans une GPO et que vous souhaitez les appliquer sur des machines spécifiques il faut appliquer la boucle de rappel. Cette option ne s'applique que sur la GPO en question. Si vous avez plusieurs GPO dans ce cas il faut activer la boucle de rappel sur chacune d'elles.