S’il existe un GPO appliqué à tous les ordinateurs du domaine qui désactive quelque chose, existe-t-il un moyen de réactiver la chose désactivée pour certains hôtes du domaine, sans retirer ces hôtes du groupe par défaut Ordinateurs du Domaine ?
En d’autres termes, un autre GPO, qui réactive la fonctionnalité désactivée, peut-il être appliqué à un sous-ensemble d’UO dont les ordinateurs membres sont toujours membres des Ordinateurs du Domaine ? Si oui, où exactement dans la hiérarchie du domaine cette UO devrait-elle être créée, et comment les deux GPO devraient-ils être appliqués ?
Oui, absolument, c’est le fondement même de la hiérarchie des stratégies de groupe. Les stratégies de groupe sont appliquées dans l’ordre suivant :
Stratégie de groupe locale (basée sur la machine cliente – elle n’est pas connectée à votre stratégie de groupe AD)
Stratégies au niveau du site
Stratégies au niveau du domaine
Stratégies au niveau de l’UO
Au sein de chacun des 3 derniers niveaux, chaque ‘niveau’ peut avoir plusieurs GPO et leur ordre est décidé par l’administrateur système. C’est ce qu’on appelle “l’ordre de liaison” et le numéro le plus bas est traité en dernier, ce qui signifie que cette stratégie a le dernier mot.
Les stratégies d’UO sont appliquées en commençant par la “racine”, puis vers le bas, si cela a du sens.
En ce qui concerne ce qu’il faut réellement faire avec le GPO individuel, eh bien cela dépend en quelque sorte de la stratégie elle-même, mais généralement, elles ont les trois options suivantes :
Activé
Désactivé
Non configuré
Et tout ce qui se passe, c’est que la toute dernière stratégie à s’exécuter aura le dernier ‘mot’ sur le paramètre final. À l’exception de ‘Non configuré’ où aucune modification n’est apportée. ‘Non configuré’ est la valeur par défaut pour toutes les options dans la stratégie de groupe lorsque vous créez un nouveau GPO.
Donc, si votre stratégie actuelle a un paramètre qui est “Activé”, vous devez créer un GPO avec le même paramètre “Désactivé”.