Priorité des GPO appliquées de force

Windows Server & IT Pro Active Directory & Entra ID
1

Quelle est la priorité pour les GPO appliquées de force ? Je ne trouve pas vraiment d’articles Microsoft qui donnent une réponse précise.

Ma compréhension actuelle est la suivante :

La priorité normale (sans application forcée) :
Local → Site → Domaine → OU parent → OU enfant
L’OU enfant étant la plus prioritaire.

Lorsqu’une GPO est appliquée de force :
GPO forcée du site → GPO forcée du domaine → GPO forcée de l’OU parent → GPO forcée de l’OU enfant
Et les GPO forcées du site sont les plus prioritaires.

Mais quand il y a plusieurs GPO liées au même conteneur, dans quel ordre s’appliquent-elles ? Laquelle est prioritaire ? Et comment le forçage (Enforce) change-t-il cette logique ?

Cela m’embrouille car dans mon environnement, j’ai deux GPO liées au même domaine, et les deux sont appliquées de force. Elles ont des paramètres conflictuels et je ne sais pas laquelle « gagne ».

Source : [Server Fault](http://myotherpcisacloud.com/post/2012/08/14/GPO-Application-Precedence-Just-Because-You-Can-Edition.aspx](http://myotherpcisacloud.com/post/2012/08/14/GPO-Application-Precedence-Just-Because-You-Can-Edition.aspx)

2

J’ai écrit à ce sujet ici : http://myotherpcisacloud.com/post/2012/08/14/GPO-Application-Precedence-Just-Because-You-Can-Edition.aspx

Voici l’essentiel de l’article :

Deux mots sont souvent confondus : l’application et la priorité.

Le résultat de l’application d’une GPO est un ensemble de paramètres qui sera appliqué à un objet (utilisateur ou ordinateur). Quand des paramètres conflictuels existent, la priorité détermine lequel « gagne ».

L’ordre normal (sans application forcée) : Les GPO sont appliquées de bas en haut (l’OU enfant a la plus haute priorité).

L’application forcée (Enforce/No Override) inverse la priorité pour les GPO forcées. Si vous avez une GPO forcée sur le domaine et une GPO forcée sur une OU enfant, les paramètres de la GPO du domaine seront prioritaires.

Pour les GPO liées au même conteneur : si plusieurs GPO sont liées au même conteneur (par exemple, deux GPO sur le même domaine), elles sont traitées dans l’ordre inverse de leur numéro de lien (la GPO avec le numéro de lien le plus bas est traitée en dernier et a donc la priorité la plus élevée). C’est visible dans la console GPMC : l’ordre des liens est affiché et peut être modifié avec les flèches haut/bas.

L’application forcée ne change pas l’ordre relatif entre les GPO du même conteneur - elle change seulement leur relation avec les GPO des conteneurs enfants.

Pour résumer : si deux GPO forcées sont au même niveau, celle avec le numéro de lien le plus bas (en haut de la liste dans GPMC) a la priorité.