Aug 10 2011

GPO: Boucle de rappel et preferences des strategies de groupe

Nous allons voir dans ce post comment les préférences des stratégies de groupe (Group Policy Preferences) apportent de nouvelles fonctionnalités dans le mode de traitement par boucle de rappel (loopback processing).

A propos du loopback processing je vous conseille la lecture de cet article en deux parties de 4sysops (partie 1, partie2).

Sur des serveurs TS/Citrix nous utilisons principalement le traitement par boucle de rappel en mode replace. Ceci afin de définir le même environnement utilisateur pour tout le monde, la GPO suivante est appliqué à tous les serveurs TS/Citrix de la même OU:

Dans cette OU sont donc situés différents serveurs Citrix/TS hébergeant chacun des applications différentes, celles ci peuvent nécessiter un paramétrage utilisateur différent: Dans notre exemple nous prendrons comme paramètre le titre de la barre Internet Explorer:

  • Titre barre IE “Web Application 1” pour les utilisateurs du groupe “Qualif-Xen-Usr-Param1” se connectant aux objets ordinateurs TS/Citrix membres de “Qualif-Xen-srv-Param1” situés dans l’OU “460-XenApp6”.
  • Titre barre IE “Web Application 2” pour les utilisateurs du groupe “Qualif-Xen-usr-Param2” se connectant aux objets ordinateurs TS/Citrix membres de “Qualif-Xen-srv-Param2” situés dans l’OU “460-XenApp6”.

Sans utiliser les GPP (Group Policy Preferences) nous ne pouvons appliquer un paramètre utilisateur en fonction du groupe d’ordinateur sur lequel l’utilisateur se connecte, nous ne pouvons qu’appliquer un filtrage de sécurité pour un groupe d’utilisateurs. Les GPOs avec paramétrage utilisateur liés à l’OU “460-XenApp6” sont donc les suivantes:

Quand un utilisateur fait partie du groupe “Qualif-Xen-Usr-Param1” le titre “Web Application 1” est bien appliqué, de même quand un autre utilisateur fait partie du groupe “Qualif-Xen-Usr-Param2” nous aurons le titre “Web Application 2”. Mais si un même utilisateur fait partie des groupes “Qualif-Xen-Usr-Param1” et “Qualif-Xen-Usr-Param2” alors il se verra toujours appliquer le paramétrage “Web Application 1”, quelque soit le serveur (donc application) auquel il se connecte, ceci à cause de l’ordre d’application des GPOs:

Le seul moyen de résoudre ce problème sans GPP est de placer les serveurs “Web Application 1” et “Web Application 2” dans des OU différentes et de lier chaque GPO avec paramétrage utilisateur à chaque OU . Ce qui n’est pas pratique en termes d’administration, car nos serveurs Citrix/TS ont des GPOs communes qu’il faudra penser à lier sur les deux OU (l’activation du loopback sur les objets ordinateurs par exemple).

Avec les GPP nous avons la fonction d’Item level Targeting, qui va nous permettre de conserver ces serveurs dans la même OU. En effet le paramètre de GPO “Title Bar Text” n’est rien d’autre que l’édition de la valeur “Window Title” de la clef HKEY_CURRENT_USER\Software\Microsft\Internet Explorer\Main. Il peut donc être déployé via GPP et nous utiliserons l‘item level targeting pour indiquer que le paramètre “Web Application 1” ne s’applique que si l’utilisateur est membre du groupe  “Qualif-Xen-Usr-Param1” et qu’il se connecte sur un serveur membre du groupe “Qualif-Xen-srv-Param1”:

les GPOs avec paramétrage utilisateur utilisant les GPP et liés à l’OU “460-XenApp6” sont donc les suivantes:

Sur nos deux serveurs le titre de la barre IE est bien différent pour un utilisateur qui appartient aux groupes “Qualif-Xen-Usr-Param1” et “Qualif-Xen-Usr-Param2”:

Ne pas oublier que pour obtenir le jeu de stratégies résultant pour les GPP il faut utiliser la GPMC comme expliqué dans mon dernier post.

Du moment que le paramétrage utilisateur est éditable via le registre ou tout autre objet de GPP (raccourci, map réseau…) alors cette méthode peut être appliquée pour éviter de multiplier les OUs de type Citrix/TS.

This post is also available in: Anglais

3 Comments

  • By CTXBLOG, August 24, 2011 @ 7:59 pm

    c’est bon ça 🙂

  • By ldap389, August 25, 2011 @ 2:41 pm

    C clair, ça nous évitera de créer plein d’OU “Appli_uzinagaz01”, “Appli_uzinagaz02″….

  • By LDIX, December 19, 2013 @ 1:03 pm

    merci

Other Links to this Post

RSS feed for comments on this post. TrackBack URI

Leave a comment

*

WordPress Themes

Blossom Icon Set

Software Top Blogs