Windows a des objets de stratégie de groupe organisés dans une hiérarchie :
Local-> site-> domaine-> unité organisationnelle
Niveau auquel MVISION Endpoint applique sa stratégie
Stratégie de groupe locale. La stratégie de groupe locale contient des modifications MVISION Endpoint lorsqu’elle est appliquée au système :
Local (MVISION Endpoint)-site >-> domaine-> unité organisationnelle
Les objets stratégie de groupe s’appliquent à un système ou à un utilisateur dans un ordre spécifique. Cet ordre spécifique est le même que dans l’unité organisationnelle acronyme : LSD.
Les paramètres sont appliqués du haut vers le bas. MVISION Endpoint écrit les stratégies au niveau local, mais tous les autres calques de stratégie de groupe (site, domaine et unité organisationnelle) qui ont les mêmes paramètres configurés ou activés peuvent remplacer ces paramètres.
Cela signifie que MVISION Endpoint définit les stratégies de groupe localement (stratégie de groupe local), mais le système les remplace lorsque vous définissez les mêmes stratégies de groupe dans les objets GPO site, domaine ou unités organisationnelles.
Dans Active Directory, il existe un niveau supérieur appelé forêt AD. Une organisation peut avoir plusieurs forêts. Au sein de chaque forêt AD, il peut y avoir plusieurs domaines. Chaque domaine peut comporter plusieurs unités organisationnelles et chaque unité organisationnelle peut avoir plusieurs unités organisationnelles enfants.
- Forêt 1
- Domaine 1
- UNITÉ ORGANISATIONNELLE 1
- UNITÉ ORGANISATIONNELLE 2
- UNITÉ ORGANISATIONNELLE 21
- UNITÉ ORGANISATIONNELLE 22
- Domaine 2
- UNITÉ ORGANISATIONNELLE 3
Vous pouvez filtrer un GPO de plusieurs façons, mais le plus courant est le filtrage de sécurité et le filtrage WMI.
Vous pouvez modifier le traitement des objets stratégie de groupe de plusieurs manières, mais les méthodes les plus courantes sont l’ordre des liens, leur mise en œuvre et le blocage de l’héritage :
- L’ordre des liens spécifie l’ordre dans lequel les GPO de même niveau sont traités.
- Bloquer l’héritage bloque l’application des objets de stratégie de groupe des hiérarchies supérieures. Seuls les objets de stratégie de groupe du même niveau ou ci-dessous sont appliqués.
- La mise en œuvre signifie que si une ou plusieurs autres unités organisationnelles suivantes ont activé un autre paramètre (bloquer l’héritage), cette GPO s’applique, quelle qu’en soit la nature. Un GPO plus haut dans la structure de domaine ou d’unité organisationnelle qui a mis en œuvre activé remplace toutes les unités organisationnelles subordonnées, même si elles ont activé bloquer l’héritage.
D’autres problèmes peuvent survenir lorsque Endpoint est inscrit dans un domaine :
- Une fois que MVISION Endpoint applique les stratégies actuelles dans la stratégie de groupe locale, le composant Stratégie de groupe commence à traiter les objets stratégie de groupe et les applique. Le serveur du contrôleur de domaine doit être disponible au cours de ce processus pour fournir des objets stratégie de groupe de domaine au poste client. Si le serveur du contrôleur de domaine ne peut pas être atteint, MVISION Endpoint stratégies associées aux composants Windows (Windows Antivirus Defender et Windows Defender Firewall) ne sont pas appliquées.
- Le traitement de la stratégie de groupe locale n’est pas désactivé avec une stratégie de groupe de domaine.
- Cliquez sur le traitement de la stratégie de Registre pour qu’il s’exécute en arrière-plan. Sinon, l’application de stratégies MVISION Endpoint associées aux composants Windows (antivirus Windows Defender et Windows Defender Firewall) nécessite un redémarrage. En particulier, le paramètre suivant doit être effectué dans le domaine GPO : configurer le traitement de la stratégie du Registre, ne pas appliquer lors du traitement en arrière-plan périodique, désactivé.
- L’application de stratégies MVISION Endpoint associées à des composants Windows (pare-feu Windows Defender et Windows Defender) peut prendre un certain temps. L’heure est censée être similaire à l’intervalle de la commande. gpupdate /force se termine.
Pour voir quels objets de stratégie de groupe sont appliqués sur un poste client, exécutez les deux commandes suivantes en tant qu’administrateur :
gpupdate /force
gpresult /f /scope computer /h rsop.html
Dans le fichier généré
rsop.html, dans les sections associées à Windows Defender antivirus et à Windows Defender Firewall, tous les paramètres doivent être
GPO gagnante défini sur
Stratégie de groupe locale pour que les stratégies MVISION Endpoint prennent effet sur le poste client.