La gestion des stratégies de groupe dans Active Directory peut parfois s’avérer complexe, notamment lorsqu’il s’agit d’exclure certaines GPO de certains utilisateurs ou ordinateurs. En effet, une mauvaise gestion peut entraîner l’application de stratégies à des endroits inappropriés, provoquant des conflits ou des modifications système indésirables. Que vous souhaitiez exclure quelques machines de test d’une stratégie globale ou configurer des contrôles plus précis, savoir ajuster finement la portée vous évitera bien des soucis par la suite. Ce guide présente différentes méthodes pour bloquer ou filtrer les GPO pour certains objets AD, du simple filtrage de sécurité aux filtres WMI avancés et au ciblage au niveau de l’élément, afin de vous permettre de mieux maîtriser leur application. Ces méthodes vous aideront à empêcher l’application inopinée de certaines stratégies dans certaines configurations, simplifiant ainsi la gestion de vos stratégies de groupe.
Comment empêcher l’application de certaines GPO dans Active Directory
Méthode 1 : Utilisation du filtrage de sécurité dans GPMC
C’est probablement l’option la plus simple et la plus directe pour des exclusions rapides. Concrètement, vous modifiez les autorisations d’un objet de stratégie de groupe (GPO) afin que seuls certains groupes ou utilisateurs puissent l’appliquer, les autres étant exclus. Cette méthode est particulièrement efficace si vous souhaitez empêcher un ensemble spécifique d’ordinateurs ou d’utilisateurs d’appliquer une stratégie sans affecter le reste du domaine. En refusant l’autorisation « Appliquer la stratégie de groupe » à un groupe de sécurité contenant les machines cibles, vous indiquez à Active Directory d’ignorer ces objets lors de l’application de la stratégie. C’est simple, mais très efficace. Attention : les autorisations de refus sont prioritaires sur les autorisations d’autorisation. Soyez donc vigilant avec vos autorisations, au risque de bloquer accidentellement plus de personnes que prévu.
- Ouvrir la console de gestion des stratégies de groupe (gpmc.msc)
- Accédez à la GPO en question.
- Accédez à l’ onglet Délégation
- Cliquez sur le bouton Ajouter pour attribuer des groupes de sécurité spécifiques
- Saisissez le groupe, l’utilisateur ou l’ordinateur que vous souhaitez exclure (par exemple
gpo_WSUS_workstations_excl) - Cliquez sur Avancé et définissez Refuser pour Appliquer la stratégie de groupe
Une fois la configuration terminée, redémarrez ou exécutez la commande gpupdate /forcesur les clients concernés. Ensuite, ouvrez une invite de commandes et vérifiez quelles stratégies sont effectivement appliquées gpresult /r. Si votre GPO a été filtrée en raison du paramètre « Refuser », cela signifie qu’elle fonctionne. Sur certaines machines, ce processus initial peut nécessiter un redémarrage manuel pour que les modifications soient prises en compte.
Conseil de pro : Cette méthode est assez statique ; chaque fois que vous souhaitez ajouter ou supprimer des exclusions, vous devrez mettre à jour manuellement le groupe de sécurité. Si vous avez besoin d’une solution plus dynamique, poursuivez votre lecture.
Méthode 2 : Filtres WMI pour optimiser l’application GPO
C’est là que les choses deviennent un peu plus complexes, mais aussi plus flexibles. Les filtres WMI vous permettent de créer des requêtes WQL pour définir précisément les ordinateurs qui doivent ou non appliquer une stratégie. Par exemple, vous pouvez configurer la stratégie pour qu’elle ignore toute machine dont le nom d’hôte contient « adm » ; pratique pour vos machines de test ou d’administration. Cette approche est particulièrement utile lorsque vos exclusions dépendent du matériel ou des conventions d’appellation. La magie opère dans la console de gestion des stratégies de groupe, où vous créez le filtre puis le liez à un objet de stratégie de groupe (GPO).
SELECT * FROM Win32_ComputerSystem WHERE NOT (Name LIKE '%adm%')Voici ce que vous devez faire :
- Console de gestion des stratégies de groupe ouvertes
- Accédez aux filtres WMI
- Créez un nouveau filtre WMI avec votre requête WQL personnalisée.
- Associez ce filtre à votre GPO cible.
Désormais, chaque machine effectuera cette vérification au démarrage ou à chaque actualisation. Si la requête renvoie la valeur « faux » (par exemple, si le nom d’hôte contient « adm »), la stratégie ne sera pas appliquée. C’est un peu étrange, mais sur une configuration, cela a fonctionné à merveille ; sur une autre, beaucoup moins. Attention : les requêtes WMI peuvent être un peu lentes ou complexes si la syntaxe n’est pas parfaite ; il est donc conseillé de les tester au préalable sur plusieurs machines.
Méthode 3 : Ciblage au niveau de l’élément pour les préférences GPO
Si votre objet de stratégie de groupe (GPO) utilise les préférences de stratégie de groupe (GPP), vous pouvez configurer des règles de ciblage au niveau de l’élément. Cette fonctionnalité est pratique pour appliquer des exceptions au sein d’un seul GPO sans avoir à en créer plusieurs. Par exemple, vous pouvez cibler des paramètres uniquement pour certains groupes ou ordinateurs, ou, comme dans notre cas, créer des exceptions pour certains objets. Il vous suffit d’activer le ciblage au niveau de l’élément dans l’onglet Général d’une préférence, puis d’ajouter des règles basées sur des attributs variables tels que l’appartenance à un groupe, le nom d’hôte ou encore l’appartenance à un groupe de sécurité.
- Modifiez la stratégie de groupe et localisez l’élément de préférence spécifique.
- Cochez la case Ciblage au niveau de l’article
- Configurez des conditions telles que IS-NOT pour le groupe de sécurité ou le modèle de nom d’hôte
- Appliquer et tester, puis redémarrer ou exécuter
gpupdate /force
Ainsi, seuls les objets correspondant à vos critères verront le paramètre appliqué, les autres étant ignorés. Cela demande un peu plus de travail au départ, mais offre une précision optimale une fois configuré. N’oubliez pas : si vous modifiez des attributs ou des groupes, vous devrez mettre à jour vos règles de ciblage en conséquence.
La gestion des exclusions dans les GPO peut vite devenir complexe, mais combiner ces méthodes permet un contrôle optimal. En général, il s’agit de trouver un juste milieu entre simplicité et précision, en fonction de votre environnement.