2 GPO 1 OU : Distinguer les ordinateurs du siège et des agences via la Gateway

Cas Pratique :

Sous ce titre aguicheur se cache en réalité un problème que de nombreux administrateurs ont déjà rencontré.

1) Mes ordinateurs ne sont pas triés par site
2) « Site et service Active Directory » est configuré par défaut (ne rigolez pas, c’est TRÈS souvent le cas, 3 sociétés, 3 fois le cas)
3) ils sont rangés dans une seule et même Unité d’Organisation.

Objectif :

Je souhaite appliquer une configuration WSUS (ou autre) particulière pour les postes du siège et une autre configuration pour les postes des agences/bureaux.
Principalement, on fait cela lorsqu’on veut utiliser BITS/DoSVC pour le téléchargement des mises à jour.
Ne pas brider le téléchargement au siège (réseau 10GB etc…)
Brider en agence (car MPLS, réseau WAN faible etc…)

Les solutions disponibles :

1) Configurer « Site et service Active Directory » et appliquer la GPO par SITE. Nécessite beaucoup de temps et d’étude avant d’y mettre en place, mais c’est la plus propre…
2) Ranger les PC dans les « OU » spécifiques et appliquer la GPO sur l’OU voulu. C’est long, chiant à faire (rien de valorisant à déplacer des objets de l’Active Directory….), chiant à garder en vie (j’entends par là, déplacer les PC en fonction des mouvements du personnels etc…..)
3) Filtre WMI via la Gateway des PC (la plus simple, pour les fainéants comme moi :p)

La Solution : Filtre WMI

Cette solution consiste à créer et lié un filtre WMI à une GPO afin de filtre en fonction du besoin. Un peu à la manière d’un groupe lié à une GPO.
Exemple de GPO ayant un filtrage par WMI :

Pour les malins : ne faite pas attention au blocage d’héritage, l’AD est en réorganisation, c’est donc normal.

Lets do it :

Création d’un filtre WMI.

Ouvrez « Gestion de Stratégie de Groupe« , allez tout en bas, sur le dossier nommé « Filtres WMI » et faites un clic droit dessus puis « Nouveau…« 

Nommez et décrivez votre futur filtre WMI, puis cliquez sur « Ajouter »

La requête pour les PC du Siège :

Select Mask,Destination,NextHop from Win32_IP4RouteTable WHERE ((Mask='0.0.0.0' AND Destination='0.0.0.0') AND (NextHop='VOTRE GATEWAY DU SIEGE ICI'))

La requête pour les PC des agences :

Select Mask,Destination,NextHop from Win32_IP4RouteTable WHERE ((Mask='0.0.0.0' AND Destination='0.0.0.0') AND (NextHop<>'VOTRE GATEWAY DU SIEGE ICI'))

NB : Vous n’avez qu’a modifier « VOTRE GATEWAY DU SIEGE ICI » et rien d’autre.

Et oui, il y a bien une différence entre les deux requêtes. Elle se situe ici :
« AND (NextHop<> » = différent de
« AND (NextHop= » = égale

Pour faire simple :
– Si la Gateway est égale à celle du siège, alors le PC est au siège
– Si la Gateway est différente de cette du siège, alors le PC est en agence (ou ailleurs)

Collez la requête que vous souhaitez ici, puis validez.

Cliquez sur « Enregistrer », votre requête WMI est prête. Vous pourrez alors la sélectionner dans votre GPO comme dans l’exemple ci dessous » :

Qu’est ce que cela donne lors d’un GPRESULT ?

Ceci :

Mon PC est actuellement au siège. La valeur est Vrai.

Mes GPO (à droite) sont appliquées ou non en fonction de la valeur Faux/Vrai du filtre WMI (à gauche). Si « faux » la GPO ne s’applique pas, si « Vrai », la GPO s’applique.
C’est aussi simple que cela.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *