Comment bloquer une GPO pour un groupe spécifique ?

I. Présentation

Alors que nous venons de voir comment appliquer une GPO sur un groupe spécifique dans le chapitre précédent, maintenant nous allons traiter un autre cas : si l'on souhaite appliquer une GPO à tous les utilisateurs sauf certains, comment faire ? Il va falloir leur refuser l'accès à la GPO, voyons comment faire.

II. Refuser l'accès à une GPO sur un groupe

Dans l'éternelle console GPMC, il va falloir commencer par sélectionner la GPO dans la liste. Ensuite, nous allons accéder directement à l'onglet "Délégation" : et oui, le filtrage de sécurité permet de donner l'accès à une GPO, mais ne permet pas de gérer le refus.

L'objectif va être de bloquer l'accès au groupe "Direction" à cette GPO qui s'applique sur tout le personnel de l'entreprise jusqu'ici.

Au sein de l'onglet "Délégation", cliquez sur le bouton "Avancé" en bas à droite.

Cela va ouvrir les paramètres de sécurité de la GPO et nous donner accès en direct aux permissions. Nous allons ajouter le groupe "Direction" à cet endroit, pour cela il faut cliquer sur le bouton "Ajouter".

Il suffit de rechercher le groupe "Direction" en indiquant son nom, de cliquer sur "Vérifier les noms" et de valider.

Maintenant que le groupe de sécurité "Direction" apparaît, il va falloir lui attribuer les bons droits :

• Le droit "Lire" doit rester sur "Autoriser", comme c'est le cas actuellement
• Le droit "Appliquer la stratégie de groupe" doit être sur "Refuser"

Ce qui donne :

Si c'est bon pour vous, il reste à valider. Un message d'avertissement va s'afficher pour vous indiquer que le refus est prioritaire sur l'autorisation. En bref, si un utilisateur est dans le groupe "Direction", le refus s'appliquera dessus même s'il est dans un autre groupe autorisé.

L'autorisation que l'on vient de définir apparaît comme "Personnalisé" dans la liste.

L'opération s'arrête ici, comme d'habitude, il ne reste plus qu'à réaliser des tests de bon fonctionnement. Là, c'est à vous de jouer !