26/12/2024

GPO et Loopback processing

I. Présentation

Lorsque l'on manipule et déploie des stratégies de groupe, il y aura forcément un moment où l'on entend parler de la notion de "Loopback processing", ou en français "Traitement par boucle de rappel". Le concept qui se cache derrière ce terme pose souvent des problèmes de compréhension : raison de plus pour vous en parler dans ce cours afin que ce soit bien compris.

II. Loopback processing

Lorsque l'on édite une stratégie de groupe, la configuration se découpe en deux parties : d'une part la section "Configuration ordinateur" et d'autre part la section "Configuration utilisateur". Si l'on veut appliquer des paramètres sur un ensemble de PC, nous allons modifier les paramètres de "Configuration ordinateur" et sur le même principe pour la partie utilisateur. Logique me direz-vous.

Par conséquent, lorsqu'un utilisateur ouvre une session sur un poste du domaine, les paramètres de GPO qui ciblent la machine sur laquelle il se connecte vont s'appliquer, ainsi que les paramètres de GPO qui ciblent le compte de l'utilisateur en lui-même. Ce cumul de paramètres va s'appliquer.

Cependant, ce mode de fonctionnement peut être impacté par le Loopback Processing. Tout d'abord, le traitement par boucle de rappel fait référence au paramètre de GPO suivant : Configuration de l'ordinateur/Modèles d'administration/Système/Stratégie de groupe/Configurer le mode de traitement par bouclage de la stratégie de groupe utilisateur (en anglais : Configure user Group Policy loopback processing mode)

Prenons un exemple : vous souhaitez que des paramètres utilisateurs s'appliquent seulement lorsqu'un utilisateur se connecte sur les machines contenues dans une OU spécifique. Comment faire puisqu'il s'agit de paramètres de "Configuration utilisateur" et que notre GPO s'applique sur des objets ordinateurs ? En activant le Loopback processing, nous allons pouvoir faire en sorte que les paramètres qui s'appliquent sur l'utilisateur ne sont pas ceux appliqués sur l'objet utilisateur directement, mais ceux appliqués au niveau de l'objet ordinateur. Subtile.

Ainsi, lorsqu'un utilisateur se connecte sur l'un des PC en question, il va recevoir des paramètres utilisateurs spécifiques à la connexion sur cet ordinateur. Que se passe-t-il dans le cas où l'utilisateur a déjà certains paramètres configurés dans une GPO qui s'applique directement sur son objet AD ? Lorsque l'on active le mode de traitement de la boucle de rappel dans la GPO (paramètre ci-dessus), il y a deux choix :

  • Remplacer (replace) : les paramètres "utilisateurs" de la GPO ordinateur remplacent ceux de la GPO utilisateur, complètement.
  • Fusionner (merge) : les paramètres "utilisateurs" des deux GPO sont fusionnés. S'il y a un conflit, c'est la valeur de la GPO qui s'applique sur l'ordinateur qui l'emporte.

Pour le loopback processing il y a deux cas d'usage intéressants :

  • Sur un serveur RDS pour appliquer des paramètres spécifiques aux utilisateurs lorsqu'ils se connectent sur ce serveur de sessions
  • Sur un ensemble de postes de travail où doivent s'appliquer des paramètres supplémentaires, par exemple des paramètres complémentaires lorsque la personne utilise un PC portable

La notion de loopback processing offre une flexibilité supplémentaire dans la gestion des stratégies de groupe, et il est très important de la connaître et de la comprendre. Cela peut s'avérer utile si vous avez besoin de réaliser un debug de GPO car il peut arriver que ce paramètre explique un comportement qui semblait anormal.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail