Comment contourner le traitement de bouclage GPO pour certains utilisateurs?

Comme vous le savez probablement, le traitement en boucle est une fonctionnalité des stratégies de groupe Active Directory qui applique les paramètres utilisateur dans un objet de stratégie de groupe à tout utilisateur qui se connecte aux ordinateurs dans la portée de l'objet de stratégie de groupe (alors que le comportement standard consiste à appliquer les paramètres utilisateur uniquement si le compte d'utilisateur est en fait situé dans la portée du GPO). Cela est utile lorsque vous souhaitez que tous les utilisateurs qui se connectent à un ordinateur spécifique reçoivent une stratégie utilisateur, quel que soit l'emplacement de leur compte utilisateur dans AD.

Le problème: lorsque le traitement de bouclage est activé, un objet de stratégie de groupe contenant des paramètres utilisateur est appliqué à tous ceux qui utilisent ces ordinateurs, et vous ne pouvez pas contourner cela en utilisant des listes de contrôle d'accès sur l'objet de stratégie de groupe, car il n'est pas réellement appliqué aux utilisateurs , mais aux ordinateurs .

La question: comment contourner le traitement de bouclage pour des utilisateurs spécifiques qui doivent se connecter à ces ordinateurs mais ne doivent pas être soumis à ces paramètres de stratégie?

Exemple: il existe plusieurs serveurs de terminaux où les objets de stratégie de groupe avec traitement de bouclage sont utilisés pour appliquer de lourdes restrictions aux utilisateurs sur tous ceux qui s'y connectent (ils ne devraient en principe pouvoir exécuter qu'un tas d'applications approuvées par l'entreprise); mais cela s'applique même aux administrateurs de domaine , qui sont donc rendus incapables même de lancer une invite de commande ou d'ouvrir le gestionnaire de tâches. Dans ce scénario, comment puis-je dire à AD de ne pas appliquer ces paramètres si l'utilisateur qui se connecte appartient à un groupe spécifique (tel que les administrateurs de domaine)? Alternativement, même la solution opposée ("n'appliquer ces paramètres qu'aux utilisateurs appartenant à un groupe spécifique") conviendrait.

Mais n'oubliez pas que nous parlons ici de traitement en boucle . Les stratégies sont appliquées aux ordinateurs , et les paramètres utilisateur à l'intérieur sont appliqués aux utilisateurs uniquement parce qu'ils se connectent à ces ordinateurs (oui, je sais que cela prête à confusion, le traitement de bouclage est l'une des choses les plus délicates à obtenir à propos des stratégies de groupe).

Je pense que la solution serait le filtrage WMI (c'est comme ça que je l'ai fait à ma place).

Vous créez un filtre WMI qui intercepte les postes de travail que vous souhaitez.
Vous créez un objet de stratégie de groupe avec les paramètres utilisateur uniquement et avec un filtrage de sécurité.
Vous mettez les deux ensemble et placez l'objet de stratégie de groupe sur le conteneur d'utilisateurs.

Ainsi, le filtrage WMI spécifie le comptuer auquel il s'applique et le filtrage de sécurité les utilisateurs auxquels il s'applique.

Et supprimez le bouclage.
Cela vous donnera plus de maux de tête que vous ne l'aviez prévu, car il ne s'applique pas uniquement à l'objet de stratégie de groupe spécifié dans lequel il est configuré, mais à toutes les stratégies appliquées aux ordinateurs.

Mise à jour
Si kb3163622 est installé sur vos postes de travail, vous pouvez faire de même en utilisant uniquement des groupes de sécurité.
Cette mise à jour modifie la façon dont les stratégies utilisateur sont appliquées.
Désormais, les stratégies utilisateur sont réellement appliquées à la fois dans le contexte de sécurité de l'ordinateur et de l'utilisateur.
Donc, si vous mettez dans le filtrage de sécurité de cet objet de stratégie de groupe les ordinateurs et les utilisateurs auxquels vous souhaitez qu'il s'applique, cela fera la même astuce que le WMI (en supposant que vous n'allez pas pour une requête complexe).

Un refus ACE pour appliquer l'autorisation de stratégie de groupe pour les principaux de sécurité en question (utilisateur / groupe) sur les stratégies de groupe avec les paramètres utilisateur dans l'unité d'organisation de l'ordinateur empêchera les stratégies de groupe d'utilisateurs liées à l'unité d'organisation de l'ordinateur de s'appliquer.

Toutefois, si le traitement de la stratégie de bouclage est configuré pour le mode de remplacement, les stratégies de groupe d'utilisateurs qui sont dans la portée de l'emplacement du compte d'utilisateur (et non pour l'ordinateur) seront ignorées.