problème gpo

HolyBTN · 17/03/2014, 11h12

Bonjour,

Je voudrais mettre à disposition une remote app pointant sur internet explorer (10) sur un serveur 2012.
Ca fonctionne.
Ensuite j'aurais voulu que les paramètres du proxy soient mis pour chaque session utilisateur qui lancerait cette remote app

J'ai donc configuré le traitement de stratégie par boucle de rappel dans ma gpo en plus de la stratégie utilisateur disant qu'il faut mettre le proxy.

Le problème est que ca ne fonctionne pas, le proxy n'est pas rempli (j'ai testé de changer la page d'accueil même chose).
Pourtant ma gpo fonctionne et est bien appliquée, si je met dans stratégie utilisateur de ne pas afficher la corbeille par exemple cela fonctionne.

J'ai testé sans le traitement par boucle de rappel en l'appliquant directement sur un utilisateur au lieu du serveur et meme chose, ca ne fonctionne pas.

J'ai configuré les paramètres suivants sur le serveur TSE

Configuration ordinateur-modèles d'aministration-système-stratégie de groupe- configurer le mode de traitement par bouclage de la stratégie de groupe utilisateur (activé - mode fusion (j'ai testé remplacement)).
Configuration utilisateur-paramètres du panneau de configuration-paramètres internet- la j'ai créé un nouvel objet avec la version d'IE que j'utilise et j'y ai configuré la page d'accueil et le proxy.

La gpo est appliquée à ordinateurs du domaine et utilisateurs du domaine dans le filtrage de sécurité.

Si je regarde les paramètres dans ma session tse d'IE j'ai bien la case utiliser le proxy qui est cochée avec le port 80 alors que ce que j'ai configuré c'est un nom dns (barracudaweb.mondomaine.lan sur le port 3128) et que j'ai coché ne pas utiliser le proxy pour les adresses locales et cela n'est pas coché sur IE en TSE.

J'ai testé de désctiver le loopbak processing et d'appliquer sur un utilisateur, même chose, je dois mal faire quelque chose mais je ne vois vraiment pas quoi.
Je dois faire mal quelque chose mais je ne vois vraiment pas.

Si quelqu'un avait une idée.

Merci

Paice · 17/03/2014, 11h27

Double post

Paice · 17/03/2014, 11h31

Ce n'est pas du à ce mode de fonctionnement (la fusion) ? :

Citation :

Lors de l’activation de cette option (Loopback Processing) sur la GPO s’appliquant à l’ordinateur, le processus d’application des paramètres et de gestion des conflits se fera de la façon suivante :

Lors du démarrage de la machine, les paramètres « Configuration Ordinateur » de la GPO liée à l’OU contenant l’Ordinateur seront appliqués à la machine comme il est d’usage sans loopback processing.

Maintenant attention, lors de l’ouverture de session d’un objet Utilisateur qui lui n’est normalement pas visé par cette dernière GPO, ce sont les paramètres de « Configuration Utilisateur » contenus dans la GPO appliquée à l’objet de type Ordinateur qui seront appliqués (et non la « Configuration Utilisateur » de la GPO liée à l’Utilisateur), puis suivant l’option choisie lors de l’activation du Loopback Processing, les paramètres de « Configuration Utilisateur » provenant de la GPO liée au compte Utilisateur seront traités ainsi :

Si l’option fusion ou merge (en anglais) est choisie, dans ce cas les paramètres de « Configuration Utilisateur » appliqués à la session Utilisateur seront un cumul de ceux présent dans la partie « Configuration Utilisateur » de la GPO appliquée l’objet Ordinateur et de ceux présents dans la partie « Configuration Utilisateur »de la GPO appliquée à l’objet Utilisateur. En cas de conflits sur un parametre, ce sera le paramètre appliqué à l’objet Ordinateur qui ser effectivement appliqué.
Si l’option remplacement ou replace (en anglais) est choisie, dans ce cas les paramètres de « Configuration Utilisateur » appliqués seront ceux définis dans partie « Configuration Utilisateur » de la GPO appliquée à l’objet Ordinateur.

HolyBTN · 17/03/2014, 13h25

salut,

J'ai testé en désactivant le loopback juste pour voir et en appliquant la gpo sur une ou ou j'ai mis un utilisateur pour le test.
La gpo est bien appliquée (via gpresult) mais ca ne fonctionne pas.

Très curieusement pour l'utilisateur le paramètre utiliser un proxy est coché, mais rien dans l'adresse.

J'avais en premier monté un 2012 comme TS et vu que ca n'allait pas j'ai monté un 2008, meme chose.

Pourquoi ce p... de paramètre proxy ne passe pas?

Il n'y a pas des utilitaires qui analysent précisément le traitement d'une gpo?

Merci

Oulanbator · 17/03/2014, 13h36

Le proxy sur du windows est lié à IE, et les GPO ne marchent pas avec toutes les versions de IE.
Si je ne dis pas de conneries, les GPO ne peuvent pas de base s'appliquer à des versions supérieures à IE8 ou 9. Mais il possible de changer (je ne sais plus ou) la version de IE prise en charge (c'est genre rajouter les version dans un .xml).

..:: Edit ::..
(en fait il semble que tu as fait çà, donc essaye simplement d'appliquer la GPO sur un poste/VM avec une vieille version de IE ... genre un vieux windows XP).
..::::..

Sinon, si tu bosses sur du RDP/TSE, et que tu veux que le proxy soit permanent, tu peux régler le proxy dans les stratégies locales et il sera en place pour toutes tes sessions RDP.

Paice · 17/03/2014, 13h40

Pour l'avoir utilisé chez certains clients, je suis certain que le paramètre fonctionne (enfin en tout cas là ou je l'ai fait).

Oulanbator a raison, ça ne fonctionne pas à partir d'IE 10 (d'ailleurs si tu installe IE sur un DC, tu n'as plus le menu correspondant dans les GPOs :/ )

Sur ton 2008R2 tu peux pas te remettre en IE 9 ?

HolyBTN · 17/03/2014, 14h15

Sur mon 2012 c t IE10 et sur mon 2008 c IE9, ca ne fonctionne qd meme pas du tout.

J'ai cherché le paramètre de stratégie locale pour le proxy mais je n'ai pas trouvé, ca pourrait fix le problème en effet

Paice · 17/03/2014, 14h16

Donc ça doit pas etre IE9 mais IE8 le dernier a supporter ça (après ça vire l'entrée dans la gestion des GPO :/ )

HolyBTN · 17/03/2014, 14h17

bon l'idée à la baseétait de publier ie9 ou 10 donc

Oulanbator · 17/03/2014, 14h25

J'ai retrouvé ce que j'avais fait chez moi auparavant:

Edit du xml qui permet d'appliquer les GPO sur du IE > 8:
http://www.grouppolicy.biz/2011/03/h...pport-for-ie9/
(dans l'exemple c'est IE 9 mais ça marche jusqu'au 11)

Sinon j'y suis arrivé en tombant la-dessus:
http://www.grouppolicy.biz/2013/03/h...ith-windows-7/
Visiblement plusieurs réponses suggèrent de faire la solution ADMX... mais je ne sais pas ce que c'est (et je ne me suis pas penché dessus).

Sinon tu peux toujours mettre le proxy directement sur ton serveur TSE.
Par contre je ne sais plus si c'est via les stratégies locales (bref c'est encore de la GPO) ou juste en le réglant directement sur la fenêtre proxy de la session admin (ce qui est le plus simple).

HolyBTN · 17/03/2014, 14h26

Merci pour les infos, je vais regarder tout ca.

Pour le faire localement vu que ce sont des settings utilisateurs, le faire sur un session meme admin ne le fera pas pour tous les utilisateurs, il faut le faire via une stratégie locale, je vais chercher de ce coté la, merci.

Paice · 17/03/2014, 14h53

Citation :

Publié par Oulanbator

Par contre je ne sais plus si c'est via les stratégies locales (bref c'est encore de la GPO) ou juste en le réglant directement sur la fenêtre proxy de la session admin (ce qui est le plus simple).

Le proxy dans le profil de l'admin, c'est sur, ça ne fonctionne que pour l'admin (ou j'ai pas compris ce que tu veux dire).

ADMX c'est le nouveau format de fichier modèle des GPO depuis 2008, ça remplace les fichiers ADM, donc en gros il faut aller modifier les fichiers sans l'editeur de GPO...

HolyBTN · 17/03/2014, 14h54

Bon pour pallier au problème, j'ai mis cela dans les stratégies locales, ca fait moins propre mais ca fonctionne

Merci pour l'aide

Oulanbator · 17/03/2014, 15h28

Citation :

Publié par Paice

Le proxy dans le profil de l'admin, c'est sur, ça ne fonctionne que pour l'admin (ou j'ai pas compris ce que tu veux dire).

Oui, comme je l'ai dit plus haut, je ne me souvenais plus si c'était via les settings de la session admin ou via les stratégies locales.

Vinx Itak · 18/03/2014, 16h27

La configuration du proxy ne devrait pas être lié à une version d'IE puisque c'est un proxy système (utilisé par Chrome par exemple)
Pour faire plus simple, tu pourrais faire une GPO exclusivement proxy (je préfère faire des GPO par but/appli plutôt qu'un gros fourre tout), qui va taper la base de registre HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings

Paice · 18/03/2014, 16h34

C'est juste que depuis IE9 ou 10, de toute façon IE ne tient plus compte des entrées de proxy IE de la gpo et que, pour couronner le tout, si tu installer un IE >9 sur un DC, la gestion du proxy disparait du gestionnaire de GPO :/

HolyBTN · 19/03/2014, 07h46

Tout à fait, ca fonctionnait bien en strat locale sur ie8, je met le 11 et plus de param de strat.
Je l'ai donc mis via le reg mais dans HKU et pas HKCU, je veux que ce soit pour tt le monde.
Si je mets dans HKCU c'est que pour la session actuellement ouverte non?.

Paice · 19/03/2014, 08h24

Si tu le mets dans HKCU c'est juste pour l'utilisateur connecté.

Si tu n'as pas beaucoup de sessions qui ont été ouvertes sur ton serveur, tu peux le mettre dans HKU\Default ce qui permettra de créer la valeur dans tous les profils créés par la suite.

Si tu mets dans HKU\[SSID] il faut le faire pour toutes les SSID, le mieux c'est de faire un import de clé à la "racine" de chaque SSID

Sinon tu fais un script à l'ouverture de session, notamment si tu veux que le champ proxy ne soit mis à jour que si l'utilisateur ouvre une session TSE (si les utilisateurs ont aussi des PCs dans le domaine....)

HolyBTN · 19/03/2014, 08h43

J'ai mis en effet dans HKU/.DEFAULT/
Ca fonctionne bien

Vinx Itak · 24/03/2014, 12h15

Citation :

Publié par HolyBTN

J'ai mis en effet dans HKU/.DEFAULT/
Ca fonctionne bien

tu prends des mauvaises habitudes à faire ça

HolyBTN · 24/03/2014, 12h34

En effet, je n'ai pas fait comme cela au final

J'ai créé une gpo qui pousse des clés de reg dabs current user

Paice · 24/03/2014, 13h57

Citation :

Publié par Vinx Itak

tu prends des mauvaises habitudes à faire ça

Je suis d'accord, mais tu verrais le nombre de softs dits sérieux qui font la même chose :/

Paice [SVPPB] Alpha & Oméga	Double post Dernière modification par Paice ; 17/03/2014 à 11h32.
17/03/2014, 11h27

Paice [SVPPB] Alpha & Oméga	Pour l'avoir utilisé chez certains clients, je suis certain que le paramètre fonctionne (enfin en tout cas là ou je l'ai fait). Oulanbator a raison, ça ne fonctionne pas à partir d'IE 10 (d'ailleurs si tu installe IE sur un DC, tu n'as plus le menu correspondant dans les GPOs :/ ) Sur ton 2008R2 tu peux pas te remettre en IE 9 ? Dernière modification par Paice ; 17/03/2014 à 13h53.
17/03/2014, 13h40

HolyBTN Alpha & Oméga	Sur mon 2012 c t IE10 et sur mon 2008 c IE9, ca ne fonctionne qd meme pas du tout. J'ai cherché le paramètre de stratégie locale pour le proxy mais je n'ai pas trouvé, ca pourrait fix le problème en effet
17/03/2014, 14h15

Paice [SVPPB] Alpha & Oméga	Donc ça doit pas etre IE9 mais IE8 le dernier a supporter ça (après ça vire l'entrée dans la gestion des GPO :/ )
17/03/2014, 14h16

HolyBTN Alpha & Oméga	bon l'idée à la baseétait de publier ie9 ou 10 donc
17/03/2014, 14h17

HolyBTN Alpha & Oméga	Merci pour les infos, je vais regarder tout ca. Pour le faire localement vu que ce sont des settings utilisateurs, le faire sur un session meme admin ne le fera pas pour tous les utilisateurs, il faut le faire via une stratégie locale, je vais chercher de ce coté la, merci.
17/03/2014, 14h26

HolyBTN Alpha & Oméga	Bon pour pallier au problème, j'ai mis cela dans les stratégies locales, ca fait moins propre mais ca fonctionne Merci pour l'aide
17/03/2014, 14h54

Oulanbator Alpha & Oméga	Citation : Publié par Paice Le proxy dans le profil de l'admin, c'est sur, ça ne fonctionne que pour l'admin (ou j'ai pas compris ce que tu veux dire). Oui, comme je l'ai dit plus haut, je ne me souvenais plus si c'était via les settings de la session admin ou via les stratégies locales.
17/03/2014, 15h28

Vinx Itak Alpha & Oméga	La configuration du proxy ne devrait pas être lié à une version d'IE puisque c'est un proxy système (utilisé par Chrome par exemple) Pour faire plus simple, tu pourrais faire une GPO exclusivement proxy (je préfère faire des GPO par but/appli plutôt qu'un gros fourre tout), qui va taper la base de registre HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
18/03/2014, 16h27

Paice [SVPPB] Alpha & Oméga	C'est juste que depuis IE9 ou 10, de toute façon IE ne tient plus compte des entrées de proxy IE de la gpo et que, pour couronner le tout, si tu installer un IE >9 sur un DC, la gestion du proxy disparait du gestionnaire de GPO :/
18/03/2014, 16h34

HolyBTN Alpha & Oméga	Tout à fait, ca fonctionnait bien en strat locale sur ie8, je met le 11 et plus de param de strat. Je l'ai donc mis via le reg mais dans HKU et pas HKCU, je veux que ce soit pour tt le monde. Si je mets dans HKCU c'est que pour la session actuellement ouverte non?.
19/03/2014, 07h46

HolyBTN Alpha & Oméga	J'ai mis en effet dans HKU/.DEFAULT/ Ca fonctionne bien
19/03/2014, 08h43

Vinx Itak Alpha & Oméga	Citation : Publié par HolyBTN J'ai mis en effet dans HKU/.DEFAULT/ Ca fonctionne bien tu prends des mauvaises habitudes à faire ça
24/03/2014, 12h15

HolyBTN Alpha & Oméga	En effet, je n'ai pas fait comme cela au final J'ai créé une gpo qui pousse des clés de reg dabs current user
24/03/2014, 12h34

Paice [SVPPB] Alpha & Oméga	Citation : Publié par Vinx Itak tu prends des mauvaises habitudes à faire ça Je suis d'accord, mais tu verrais le nombre de softs dits sérieux qui font la même chose :/
24/03/2014, 13h57

problème gpo

Connectés sur ce fil