none
Droit d'installation pour les utilisateurs du domaine RRS feed

  • Question

  • Bonjour à tous,

    j'ai un serveur sur le quel est installer Server 2008 R2 avec AD

    je voudrai attribuer le droit d'installation a quel que utilisateurs a travers des GPO mais j'ai pas arriver.

    Merci d'avance  

     

     

     

     

    mardi 27 juillet 2010 11:58

Réponses

  • Bonjour,

    en dehors de toute morale quant au fait que cela n'est pas très bon, il suffit de faire de vos utilisateurs des membres du groupe local "administrateurs" sur les postes clients. Faites-en des membres du groupe de domaine "admins du domaine" et ils pourront tout installer partout (même sur le serveur), ce qui est logique puisque le groupe "admins du domaine" est par défaut membre du groupe "administrateurs" local de toute machine jointe au domaine.
    Il vous suffit donc de créer un groupe de domaine dans lequel vous mettez vos utilisateurs et de faire en sorte que ce groupe soit membre du groupe local "administrateurs" sur tout les postes. Ce qui doit pouvoir être fait manuellement ou via gpo comme expliqué ici :
    http://myitforum.com/cs2/blogs/rdixon/archive/2008/06/17/how-to-add-domain-accounts-to-local-administrators-group-using-gpo.aspx


    Cordialement,

    Yves Gourlé [MVP SBS - MCSA - MCTS - MCITP]
    http://blog.gourle.com
    http://forums.sbsfr.org

    "best_surfer" a écrit dans le message de groupe de discussion : ebdd6e7c-e39b-429c-bf75-dbdc35684388@communitybridge.codeplex.com...

    désolé de ne pas specifier

    je voudrai que les utilisateurs aient le droit d'installer n'importe quoi sur les machines du domaine.

    mardi 27 juillet 2010 19:53
  • Bonjour,

    je me permets de compléter la réponse d'Yves.

    Les groupes restreints tels que décrits dans l'article cité feront malheureusement en sorte qu'un administrateur d'un poste sera admin de TOUS les postes de l'OU sur laquelle les groupes restreints s'appliqueront.

    En clair, si tu as un besoin de droit d'admin spécifique et pour un utilisateur; tu ne pourras plus le faire si tu suis l'article a la lettre.

    Il faudra plutot définir un groupe de domaine en tant que groupe restreint et indiquer le groupe BUILTIN\Administrateurs dans les "membres de" de ton groupe restreint.

    AInsi, les membres du groupe de domaine défini en groupe restreint seront bien admin de tous les postes mais tu pourras toujours continuer de modifier manuellement les membres du groupe admin locaux spécifiquement pour chaque poste.

    A noter également que MIcrosoft ne préconise pas l'utilisateur des groupes restreints pour les groupes de domaine mais uniquement pour les groupes locaux. C'est plutot surprenant car c'est devenu une pratique courante mais bon :)

    Source : http://support.microsoft.com/kb/279301

    A bientot


    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    mercredi 28 juillet 2010 23:05
    Modérateur

Toutes les réponses

  • Bonjour,

    Quels droits d'installation souhaitez-vous attribuer aux utilisateurs ? Sur quoi ?


    David LACHARI - MVP Virtual Machine - http://danstoncloud.com/blogs/david_lachari
    mardi 27 juillet 2010 13:11
    Modérateur
  • désolé de ne pas specifier

    je voudrai que les utilisateurs aient le droit d'installer n'importe quoi sur les machines du domaine.

    mardi 27 juillet 2010 19:34
  • Bonjour,

    en dehors de toute morale quant au fait que cela n'est pas très bon, il suffit de faire de vos utilisateurs des membres du groupe local "administrateurs" sur les postes clients. Faites-en des membres du groupe de domaine "admins du domaine" et ils pourront tout installer partout (même sur le serveur), ce qui est logique puisque le groupe "admins du domaine" est par défaut membre du groupe "administrateurs" local de toute machine jointe au domaine.
    Il vous suffit donc de créer un groupe de domaine dans lequel vous mettez vos utilisateurs et de faire en sorte que ce groupe soit membre du groupe local "administrateurs" sur tout les postes. Ce qui doit pouvoir être fait manuellement ou via gpo comme expliqué ici :
    http://myitforum.com/cs2/blogs/rdixon/archive/2008/06/17/how-to-add-domain-accounts-to-local-administrators-group-using-gpo.aspx


    Cordialement,

    Yves Gourlé [MVP SBS - MCSA - MCTS - MCITP]
    http://blog.gourle.com
    http://forums.sbsfr.org

    "best_surfer" a écrit dans le message de groupe de discussion : ebdd6e7c-e39b-429c-bf75-dbdc35684388@communitybridge.codeplex.com...

    désolé de ne pas specifier

    je voudrai que les utilisateurs aient le droit d'installer n'importe quoi sur les machines du domaine.

    mardi 27 juillet 2010 19:53
  • Bonjour,

    je me permets de compléter la réponse d'Yves.

    Les groupes restreints tels que décrits dans l'article cité feront malheureusement en sorte qu'un administrateur d'un poste sera admin de TOUS les postes de l'OU sur laquelle les groupes restreints s'appliqueront.

    En clair, si tu as un besoin de droit d'admin spécifique et pour un utilisateur; tu ne pourras plus le faire si tu suis l'article a la lettre.

    Il faudra plutot définir un groupe de domaine en tant que groupe restreint et indiquer le groupe BUILTIN\Administrateurs dans les "membres de" de ton groupe restreint.

    AInsi, les membres du groupe de domaine défini en groupe restreint seront bien admin de tous les postes mais tu pourras toujours continuer de modifier manuellement les membres du groupe admin locaux spécifiquement pour chaque poste.

    A noter également que MIcrosoft ne préconise pas l'utilisateur des groupes restreints pour les groupes de domaine mais uniquement pour les groupes locaux. C'est plutot surprenant car c'est devenu une pratique courante mais bon :)

    Source : http://support.microsoft.com/kb/279301

    A bientot


    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    mercredi 28 juillet 2010 23:05
    Modérateur