locked
deleguer un compte système pour appliquer un gpo user/computer qui a besoin d'une elevation de droit pour s'appliquer RRS feed

  • Question

  • Bonjour, et joyeux noel a tous .


    Je viens d'arriver dans une ssii , et j'ai eu un petit soucis cette semaine . On m'a demandé, pour les besoins d'une application métier  de creer un gpo ou un script qui allé modifier une clef de registre existante sur les postes clients xp .

    Jusque là pas de soucis . Moi et mon collègue avons créé le script . nous avons remarqué qu'il fallait être admin du poste local (ou du domaine ) pour appliquer cette gpo . Donc en gros , il fallait se loguer en tant qu'admin pour que le gpo s'applique . (pas possible il y a 30 postes) .

    Nous avons cherché différentes solutions , il y avait le RUN AS, le SET RUN AS, et des script vbs un peut douteux par ailleurs . Finallement nous nous en sommes sortie parque on nous avait demander aussi de passer les users en groupe restreint (soit admin de leur poste local) , donc le gpo est passé .

    Mais ça ne résolve pas le problème . Si les users n'étaient pas admin de leur poste , le gpo ne serait pas passé .

    Donc on m'a expliqué qu'il y avait moyen de creer un compte système , et de demander à l'objet gpo d'utiliser ce compte système pour appliquer le gpo . ce qui est très propre en soi . (mieux que du vbscript que l'on ne maitrise pas . ) .

    je cherche , mais je ne trouve pas comment faire ? Savez vous le faire ? 

    merci !

    samedi 24 décembre 2011 08:23

Réponses

  • bonjour,

     

    deux methodes me semblent appropriées dans ce cas:

    - Utiliser un script Ordinateur (GPO Ordinateur a la place de GPO User)

    - modifier directement la clé de registre via une GPO de préférence (cela necessite que le poste XP est recu l'installation du package CSE Client Side Extension) et non pas via un script

     

    sylvain


    Sylvain Cortes - MVP GPOs Weblog MVP: www.gpomasters.com Weblog Identity Management: www.identitycosmos.com Communauté Active Directory et Identity Management: www.cadim.org
    vendredi 30 décembre 2011 10:41

Toutes les réponses