GPO pour automatiser l'appartenance d'un compte utilisateur de domaine (sous 2008R2) au groupe administrateurs local de son PC

Toutes les réponses

• 

  

  0

  Connectez-vous pour voter

  Bonjour,

  L'ajout du groupe utilisateur de domaine pourra répondre à votre besoin si vous voulez généraliser cette configuration.

  ---

  Best regards
  Bourbita Thameur
  Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

  
  

  • Modifié Thameur BOURBITAMVP, Editor mercredi 29 février 2012 11:45

  mercredi 29 février 2012 11:44

  Auteur de réponse
• 

  

  0

  Connectez-vous pour voter

  Bonjour,

  L'ajout du groupe utilisateur de domaine pourra répondre à votre besoin si vous voulez généraliser cette configuration.

  ---

  Best regards
  Bourbita Thameur
  Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

  
  

  Bonjour,

  merci pour votre réponse.

  Mais dans ce cas, tous les utilisateurs membres de ce groupe sont administrateurs local de ou des ordinateur(s) et accèdent donc aux partages administratifs (\\nom-du-pc\c$) ce que je ne veux pas...

  C'est pour cela que je souhaite vraiment spécifier précisément l'utilisateur de l'ordinateur et non un groupe.
  

  mercredi 29 février 2012 12:42
• 

  

  0

  Connectez-vous pour voter

  Il se trouve que Ben_40 a formulé :

  Bonjour,
  
  L'ajout du groupe utilisateur de domaine pourra répondre à votre besoin si vous voulez généraliser cette configuration.

  ---

  Best regards Bourbita Thameur *Microsoft Certified Technology Specialist*: Windows Server 2008 R2,Server Virtualizaton

  Bonjour,
  
  merci pour votre réponse.
  
  Mais dans ce cas, tous les utilisateurs membres de ce groupe sont administrateurs local de ou des ordinateur(s) et accèdent donc aux partages administratifs (\\nom-du-pc\c$) ce que je ne veux pas...C'est pour cela que je souhaite vraiment spécifier précisément l'utilisateur de l'ordinateur et non un groupe.

  Une piste .. sans garantie, j'ai pas essayé dans ce cas de figure.

  Regarde si tu peux intégrer le groupe implicite "INTERACTIF" aux admins locaux des machines.

  Et si ça donne bien el résultat que tu veux, t'as plus qu'a pousser ce groupe via la GPO que tu as cité.

  Ce groupe implicite désigne toute personne ayant ouvert une session localement sur la machine (= en train de taper sur le clavier devant la machine), par oposition aux utilisateurs accédants via réseau sur \\pc\partage

  ---

  Ascadix

  • Proposé comme réponse gerom.grout lundi 5 mars 2012 21:32
  • Marqué comme réponse Florin Ciuca jeudi 8 mars 2012 19:50
  • Non marqué comme réponse Ben_40 vendredi 9 mars 2012 09:40

  mercredi 29 février 2012 23:06
• 

  

  1

  Connectez-vous pour voter

  Bonjour,

  Je suis d'accord avec Ascadix ,il sera mieux dans votre cas de définir une stratégie de création de groupe en fonction de l'autorisation au partage et d’appartenance au groupe administrateur local sera plus simple, efficace et claire, parce que il n'y a aucune contrainte qui lie l'utilisateur avec le PC a niveau domaine.

  ---

  Best regards
  Bourbita Thameur
  Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

  
  

  • Modifié Thameur BOURBITAMVP, Editor jeudi 1 mars 2012 09:18

  jeudi 1 mars 2012 09:18

  Auteur de réponse
• 

  

  1

  Connectez-vous pour voter

  Bonjour,

  Je ne sait pas si j'ai bien compris votre besoin. Mais, pour rendre un groupe de technicien (Groupe dans AD contenant la liste des techniciens) comme étant administrateur locaux dans les PC intégrés au domaine, on peut passer par la stratégie de groupe appelé "Groupe restreint".

  Cordialement;

  ---

  Best Regards Don't forget to mark it as answer if it helps

  • Marqué comme réponse Florin Ciuca mardi 6 mars 2012 13:53
  • Non marqué comme réponse Ben_40 jeudi 8 mars 2012 07:49

  mardi 6 mars 2012 08:05

  Auteur de réponse
• 

  

  0

  Connectez-vous pour voter

  
  

  Une piste .. sans garantie, j'ai pas essayé dans ce cas de figure.

  Regarde si tu peux intégrer le groupe implicite "INTERACTIF" aux admins locaux des machines.

  Et si ça donne bien el résultat que tu veux, t'as plus qu'a pousser ce groupe via la GPO que tu as cité.

  Ce groupe implicite désigne toute personne ayant ouvert une session localement sur la machine (= en train de taper sur le clavier devant la machine), par oposition aux utilisateurs accédants via réseau sur \\pc\partage

  ---

  Ascadix

  Merci, l'entité de sécurité intégrée "interactif" me semble correspondre à ce que je cherche, je vais tester et vous ferez un retour.
  

  
  

  
  

  jeudi 8 mars 2012 08:08
• 

  

  0

  Connectez-vous pour voter

  Bonjour,

  Je ne sait pas si j'ai bien compris votre besoin. Mais, pour rendre un groupe de technicien (Groupe dans AD contenant la liste des techniciens) comme étant administrateur locaux dans les PC intégrés au domaine, on peut passer par la stratégie de groupe appelé "Groupe restreint".

  Cordialement;

  ---

  Best Regards Don't forget to mark it as answer if it helps

  
  Merci pour votre réponse, mais effectivement, cela ne correspond pas à mon besoin.

  jeudi 8 mars 2012 08:10
• 

  

  0

  Connectez-vous pour voter

  Si tu vas configurer un groupe d'utilisateur à être administrateur local de la machine via des GPO, tu vas nécéssairement passer par les groupes restreints.  Sinon, un peu de scripting et la ce n'est pas du gateaux. Tu doit te manier avec la commande "Net localgroup ......."

  A+

  ---

  Best Regards Don't forget to mark it as answer if it helps

  • Proposé comme réponse Leo Chambaretaud vendredi 30 août 2013 13:50

  jeudi 8 mars 2012 09:24

  Auteur de réponse
• 

  

  0

  Connectez-vous pour voter

  Si on est en AD2008, les paramètres de gestion de groupes en passant par :

  [GPO/Configuration ordi/préférences/param panneau de config/utilisateurs et groupes locaux]

  sont quand même nettement plus souples et moins cafouillogènes que le vieux paramètre (AD2000) "groupes restreints"

  Pour que ce paramètre soit géré par les Windows XP/2003 (clients antérieurs à Vista/2008) il faut s’assurer qu'on à bien déployé ce patch :

  Extensions côté client pour la stratégie de groupe Préférences pour Windows XP (KB943729)

  Il est dispo via WSUS, donc c'est pas compliqué.

  ---

  Ascadix

  
  

  • Modifié Ascadix jeudi 8 mars 2012 12:20
  • Marqué comme réponse Maher RiahiEditor jeudi 8 mars 2012 13:13
  • Non marqué comme réponse Ben_40 jeudi 8 mars 2012 15:09

  jeudi 8 mars 2012 12:19
• 

  

  0

  Connectez-vous pour voter

  Oui, Tu as tout à fait raison !

  ---

  Best Regards Don't forget to mark it as answer if it helps

  jeudi 8 mars 2012 13:12

  Auteur de réponse
• 

  

  0

  Connectez-vous pour voter

  Une piste .. sans garantie, j'ai pas essayé dans ce cas de figure.

  Regarde si tu peux intégrer le groupe implicite "INTERACTIF" aux admins locaux des machines.

  Et si ça donne bien el résultat que tu veux, t'as plus qu'a pousser ce groupe via la GPO que tu as cité.

  Ce groupe implicite désigne toute personne ayant ouvert une session localement sur la machine (= en train de taper sur le clavier devant la machine), par oposition aux utilisateurs accédants via réseau sur \\pc\partage

  ---

  Ascadix

  Bonjour,

  Je n'accède pas aux "entités de sécurité intégrée" (au groupe implicite) "INTERACTIF" lorsque je veux mettre à jour le groupe local Administrateurs (intégré) via la GPO cité dans la discussion.

  Je ne peux qu'ajouter des utilisateurs ou groupes normaux sans avoir de choix supplémentaires en cliquant sur "Types d'objet..."

  A moins qu'il y est une astuce (ou que je fasse une mauvaise manip'), je crois que ça ne va pas être possible par GPO (ou GPP).

  vendredi 9 mars 2012 09:57
• 

  

  0

  Connectez-vous pour voter

  Je viens de faire la manip, et je tombe sur un bug dans la GMPC (RSAT Win7 x64)
  

  Normalement, pour pouvoir sélectionner un groupe implicite à ajouter dans la GPO, il faut choisir la station ou on exécute GPMC et non pas le domaine comme emplacement de recherche, et là tu vois bien apparaitre le groupe "INTERACTIF".

  
  

  Le bug, c'est que là, au moment de valider, la GPMC se plante lamentablement.

  Il faudrait essayer avec d'autres versions de la GPMC, là moi je suis avec celle des RSAT Win7 x64, mais j'ai pas de version x86 sous la main.

  
  

  On peut contourner comme suit:

  1. Créer un groupe temporaire bidon dans le domaine
  2. Créer la GPO en utilisant ce groupe bidon à la place du "INTERACTIF" pour l'ajouter au groupe intégré "administrateurs locaux".
  3. Fermer l’éditeur GPO
  4. Repérer l'Id unique de la GPO  (console GPMC, sur la GPO, onglet "détails) -> un truc comme ça {4758F41C-8CE2-4DA8-B098-A233A090D076}
     
  5. Fermer la GPMC
  6. Lancer l'explorateur de fichiers et aller sur: \\controleur\SYSVOL\DOMAIN.EXT\Policies\{4758F41C-8CE2-4DA8-B098-A233A090D076}\Machine\Preferences\Groups (nb: avec ton Id vu ligne 4, pas celui de mon exemple hein ;-)
  7. Ouvrir le fichier Groups.xml avec le bloc-note (ou ton éditeur XML préféré)
  8. Remplacer la ligne: <Member name="groupe bidon" action="ADD" sid="S-x-x-x-x-x-x-x"/> par  <Member name="Interactif (intégré)" action="ADD" sid="S-1-5-4"/>
  9. enregistrer / fermer
  10. passer un coup de GPUPDATE sur les clients
  11. Enjoy :-)

  
  

  Testé avec AD2008 / DC 2008 R2 / GPMC RSAT Win7 x64 / client XP.

  nb: le "member name" dans le XML ne sert que pour l'affichage dans l’éditeur GPO, sur le poste client, dans la console "util et grp locaux" / groupe "administrateurs" tu verra afficher "AUTORITE NT\INTERACTIF (S-1-5-4)", comme quand tu règle ça à la main directement sur le poste.

  ---

  Ascadix

  • Marqué comme réponse Ben_40 vendredi 9 mars 2012 14:01

  vendredi 9 mars 2012 12:32
• 

  

  0

  Connectez-vous pour voter

  Je viens de faire la manip, et je tombe sur un bug dans la GMPC (RSAT Win7 x64)
  

  Normalement, pour pouvoir sélectionner un groupe implicite à ajouter dans la GPO, il faut choisir la station ou on exécute GPMC et non pas le domaine comme emplacement de recherche, et là tu vois bien apparaitre le groupe "INTERACTIF".

  
  

  Le bug, c'est que là, au moment de valider, la GPMC se plante lamentablement.

  Il faudrait essayer avec d'autres versions de la GPMC, là moi je suis avec celle des RSAT Win7 x64, mais j'ai pas de version x86 sous la main.

  
  

  On peut contourner comme suit:

  1. Créer un groupe temporaire bidon dans le domaine
  2. Créer la GPO en utilisant ce groupe bidon à la place du "INTERACTIF" pour l'ajouter au groupe intégré "administrateurs locaux".
  3. Fermer l’éditeur GPO
  4. Repérer l'Id unique de la GPO  (console GPMC, sur la GPO, onglet "détails) -> un truc comme ça {4758F41C-8CE2-4DA8-B098-A233A090D076}
     
  5. Fermer la GPMC
  6. Lancer l'explorateur de fichiers et aller sur: \\controleur\SYSVOL\DOMAIN.EXT\Policies\{4758F41C-8CE2-4DA8-B098-A233A090D076}\Machine\Preferences\Groups (nb: avec ton Id vu ligne 4, pas celui de mon exemple hein ;-)
  7. Ouvrir le fichier Groups.xml avec le bloc-note (ou ton éditeur XML préféré)
  8. Remplacer la ligne: <Member name="groupe bidon" action="ADD" sid="S-x-x-x-x-x-x-x"/> par  <Member name="Interactif (intégré)" action="ADD" sid="S-1-5-4"/>
  9. enregistrer / fermer
  10. passer un coup de GPUPDATE sur les clients
  11. Enjoy :-)

  
  

  Testé avec AD2008 / DC 2008 R2 / GPMC RSAT Win7 x64 / client XP.

  nb: le "member name" dans le XML ne sert que pour l'affichage dans l’éditeur GPO, sur le poste client, dans la console "util et grp locaux" / groupe "administrateurs" tu verra afficher "AUTORITE NT\INTERACTIF (S-1-5-4)", comme quand tu règle ça à la main directement sur le poste.

  ---

  Ascadix

  Salut :)

  J'ai pas essayé de passer par la GPMC... En passant par le fichier Groups.xml, ça marche nikel !

  Je vois bien sur le client "AUTORITE NT\INTERACTIF (S-1-5-4)" membre du groupe "Administrateurs" local de la machine

  Tu es le bosse Ascadix, un grand merci !!!!

  • Proposé comme réponse Thura Vincent vendredi 27 septembre 2013 10:10
  • Non proposé comme réponse Thura Vincent vendredi 27 septembre 2013 10:10

  vendredi 9 mars 2012 14:00