locked
Avoir les droits administrateur mais ne pas pouvoir supprimer les logs RRS feed

  • Discussion générale

  • Bonjour,

    nous cherchons actuellement a créer un utilisateur local ayant "tous" les droits administrateur mais ne pouvant pas supprimer les logs.

    Est-ce possible (même si il faut modifier/supprimer certains droits) ?

    Merci d'avance

    Windows Server 2003 R2 SP1 Standard Edition

    mardi 28 décembre 2010 07:15

Toutes les réponses

  • Bonjour,

    La seule option qui me vienne à l'esprit c'est retirer, à l'aide d'une une stratégie de groupes, le droit "Manage auditing and security log" au groupe "administrateurs" local.

    Cela ne fonctionnera donc que pour le log "Sécurité".

    Veillez à donnez ce droit à un autre groupe afin de conserver une possibilité de gérer ce log.


    --- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses. Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
    mercredi 29 décembre 2010 10:54
  • Bonjour et merci pour cette réponse,

     

    je vais tester cette méthode. Par contre je me disais que puisqu'il fera partie d'un groupe ayant les droits administrateur, qu'il pourrait tout aussi bien rajouter cette stratégie de groupe et donc modifier les logs.

    Je sais que c'est un peu comme le serpent qui se mort la queue... mais j'essaye d'envisager le plus de possibilités.

     

    Merci

    mercredi 29 décembre 2010 13:11
  • Bonjour,

     

    est-il donc possible de créer un 2eme groupe de type "Administrateurs" (localement toujours) avec les mêmes droits pour pouvoir tester ?

    Merci

    mardi 4 janvier 2011 07:21
  • Bonjour,

    si les postes sont sous Vista/Seven tu pourras utiliser des multiples stratégies de groupe locales (MLGPO) et appliquer une stratégie en fonction de l'appartenance à un groupe ou spécifiquement à un compte utilisateur local.

    Si les versions sont antérieures alors tu n'auras pas l'accès à cette fonctionnalité est tu ne disposeras que d'une seule stratégie de groupe locale (LGPO) pour l'ensemble des utilisateurs locaux. Tu n'auras pas besoin d'aller plus loin puisque les accès seront rigoureusement les mêmes.


    www.alexwinner.com
    mardi 4 janvier 2011 07:33
  • Bonjour et merci,

     

    Nous sommes sous des 2003 Server, et donc l'une des seules possibilités est de désactiver "Manage auditing and security log" pour le groupe Administrateurs (ce qui ne m'arrange pas vraiment).

    J'ai essayé de créer et d'ajouter un groupe au groupe "Administrateurs" mais ce n'est pas possible non plus localement.

    mardi 4 janvier 2011 08:23
  • Je te parle de stratégies de groupe locales d'ailleurs, ce qui n'a rien a voir ... désolé :)

     


    www.alexwinner.com
    mardi 4 janvier 2011 08:31