un groupe [réseau] dans un groupe local ...

Le
moi
Bonjour,

Je voudrais faire un petit vébéhès
qui permette d'ajouter les membres du group TRUC
(utilisateurs et groupe dans l'AD du serveur W2003 )
dans le groupe "local" des "utilisateurs avec pouvoir".

Ce script sera lancé avec les droits "system"
sur chaque machine du domaine
Ceci pour ne pas devoir passer
le faire à la main sur chaque machine.

J'ai fouillé le web sans succès
mais peut-être n'ai-je pas trouvé
la bonne combinaison de mots clés
pour la recherche ;o(

Merci d'avance,

HB
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Gilles LAURENT
Le #658522
"moi" news:
| Bonjour,

Bonjour,

| Je voudrais faire un petit vébéhès
| qui permette d'ajouter les membres du group TRUC
| (utilisateurs et groupe dans l'AD du serveur W2003 )
| dans le groupe "local" des "utilisateurs avec pouvoir".
[...]

Pour ce genre de chose, je pense qu'il est préférable de s'appuyer sur
les possibilités offertes par les stratégies de groupes restreints.
Grâce à cette stratégie, vous serez en mesure de définir les membres du
groupe local "Utilisateurs avec pouvoir" des postes de travail du
domaine et cela d'une manière centralisée :
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/2715d832-fe71-47f7-86fd-412f013a40cd.mspx

--
Gilles LAURENT
http://glsft.free.fr
moi
Le #658519
Notre ami Gilles LAURENT tapota :

"moi" news:
Bonjour,


Bonjour,

[...]

Pour ce genre de chose, je pense qu'il est préférable de s'appuyer
sur
les possibilités offertes par les stratégies de groupes restreints.


bonsoir,

Merci pour cette piste.
J'ai bien lu et j'en déduis que ça ne va pas convenir à moins de
transformer les GPO en gruyère en solde car, il y a déjà certains
utilisateurs du domaine qui sont "utilisateurs avec pouvoir" sur
certaines machines ( un user -> une machine ) et cela a été fait à la
main localement.
Donc pour retrouver l'existant en utilisant des groupes restreints je
vais avoir un grosse usine à gaz ...
puisque, si j'ai bien compris, ceux qui ne sont pas défini dans le
groupe restreint perdent l'éventuel privilège ...

Alors, un petit vbs c'est moins chic mais, dans mon cas cela me semble
nettement préférable ...

HB


F. Dunoyer [MVP]
Le #658518
moi avait prétendu :
Notre ami Gilles LAURENT tapota :

"moi" news:
Bonjour,


Bonjour,

[...]

Pour ce genre de chose, je pense qu'il est préférable de s'appuyer sur
les possibilités offertes par les stratégies de groupes restreints.


bonsoir,

Merci pour cette piste.
J'ai bien lu et j'en déduis que ça ne va pas convenir à moins de transformer
les GPO en gruyère en solde car, il y a déjà certains utilisateurs du domaine
qui sont "utilisateurs avec pouvoir" sur certaines machines ( un user -> une
machine ) et cela a été fait à la main localement.
Donc pour retrouver l'existant en utilisant des groupes restreints je vais
avoir un grosse usine à gaz ...
puisque, si j'ai bien compris, ceux qui ne sont pas défini dans le groupe
restreint perdent l'éventuel privilège ...

Alors, un petit vbs c'est moins chic mais, dans mon cas cela me semble
nettement préférable ...

HB


les utilisateurs avec pouvoir ne sont pas concernés par l'utilisation
d'un groupe restreint sur le groupe administrateur Local de la machine

--
François Dunoyer [MVP Windows Server / Security]
Quelques liens pour Windows : http://fds.mvps.org/AdressesInternets.htm
Site perso : http://www.fdunoyer.net



Gilles LAURENT
Le #658278
"moi" news:
| Notre ami Gilles LAURENT tapota :
|
|| "moi" || news:
||| Bonjour,
||
|| Bonjour,
||
|| [...]
||
|| Pour ce genre de chose, je pense qu'il est préférable de s'appuyer
|| sur
|| les possibilités offertes par les stratégies de groupes restreints.
|
| bonsoir,
|
| Merci pour cette piste.
| J'ai bien lu et j'en déduis que ça ne va pas convenir à moins de
| transformer les GPO en gruyère en solde car, il y a déjà certains
| utilisateurs du domaine qui sont "utilisateurs avec pouvoir" sur
| certaines machines ( un user -> une machine ) et cela a été fait à la
| main localement.
| Donc pour retrouver l'existant en utilisant des groupes restreints je
| vais avoir un grosse usine à gaz ...
| puisque, si j'ai bien compris, ceux qui ne sont pas défini dans le
| groupe restreint perdent l'éventuel privilège ...
|
| Alors, un petit vbs c'est moins chic mais, dans mon cas cela me semble
| nettement préférable ...
|
| HB

Je comprends votre problématique. Dans ce cas, effectivement,
l'utilisation d'un script pour peupler le groupe "Utilisateurs avec
pouvoir" semble nécessaire. Par exemple :

net localgroup "Utilisateurs avec pouvoir" DOMTruc /add

Cette commande accordera le privilège localement aux membres du groupe
Truc

--
Gilles LAURENT
http://glsft.free.fr
Jacques Barathon [MS]
Le #658277
"moi" news:
Bonjour,

Je voudrais faire un petit vébéhès
qui permette d'ajouter les membres du group TRUC
(utilisateurs et groupe dans l'AD du serveur W2003 )
dans le groupe "local" des "utilisateurs avec pouvoir".


Attention à l'utilisation du groupe "utilisateurs avec pouvoir". En gros,
les membres de ce groupe ont tout pouvoir pour s'élever au rang
d'administrateurs. Je ne détaillerai pas ici les techniques possibles, mais
un utilisateur un peu dégourdi aura tôt fait de trouver.

C'est pour cette raison que Microsoft ne recommande pas l'utilisation de ce
groupe depuis XP, 2003 et à fortiori Vista. Maintenant, il peut s'agir d'un
moindre mal visant à limiter les possibilités de faire une une fausse manip
destructrice, mais ne croyez surtout pas qu'il s'agira d'une protection
absolue.

Jacques

moi
Le #658273
Bonjour,

et,

Merci à tous
pour vos avis éclairés.

Je vais donc utiliser

net localgroup "Utilisateurs avec pouvoir" DOMAINETruc /add


Truc est un groupe ( l'AD)
qui servira peu de temps
pour une appli de m.... qui doit tourner
pendant environ un petit mois sur le réseau.
Chaque utilisateur utilisera une fois ce groupe
et donc les risques sont fort mince.
( validation d'un exam ; logiciel fabriqué "pour le ministère"
par qqun qui a sans doute appris la programmation
dans sa salle de bain ... avec un TO7/70

Ensuite, je ferais le script inverse qui sortira ce groupe TRUC
de celui des "LocalPowerUsers" :o) :

net localgroup "Utilisateurs avec pouvoir" DOMAINETruc /delete

puis le groupe TRUC sera aussi viré de l'AD ... :


Je suis tout à fait conscient du risque qu'il y a à propulser
un "utilisateur du domaine" en "utilisateur avec pouvoir local"
mais parfois, c'est la seule solution envisageable ...
Je ne vais pas passer trois mois
à bricoler pour une appli qui tournera un mois ...
Ce n'est pas très rentable ...

A+

HB
Jacques Barathon [MS]
Le #658272
"moi" news:
Truc est un groupe ( l'AD)
qui servira peu de temps
pour une appli de m.... qui doit tourner
pendant environ un petit mois sur le réseau.
Chaque utilisateur utilisera une fois ce groupe
et donc les risques sont fort mince.
( validation d'un exam ; logiciel fabriqué "pour le ministère"
par qqun qui a sans doute appris la programmation
dans sa salle de bain ... avec un TO7/70


Le TO7/70 a dû en former quelques-uns, à l'époque où les placards des écoles
contenaient tous ce drôle d'appareil avec son "stylo optique" qui en ferait
le Tablet PC le plus chic du marché s'il ressortait aujourd'hui couplé à un
écran LCD...

Je suis tout à fait conscient du risque qu'il y a à propulser
un "utilisateur du domaine" en "utilisateur avec pouvoir local"
mais parfois, c'est la seule solution envisageable ...
Je ne vais pas passer trois mois
à bricoler pour une appli qui tournera un mois ...
Ce n'est pas très rentable ...


Pas de souci. Le principal est que vous soyez conscient du risque potentiel.
Après, ce sont vos priorités et votre jugement "éclairé" qui doivent dicter
le meilleur choix.

Jacques

moi
Le #658271
Notre ami Jacques Barathon [MS] tapota :


Le TO7/70 a dû en former quelques-uns, à l'époque où les placards
des
écoles contenaient tous ce drôle d'appareil avec son "stylo optique"
qui en ferait le Tablet PC le plus chic du marché s'il ressortait
aujourd'hui couplé à un écran LCD...



:o)

Pas de souci. Le principal est que vous soyez conscient du risque
potentiel. Après, ce sont vos priorités et votre jugement "éclairé"
qui doivent dicter le meilleur choix.


Je ne sais pas si mon jugement est éclairé ...
Je tente seulement d'avoir les idées claires :o)

A+

HB

Publicité
Poster une réponse
Anonyme