problème machine Active Directory avec droits administrateur machine locale
5 réponses
Matteo
Bonjour,
Je suis confronté à un problème.
J'administre un parc informatique d'une trentaine de postes dans un domaine
Active Directory sous Windows Server 2003.
Mon problème est qu'à chaque fois que j'intègre une machine au domaine je
dois ensuite ajouter aux comptes de la machine locale l'utilisateur de cette
machine et l'affecter au groupe "Administrateurs". Si je ne le fais pas,
certaines applications ne fonctionnement pas correctement.
(Pour l'explication en image:
http://www.laboratoire-microsoft.org/videos/13214/)
A la limite, pour les machines qui n'ont qu'un utilisateur, cela ne pose pas
vraiment de problème. Mais il y a des machines où plusieurs utilisateurs
peuvent se connecter, que je ne connais pas forcément à l'avance. De plus,
lorsqu'un nouveau collaborateur arrive dans l'entreprise, je devrais aller
l'ajouter en tant qu'administrateur sur toutes les machines
multi-utilisateurs.
Y-a-t'il y moyen d'éviter ça? Peut-on au travers de la Group Policy
(peut.être) affecter l'utilisateur en tant qu'admininistrateur de la machine
locale?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Gilles LAURENT
"Matteo" a écrit dans le message de news:46727db1$ | Bonjour,
Bonjour,
| Je suis confronté à un problème. | | J'administre un parc informatique d'une trentaine de postes dans un | domaine Active Directory sous Windows Server 2003. | | Mon problème est qu'à chaque fois que j'intègre une machine au | domaine je dois ensuite ajouter aux comptes de la machine locale | l'utilisateur de cette machine et l'affecter au groupe | "Administrateurs". Si je ne le fais pas, certaines applications ne | fonctionnement pas correctement. | | (Pour l'explication en image: | http://www.laboratoire-microsoft.org/videos/13214/) | | A la limite, pour les machines qui n'ont qu'un utilisateur, cela ne | pose pas vraiment de problème. Mais il y a des machines où plusieurs | utilisateurs peuvent se connecter, que je ne connais pas forcément à | l'avance. De plus, lorsqu'un nouveau collaborateur arrive dans | l'entreprise, je devrais aller l'ajouter en tant qu'administrateur | sur toutes les machines multi-utilisateurs. | | Y-a-t'il y moyen d'éviter ça? Peut-on au travers de la Group Policy | (peut.être) affecter l'utilisateur en tant qu'admininistrateur de la | machine locale? | | Toute suggestion est la bienvenue. | | Je vous remercie de votre aide!
Voilà comment je procéderai :
1- Création d'un groupe global par poste, soit gg_adminposteNN 2- Ajout du groupe gg_adminposteNN dans le groupe local Administrateurs => gg_adminposte01 dans le groupe local Administrateurs du poste01 => gg_adminposte02 dans le groupe local Administrateurs du poste02 => ...
Ensuite, il ne vous reste plus qu'à définir les membres des groupes via la MMC Utilisateurs et ordinateurs Active Directory. Lorsqu'un nouveau collaborateur arrive dans l'entreprise, vous lui créez un compte de domaine puis vous l'ajoutez aux groupes gg_adminposteNN nécessaires. Celui-ci se retrouvera automatiquement Administrateur local des postes choisis.
Note: L'étape 2 peut éventuellement être automatisée : microsoft.public.fr.scripting
Il y a bien les groupes restreints mais cela ne me semble pas adapté. Il faudrait autant de stratégies de groupes restreints que de machine à administrer.
-- Gilles LAURENT http://glsft.free.fr
"Matteo" <joujoukinder@gmail.com> a écrit dans le message de
news:46727db1$1_3@news.bluewin.ch
| Bonjour,
Bonjour,
| Je suis confronté à un problème.
|
| J'administre un parc informatique d'une trentaine de postes dans un
| domaine Active Directory sous Windows Server 2003.
|
| Mon problème est qu'à chaque fois que j'intègre une machine au
| domaine je dois ensuite ajouter aux comptes de la machine locale
| l'utilisateur de cette machine et l'affecter au groupe
| "Administrateurs". Si je ne le fais pas, certaines applications ne
| fonctionnement pas correctement.
|
| (Pour l'explication en image:
| http://www.laboratoire-microsoft.org/videos/13214/)
|
| A la limite, pour les machines qui n'ont qu'un utilisateur, cela ne
| pose pas vraiment de problème. Mais il y a des machines où plusieurs
| utilisateurs peuvent se connecter, que je ne connais pas forcément à
| l'avance. De plus, lorsqu'un nouveau collaborateur arrive dans
| l'entreprise, je devrais aller l'ajouter en tant qu'administrateur
| sur toutes les machines multi-utilisateurs.
|
| Y-a-t'il y moyen d'éviter ça? Peut-on au travers de la Group Policy
| (peut.être) affecter l'utilisateur en tant qu'admininistrateur de la
| machine locale?
|
| Toute suggestion est la bienvenue.
|
| Je vous remercie de votre aide!
Voilà comment je procéderai :
1- Création d'un groupe global par poste, soit gg_adminposteNN
2- Ajout du groupe gg_adminposteNN dans le groupe local Administrateurs
=> gg_adminposte01 dans le groupe local Administrateurs du poste01
=> gg_adminposte02 dans le groupe local Administrateurs du poste02
=> ...
Ensuite, il ne vous reste plus qu'à définir les membres des groupes via
la MMC Utilisateurs et ordinateurs Active Directory. Lorsqu'un nouveau
collaborateur arrive dans l'entreprise, vous lui créez un compte de
domaine puis vous l'ajoutez aux groupes gg_adminposteNN nécessaires.
Celui-ci se retrouvera automatiquement Administrateur local des postes
choisis.
Note: L'étape 2 peut éventuellement être automatisée :
microsoft.public.fr.scripting
Il y a bien les groupes restreints mais cela ne me semble pas adapté. Il
faudrait autant de stratégies de groupes restreints que de machine à
administrer.
"Matteo" a écrit dans le message de news:46727db1$ | Bonjour,
Bonjour,
| Je suis confronté à un problème. | | J'administre un parc informatique d'une trentaine de postes dans un | domaine Active Directory sous Windows Server 2003. | | Mon problème est qu'à chaque fois que j'intègre une machine au | domaine je dois ensuite ajouter aux comptes de la machine locale | l'utilisateur de cette machine et l'affecter au groupe | "Administrateurs". Si je ne le fais pas, certaines applications ne | fonctionnement pas correctement. | | (Pour l'explication en image: | http://www.laboratoire-microsoft.org/videos/13214/) | | A la limite, pour les machines qui n'ont qu'un utilisateur, cela ne | pose pas vraiment de problème. Mais il y a des machines où plusieurs | utilisateurs peuvent se connecter, que je ne connais pas forcément à | l'avance. De plus, lorsqu'un nouveau collaborateur arrive dans | l'entreprise, je devrais aller l'ajouter en tant qu'administrateur | sur toutes les machines multi-utilisateurs. | | Y-a-t'il y moyen d'éviter ça? Peut-on au travers de la Group Policy | (peut.être) affecter l'utilisateur en tant qu'admininistrateur de la | machine locale? | | Toute suggestion est la bienvenue. | | Je vous remercie de votre aide!
Voilà comment je procéderai :
1- Création d'un groupe global par poste, soit gg_adminposteNN 2- Ajout du groupe gg_adminposteNN dans le groupe local Administrateurs => gg_adminposte01 dans le groupe local Administrateurs du poste01 => gg_adminposte02 dans le groupe local Administrateurs du poste02 => ...
Ensuite, il ne vous reste plus qu'à définir les membres des groupes via la MMC Utilisateurs et ordinateurs Active Directory. Lorsqu'un nouveau collaborateur arrive dans l'entreprise, vous lui créez un compte de domaine puis vous l'ajoutez aux groupes gg_adminposteNN nécessaires. Celui-ci se retrouvera automatiquement Administrateur local des postes choisis.
Note: L'étape 2 peut éventuellement être automatisée : microsoft.public.fr.scripting
Il y a bien les groupes restreints mais cela ne me semble pas adapté. Il faudrait autant de stratégies de groupes restreints que de machine à administrer.
-- Gilles LAURENT http://glsft.free.fr
Thierry DEMAN [MVP]
Bonsoir,
la 1ère méthode logique serait d'étudier chaque logiciel, et d'affecter aux utilisateurs uniquement les droits nécessaires sur les objets (dossiers, fichiers, registres nécessaires). => L'éditeur de chaque logiciel devrait indiquer ce type d'information.
si cela n'est pas possible, le plus simple est d'ajouter le groupe "Utilisa. du domaine" dans le groupe "administrateurs" local de chaque station. Cela est parfois nécessaire mais pas conseillé. On peut aussi commencer par le groupe local "utilisateurs avec pouvoir", ce qui est moins dangereux!
"Matteo" a écrit dans le message de news:46727db1$
Bonjour,
Je suis confronté à un problème.
J'administre un parc informatique d'une trentaine de postes dans un domaine Active Directory sous Windows Server 2003.
Mon problème est qu'à chaque fois que j'intègre une machine au domaine je dois ensuite ajouter aux comptes de la machine locale l'utilisateur de cette machine et l'affecter au groupe "Administrateurs". Si je ne le fais pas, certaines applications ne fonctionnement pas correctement.
(Pour l'explication en image: http://www.laboratoire-microsoft.org/videos/13214/)
A la limite, pour les machines qui n'ont qu'un utilisateur, cela ne pose pas vraiment de problème. Mais il y a des machines où plusieurs utilisateurs peuvent se connecter, que je ne connais pas forcément à l'avance. De plus, lorsqu'un nouveau collaborateur arrive dans l'entreprise, je devrais aller l'ajouter en tant qu'administrateur sur toutes les machines multi-utilisateurs.
Y-a-t'il y moyen d'éviter ça? Peut-on au travers de la Group Policy (peut.être) affecter l'utilisateur en tant qu'admininistrateur de la machine locale?
Toute suggestion est la bienvenue.
Je vous remercie de votre aide!
Bonsoir,
la 1ère méthode logique serait d'étudier chaque logiciel, et d'affecter aux
utilisateurs uniquement les droits nécessaires sur les objets (dossiers,
fichiers, registres nécessaires).
=> L'éditeur de chaque logiciel devrait indiquer ce type d'information.
si cela n'est pas possible, le plus simple est d'ajouter le groupe "Utilisa.
du domaine" dans le groupe "administrateurs" local de chaque station. Cela
est parfois nécessaire mais pas conseillé.
On peut aussi commencer par le groupe local "utilisateurs avec pouvoir", ce
qui est moins dangereux!
"Matteo" <joujoukinder@gmail.com> a écrit dans le message de
news:46727db1$1_3@news.bluewin.ch...
Bonjour,
Je suis confronté à un problème.
J'administre un parc informatique d'une trentaine de postes dans un
domaine Active Directory sous Windows Server 2003.
Mon problème est qu'à chaque fois que j'intègre une machine au domaine je
dois ensuite ajouter aux comptes de la machine locale l'utilisateur de
cette machine et l'affecter au groupe "Administrateurs". Si je ne le fais
pas, certaines applications ne fonctionnement pas correctement.
(Pour l'explication en image:
http://www.laboratoire-microsoft.org/videos/13214/)
A la limite, pour les machines qui n'ont qu'un utilisateur, cela ne pose
pas vraiment de problème. Mais il y a des machines où plusieurs
utilisateurs peuvent se connecter, que je ne connais pas forcément à
l'avance. De plus, lorsqu'un nouveau collaborateur arrive dans
l'entreprise, je devrais aller l'ajouter en tant qu'administrateur sur
toutes les machines multi-utilisateurs.
Y-a-t'il y moyen d'éviter ça? Peut-on au travers de la Group Policy
(peut.être) affecter l'utilisateur en tant qu'admininistrateur de la
machine locale?
la 1ère méthode logique serait d'étudier chaque logiciel, et d'affecter aux utilisateurs uniquement les droits nécessaires sur les objets (dossiers, fichiers, registres nécessaires). => L'éditeur de chaque logiciel devrait indiquer ce type d'information.
si cela n'est pas possible, le plus simple est d'ajouter le groupe "Utilisa. du domaine" dans le groupe "administrateurs" local de chaque station. Cela est parfois nécessaire mais pas conseillé. On peut aussi commencer par le groupe local "utilisateurs avec pouvoir", ce qui est moins dangereux!
"Matteo" a écrit dans le message de news:46727db1$
Bonjour,
Je suis confronté à un problème.
J'administre un parc informatique d'une trentaine de postes dans un domaine Active Directory sous Windows Server 2003.
Mon problème est qu'à chaque fois que j'intègre une machine au domaine je dois ensuite ajouter aux comptes de la machine locale l'utilisateur de cette machine et l'affecter au groupe "Administrateurs". Si je ne le fais pas, certaines applications ne fonctionnement pas correctement.
(Pour l'explication en image: http://www.laboratoire-microsoft.org/videos/13214/)
A la limite, pour les machines qui n'ont qu'un utilisateur, cela ne pose pas vraiment de problème. Mais il y a des machines où plusieurs utilisateurs peuvent se connecter, que je ne connais pas forcément à l'avance. De plus, lorsqu'un nouveau collaborateur arrive dans l'entreprise, je devrais aller l'ajouter en tant qu'administrateur sur toutes les machines multi-utilisateurs.
Y-a-t'il y moyen d'éviter ça? Peut-on au travers de la Group Policy (peut.être) affecter l'utilisateur en tant qu'admininistrateur de la machine locale?
Toute suggestion est la bienvenue.
Je vous remercie de votre aide!
Gilles LAURENT
"Thierry DEMAN [MVP]" a écrit dans le message de news: | Bonsoir,
Bonjour,
[...] | si cela n'est pas possible, le plus simple est d'ajouter le groupe | "Utilisa. du domaine" dans le groupe "administrateurs" local de | chaque station.
Cela ne répond pas, je pense, à la problématique de Matteo car dans ce cas, tous les utilisateurs du domaine seront administrateurs de chaque station !
-- Gilles LAURENT http://glsft.free.fr
"Thierry DEMAN [MVP]" <tdemanNOSPAM@NOSPAMfree.fr> a écrit dans le
message de
news:66D2AE54-3156-446B-AD53-0429D2009A75@microsoft.com
| Bonsoir,
Bonjour,
[...]
| si cela n'est pas possible, le plus simple est d'ajouter le groupe
| "Utilisa. du domaine" dans le groupe "administrateurs" local de
| chaque station.
Cela ne répond pas, je pense, à la problématique de Matteo car dans ce
cas, tous les utilisateurs du domaine seront administrateurs de chaque
station !
"Thierry DEMAN [MVP]" a écrit dans le message de news: | Bonsoir,
Bonjour,
[...] | si cela n'est pas possible, le plus simple est d'ajouter le groupe | "Utilisa. du domaine" dans le groupe "administrateurs" local de | chaque station.
Cela ne répond pas, je pense, à la problématique de Matteo car dans ce cas, tous les utilisateurs du domaine seront administrateurs de chaque station !
-- Gilles LAURENT http://glsft.free.fr
Thierry DEMAN [MVP]
Eh oui! Mais c'est souvent le seul moyen "gérable" de la situation sur un parc important! Cela évite d'avoir des appels toutes les 5 minutes pour ajouter un utilisateur dans un groupe précis. -- Thierry DEMAN-BARCELÒ Exchange MVP, MCSE2003+M,MCSE2003+S,MCDBA,MCITP dba&Dev http://base.faqexchange.info http://www.faqexchange.info http://ISAFirewalls.org
"Gilles LAURENT" a écrit dans le message de news:%23A2HSl%
"Thierry DEMAN [MVP]" a écrit dans le message de news: | Bonsoir,
Bonjour,
[...] | si cela n'est pas possible, le plus simple est d'ajouter le groupe | "Utilisa. du domaine" dans le groupe "administrateurs" local de | chaque station.
Cela ne répond pas, je pense, à la problématique de Matteo car dans ce cas, tous les utilisateurs du domaine seront administrateurs de chaque station !
-- Gilles LAURENT http://glsft.free.fr
Eh oui! Mais c'est souvent le seul moyen "gérable" de la situation sur un
parc important!
Cela évite d'avoir des appels toutes les 5 minutes pour ajouter un
utilisateur dans un groupe précis.
--
Thierry DEMAN-BARCELÒ
Exchange MVP, MCSE2003+M,MCSE2003+S,MCDBA,MCITP dba&Dev
http://base.faqexchange.info http://www.faqexchange.info
http://ISAFirewalls.org
"Gilles LAURENT" <glsft@free.fr> a écrit dans le message de
news:%23A2HSl%23rHHA.3628@TK2MSFTNGP02.phx.gbl...
"Thierry DEMAN [MVP]" <tdemanNOSPAM@NOSPAMfree.fr> a écrit dans le
message de
news:66D2AE54-3156-446B-AD53-0429D2009A75@microsoft.com
| Bonsoir,
Bonjour,
[...]
| si cela n'est pas possible, le plus simple est d'ajouter le groupe
| "Utilisa. du domaine" dans le groupe "administrateurs" local de
| chaque station.
Cela ne répond pas, je pense, à la problématique de Matteo car dans ce
cas, tous les utilisateurs du domaine seront administrateurs de chaque
station !
Eh oui! Mais c'est souvent le seul moyen "gérable" de la situation sur un parc important! Cela évite d'avoir des appels toutes les 5 minutes pour ajouter un utilisateur dans un groupe précis. -- Thierry DEMAN-BARCELÒ Exchange MVP, MCSE2003+M,MCSE2003+S,MCDBA,MCITP dba&Dev http://base.faqexchange.info http://www.faqexchange.info http://ISAFirewalls.org
"Gilles LAURENT" a écrit dans le message de news:%23A2HSl%
"Thierry DEMAN [MVP]" a écrit dans le message de news: | Bonsoir,
Bonjour,
[...] | si cela n'est pas possible, le plus simple est d'ajouter le groupe | "Utilisa. du domaine" dans le groupe "administrateurs" local de | chaque station.
Cela ne répond pas, je pense, à la problématique de Matteo car dans ce cas, tous les utilisateurs du domaine seront administrateurs de chaque station !
-- Gilles LAURENT http://glsft.free.fr
Matteo
Je vous remercie de vos suggestion et je vais en effet faire ainsi.
Pour un parc d'une trentaine de machines, je pense que la création d'un groupe dédiés à contenir les utilisateurs qui peuvent administrer les postes me semble une solution gérable.
La solution avec le groupe "Utilisateurs du domaine" est bonne, mais pour les cas spéciaux cela peut s'avérer problématique.
Un grand merci pour votre aide, je n'avais jamais songé à ce type de solution!
"Thierry DEMAN [MVP]" a écrit dans le message de news:
Eh oui! Mais c'est souvent le seul moyen "gérable" de la situation sur un parc important! Cela évite d'avoir des appels toutes les 5 minutes pour ajouter un utilisateur dans un groupe précis. -- Thierry DEMAN-BARCELÒ Exchange MVP, MCSE2003+M,MCSE2003+S,MCDBA,MCITP dba&Dev http://base.faqexchange.info http://www.faqexchange.info http://ISAFirewalls.org
"Gilles LAURENT" a écrit dans le message de news:%23A2HSl%
"Thierry DEMAN [MVP]" a écrit dans le message de news: | Bonsoir,
Bonjour,
[...] | si cela n'est pas possible, le plus simple est d'ajouter le groupe | "Utilisa. du domaine" dans le groupe "administrateurs" local de | chaque station.
Cela ne répond pas, je pense, à la problématique de Matteo car dans ce cas, tous les utilisateurs du domaine seront administrateurs de chaque station !
-- Gilles LAURENT http://glsft.free.fr
Je vous remercie de vos suggestion et je vais en effet faire ainsi.
Pour un parc d'une trentaine de machines, je pense que la création d'un
groupe dédiés à contenir les utilisateurs qui peuvent administrer les postes
me semble une solution gérable.
La solution avec le groupe "Utilisateurs du domaine" est bonne, mais pour
les cas spéciaux cela peut s'avérer problématique.
Un grand merci pour votre aide, je n'avais jamais songé à ce type de
solution!
"Thierry DEMAN [MVP]" <tdemanNOSPAM@NOSPAMfree.fr> a écrit dans le message
de news: 048724FA-3B6C-40A4-911C-94FB065F86F5@microsoft.com...
Eh oui! Mais c'est souvent le seul moyen "gérable" de la situation sur un
parc important!
Cela évite d'avoir des appels toutes les 5 minutes pour ajouter un
utilisateur dans un groupe précis.
--
Thierry DEMAN-BARCELÒ
Exchange MVP, MCSE2003+M,MCSE2003+S,MCDBA,MCITP dba&Dev
http://base.faqexchange.info http://www.faqexchange.info
http://ISAFirewalls.org
"Gilles LAURENT" <glsft@free.fr> a écrit dans le message de
news:%23A2HSl%23rHHA.3628@TK2MSFTNGP02.phx.gbl...
"Thierry DEMAN [MVP]" <tdemanNOSPAM@NOSPAMfree.fr> a écrit dans le
message de
news:66D2AE54-3156-446B-AD53-0429D2009A75@microsoft.com
| Bonsoir,
Bonjour,
[...]
| si cela n'est pas possible, le plus simple est d'ajouter le groupe
| "Utilisa. du domaine" dans le groupe "administrateurs" local de
| chaque station.
Cela ne répond pas, je pense, à la problématique de Matteo car dans ce
cas, tous les utilisateurs du domaine seront administrateurs de chaque
station !
Je vous remercie de vos suggestion et je vais en effet faire ainsi.
Pour un parc d'une trentaine de machines, je pense que la création d'un groupe dédiés à contenir les utilisateurs qui peuvent administrer les postes me semble une solution gérable.
La solution avec le groupe "Utilisateurs du domaine" est bonne, mais pour les cas spéciaux cela peut s'avérer problématique.
Un grand merci pour votre aide, je n'avais jamais songé à ce type de solution!
"Thierry DEMAN [MVP]" a écrit dans le message de news:
Eh oui! Mais c'est souvent le seul moyen "gérable" de la situation sur un parc important! Cela évite d'avoir des appels toutes les 5 minutes pour ajouter un utilisateur dans un groupe précis. -- Thierry DEMAN-BARCELÒ Exchange MVP, MCSE2003+M,MCSE2003+S,MCDBA,MCITP dba&Dev http://base.faqexchange.info http://www.faqexchange.info http://ISAFirewalls.org
"Gilles LAURENT" a écrit dans le message de news:%23A2HSl%
"Thierry DEMAN [MVP]" a écrit dans le message de news: | Bonsoir,
Bonjour,
[...] | si cela n'est pas possible, le plus simple est d'ajouter le groupe | "Utilisa. du domaine" dans le groupe "administrateurs" local de | chaque station.
Cela ne répond pas, je pense, à la problématique de Matteo car dans ce cas, tous les utilisateurs du domaine seront administrateurs de chaque station !