Rétrograder un administrateur

Le
christophe
Bonjour,

J’ais plusieurs sites distants, chaque site possède son propre domaine soit
sous Windows2000Server soit sous Windows2003Server.
Sur ces sites j’ai un correspondant informatique qui s’occupe de
l’installation des postes, logiciels, restauration de fichiers, installation
d’imprimantes.
Mon problème est que ces correspondants informatique possèdent le mot de
passe administrateur du domaine.
Je veux diminuer leur pouvoir sur le domaine. Je ne veux plus qu’ils soient
administrateur du domaine et qu’ils connaissent le mot de passe du compte
administrateur.
Je leur ai supprimé les droits d’administrateur sur le domaine et j’ai
défini leurs nouveaux droits (opérateur de sauvegarde, opérateur
d’impression, opérateurs de compte, opérateur de serveur,
administrateurDHCP,……etc etc).
Mon problème est que je n’arrive pas à les mettre administrateurs des postes
clients.
Ils doivent pouvoir continuer a installer/désinstaller des programmes,
modifier des paramètres réseau, installer des imprimantes locales sur les
postes clients et je ne sais pas comment faire pour qu’ils gardent ce droit
là.

Merci pour vos réponses.

Cordialement

Christophe ESQUIROL
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jonathan BISMUTH
Le #564434
Bonjour Christophe.

C'est relativement simple à faire si ton archi est bien faite :

1- assure toi d'avoir une ou plusieurs OU contenant les postes de travail
(en fait toute OU sauf celle(s) contenant les serveurs)

2 crée une GPO ou tu paramètre des "groupes restreints" configuration
ordinateur, Paramètres Windows, Paramètres de sécurité, groupes restreints.
Clique droit et"ajouter un groupe". Entre le groupe "administrateurs" puis
dans "membres de ce groupe", ajoute le compte concerné.
Après rafraichissement de la GPO, le compte fera partie de tous les
ordinateurs (donc les pdt) de l'OU ou les OUs ou la GPO est liée

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"christophe" de news:
Bonjour,

J'ais plusieurs sites distants, chaque site possède son propre domaine
soit
sous Windows2000Server soit sous Windows2003Server.
Sur ces sites j'ai un correspondant informatique qui s'occupe de
l'installation des postes, logiciels, restauration de fichiers,
installation
d'imprimantes.
Mon problème est que ces correspondants informatique possèdent le mot de
passe administrateur du domaine.
Je veux diminuer leur pouvoir sur le domaine. Je ne veux plus qu'ils
soient
administrateur du domaine et qu'ils connaissent le mot de passe du compte
administrateur.
Je leur ai supprimé les droits d'administrateur sur le domaine et j'ai
défini leurs nouveaux droits (opérateur de sauvegarde, opérateur
d'impression, opérateurs de compte, opérateur de serveur,
administrateurDHCP,..etc etc).
Mon problème est que je n'arrive pas à les mettre administrateurs des
postes
clients.
Ils doivent pouvoir continuer a installer/désinstaller des programmes,
modifier des paramètres réseau, installer des imprimantes locales sur les
postes clients et je ne sais pas comment faire pour qu'ils gardent ce
droit
là.

Merci pour vos réponses.

Cordialement

Christophe ESQUIROL



christophe
Le #564431
Bonjour,

Merci pour votre réponse.

La solution que vous m’avez indiquée fonctionne.

Subsiste un tout petit problème, si je décide de supprimer l’utilisateur
(appelons le toto) du groupe Administrateurs et que je supprime
Administrateur des groupes restreints, et bien Toto reste administrateur des
postes clients. Cela me pose un problème dans le cas ou le correspondant
informatique est remplacé.

Le test a été fait avec Windows2000 Serveur.

Auriez-vous une idée pour résoudre ce problème là ?

Cordialement.

Christophe ESQUIROL




Bonjour Christophe.

C'est relativement simple à faire si ton archi est bien faite :

1- assure toi d'avoir une ou plusieurs OU contenant les postes de travail
(en fait toute OU sauf celle(s) contenant les serveurs)

2 crée une GPO ou tu paramètre des "groupes restreints" configuration
ordinateur, Paramètres Windows, Paramètres de sécurité, groupes restreints.
Clique droit et"ajouter un groupe". Entre le groupe "administrateurs" puis
dans "membres de ce groupe", ajoute le compte concerné.
Après rafraichissement de la GPO, le compte fera partie de tous les
ordinateurs (donc les pdt) de l'OU ou les OUs ou la GPO est liée

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"christophe" de news:
Bonjour,

J'ais plusieurs sites distants, chaque site possède son propre domaine
soit
sous Windows2000Server soit sous Windows2003Server.
Sur ces sites j'ai un correspondant informatique qui s'occupe de
l'installation des postes, logiciels, restauration de fichiers,
installation
d'imprimantes.
Mon problème est que ces correspondants informatique possèdent le mot de
passe administrateur du domaine.
Je veux diminuer leur pouvoir sur le domaine. Je ne veux plus qu'ils
soient
administrateur du domaine et qu'ils connaissent le mot de passe du compte
administrateur.
Je leur ai supprimé les droits d'administrateur sur le domaine et j'ai
défini leurs nouveaux droits (opérateur de sauvegarde, opérateur
d'impression, opérateurs de compte, opérateur de serveur,
administrateurDHCP,..etc etc).
Mon problème est que je n'arrive pas à les mettre administrateurs des
postes
clients.
Ils doivent pouvoir continuer a installer/désinstaller des programmes,
modifier des paramètres réseau, installer des imprimantes locales sur les
postes clients et je ne sais pas comment faire pour qu'ils gardent ce
droit
là.

Merci pour vos réponses.

Cordialement

Christophe ESQUIROL








Jonathan BISMUTH
Le #564430
Bonjour Christophe,

Marrant que tu me parle de ça, j'ai subi un léger (hem) incident fin de
semaine dernière sur ça.
Mes conclusions sont les suivantes :

Sur Windows XP SP1/SP2, dans le cas où une GPO groupe restreint est
supprimée, un historique des groupes est conservé dans le registre
(certainement dans HKLMSoftwareMicrosoftWindowsCurrentVersionGroup
PolicyHistory) et un retour en arrière à lieu. Les membres qu'il y avait
dans le groupe avant application reviennent donc.

Sur Windows 2000, Le paramètre est tatoué, du coup, il faut au choix :
- un script qui nettoie le groupe
- plus simplement, une GPO de groupe restreint dans laquelle tu ne met
que "admins. du domaine" dans le groupe administrateurs. (le compte
administrateur local reste quand à lui), donc l'inverse de la première GPO.

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"christophe" de news:
Bonjour,

Merci pour votre réponse.

La solution que vous m'avez indiquée fonctionne.

Subsiste un tout petit problème, si je décide de supprimer l'utilisateur
(appelons le toto) du groupe Administrateurs et que je supprime
Administrateur des groupes restreints, et bien Toto reste administrateur
des
postes clients. Cela me pose un problème dans le cas ou le correspondant
informatique est remplacé.

Le test a été fait avec Windows2000 Serveur.

Auriez-vous une idée pour résoudre ce problème là ?

Cordialement.

Christophe ESQUIROL




Bonjour Christophe.

C'est relativement simple à faire si ton archi est bien faite :

1- assure toi d'avoir une ou plusieurs OU contenant les postes de
travail
(en fait toute OU sauf celle(s) contenant les serveurs)

2 crée une GPO ou tu paramètre des "groupes restreints" configuration
ordinateur, Paramètres Windows, Paramètres de sécurité, groupes
restreints.
Clique droit et"ajouter un groupe". Entre le groupe "administrateurs"
puis
dans "membres de ce groupe", ajoute le compte concerné.
Après rafraichissement de la GPO, le compte fera partie de tous les
ordinateurs (donc les pdt) de l'OU ou les OUs ou la GPO est liée

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"christophe" message
de news:
Bonjour,

J'ais plusieurs sites distants, chaque site possède son propre domaine
soit
sous Windows2000Server soit sous Windows2003Server.
Sur ces sites j'ai un correspondant informatique qui s'occupe de
l'installation des postes, logiciels, restauration de fichiers,
installation
d'imprimantes.
Mon problème est que ces correspondants informatique possèdent le mot
de
passe administrateur du domaine.
Je veux diminuer leur pouvoir sur le domaine. Je ne veux plus qu'ils
soient
administrateur du domaine et qu'ils connaissent le mot de passe du
compte
administrateur.
Je leur ai supprimé les droits d'administrateur sur le domaine et j'ai
défini leurs nouveaux droits (opérateur de sauvegarde, opérateur
d'impression, opérateurs de compte, opérateur de serveur,
administrateurDHCP,..etc etc).
Mon problème est que je n'arrive pas à les mettre administrateurs des
postes
clients.
Ils doivent pouvoir continuer a installer/désinstaller des programmes,
modifier des paramètres réseau, installer des imprimantes locales sur
les
postes clients et je ne sais pas comment faire pour qu'ils gardent ce
droit
là.

Merci pour vos réponses.

Cordialement

Christophe ESQUIROL










christophe
Le #564137
Bonjour,

En fesant comme ci dessous celà fonctionne que ce soit avec du Windows 2000
ou du WindowsXP. Cela evite la gpo et le script.

1- S'assurer d'avoir une ou plusieurs OU contenant les postes de travail
(en fait toute OU sauf celle(s) contenant les serveurs)
Créer une OU "Administration Delegue"
Créer un groupe "Administration delegue" et le faire membre de:
opérateur d'impression (pour pouvoir partager une
imprimante et gérer les spools)
opérateur de sauvegarde (effectuer des sauvegardes et
des restaurations)
opérateur de compte (peut gérer les comptes
utilisateurs,les groupes globaux et locaux mais pas le groupe administrateurs
ni le groupe opérateurs de serveur)
Administrateur DHCP (pour gérer le DHCP)
Créer un login "Admin Delegue" et en faire un membre du groupe
"Administation delegue".

2 -Créer une GPO (stratégie de groupe) où il faut paramètrer des "groupes
restreints" configuration
ordinateur, Paramètres Windows, Paramètres de sécurité, groupes restreints.
Click droit et"ajouter un groupe". Entrer le groupe "administrateurs" puis
dans "membres de ce groupe", ajouter le groupe "Administration delegue".
Après rafraichissement de la GPO, le groupe "Administration delegue" fera
partie de tous les
ordinateurs de l'OU ou les OUs ou la GPO est liée.

Cordialement.

Christophe ESQUIROL



Bonjour Christophe,

Marrant que tu me parle de ça, j'ai subi un léger (hem) incident fin de
semaine dernière sur ça.
Mes conclusions sont les suivantes :

Sur Windows XP SP1/SP2, dans le cas où une GPO groupe restreint est
supprimée, un historique des groupes est conservé dans le registre
(certainement dans HKLMSoftwareMicrosoftWindowsCurrentVersionGroup
PolicyHistory) et un retour en arrière à lieu. Les membres qu'il y avait
dans le groupe avant application reviennent donc.

Sur Windows 2000, Le paramètre est tatoué, du coup, il faut au choix :
- un script qui nettoie le groupe
- plus simplement, une GPO de groupe restreint dans laquelle tu ne met
que "admins. du domaine" dans le groupe administrateurs. (le compte
administrateur local reste quand à lui), donc l'inverse de la première GPO.

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"christophe" de news:
Bonjour,

Merci pour votre réponse.

La solution que vous m'avez indiquée fonctionne.

Subsiste un tout petit problème, si je décide de supprimer l'utilisateur
(appelons le toto) du groupe Administrateurs et que je supprime
Administrateur des groupes restreints, et bien Toto reste administrateur
des
postes clients. Cela me pose un problème dans le cas ou le correspondant
informatique est remplacé.

Le test a été fait avec Windows2000 Serveur.

Auriez-vous une idée pour résoudre ce problème là ?

Cordialement.

Christophe ESQUIROL




Bonjour Christophe.

C'est relativement simple à faire si ton archi est bien faite :

1- assure toi d'avoir une ou plusieurs OU contenant les postes de
travail
(en fait toute OU sauf celle(s) contenant les serveurs)

2 crée une GPO ou tu paramètre des "groupes restreints" configuration
ordinateur, Paramètres Windows, Paramètres de sécurité, groupes
restreints.
Clique droit et"ajouter un groupe". Entre le groupe "administrateurs"
puis
dans "membres de ce groupe", ajoute le compte concerné.
Après rafraichissement de la GPO, le compte fera partie de tous les
ordinateurs (donc les pdt) de l'OU ou les OUs ou la GPO est liée

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"christophe" message
de news:
Bonjour,

J'ais plusieurs sites distants, chaque site possède son propre domaine
soit
sous Windows2000Server soit sous Windows2003Server.
Sur ces sites j'ai un correspondant informatique qui s'occupe de
l'installation des postes, logiciels, restauration de fichiers,
installation
d'imprimantes.
Mon problème est que ces correspondants informatique possèdent le mot
de
passe administrateur du domaine.
Je veux diminuer leur pouvoir sur le domaine. Je ne veux plus qu'ils
soient
administrateur du domaine et qu'ils connaissent le mot de passe du
compte
administrateur.
Je leur ai supprimé les droits d'administrateur sur le domaine et j'ai
défini leurs nouveaux droits (opérateur de sauvegarde, opérateur
d'impression, opérateurs de compte, opérateur de serveur,
administrateurDHCP,..etc etc).
Mon problème est que je n'arrive pas à les mettre administrateurs des
postes
clients.
Ils doivent pouvoir continuer a installer/désinstaller des programmes,
modifier des paramètres réseau, installer des imprimantes locales sur
les
postes clients et je ne sais pas comment faire pour qu'ils gardent ce
droit
là.

Merci pour vos réponses.

Cordialement

Christophe ESQUIROL















Publicité
Poster une réponse
Anonyme