Bonjour,
J'ais plusieurs sites distants, chaque site possède son propre domaine
soit
sous Windows2000Server soit sous Windows2003Server.
Sur ces sites j'ai un correspondant informatique qui s'occupe de
l'installation des postes, logiciels, restauration de fichiers,
installation
d'imprimantes.
Mon problème est que ces correspondants informatique possèdent le mot de
passe administrateur du domaine.
Je veux diminuer leur pouvoir sur le domaine. Je ne veux plus qu'ils
soient
administrateur du domaine et qu'ils connaissent le mot de passe du compte
administrateur.
Je leur ai supprimé les droits d'administrateur sur le domaine et j'ai
défini leurs nouveaux droits (opérateur de sauvegarde, opérateur
d'impression, opérateurs de compte, opérateur de serveur,
administrateurDHCP,..etc etc).
Mon problème est que je n'arrive pas à les mettre administrateurs des
postes
clients.
Ils doivent pouvoir continuer a installer/désinstaller des programmes,
modifier des paramètres réseau, installer des imprimantes locales sur les
postes clients et je ne sais pas comment faire pour qu'ils gardent ce
droit
là.
Merci pour vos réponses.
Cordialement
Christophe ESQUIROL
Bonjour,
J'ais plusieurs sites distants, chaque site possède son propre domaine
soit
sous Windows2000Server soit sous Windows2003Server.
Sur ces sites j'ai un correspondant informatique qui s'occupe de
l'installation des postes, logiciels, restauration de fichiers,
installation
d'imprimantes.
Mon problème est que ces correspondants informatique possèdent le mot de
passe administrateur du domaine.
Je veux diminuer leur pouvoir sur le domaine. Je ne veux plus qu'ils
soient
administrateur du domaine et qu'ils connaissent le mot de passe du compte
administrateur.
Je leur ai supprimé les droits d'administrateur sur le domaine et j'ai
défini leurs nouveaux droits (opérateur de sauvegarde, opérateur
d'impression, opérateurs de compte, opérateur de serveur,
administrateurDHCP,..etc etc).
Mon problème est que je n'arrive pas à les mettre administrateurs des
postes
clients.
Ils doivent pouvoir continuer a installer/désinstaller des programmes,
modifier des paramètres réseau, installer des imprimantes locales sur les
postes clients et je ne sais pas comment faire pour qu'ils gardent ce
droit
là.
Merci pour vos réponses.
Cordialement
Christophe ESQUIROL
Bonjour,
J'ais plusieurs sites distants, chaque site possède son propre domaine
soit
sous Windows2000Server soit sous Windows2003Server.
Sur ces sites j'ai un correspondant informatique qui s'occupe de
l'installation des postes, logiciels, restauration de fichiers,
installation
d'imprimantes.
Mon problème est que ces correspondants informatique possèdent le mot de
passe administrateur du domaine.
Je veux diminuer leur pouvoir sur le domaine. Je ne veux plus qu'ils
soient
administrateur du domaine et qu'ils connaissent le mot de passe du compte
administrateur.
Je leur ai supprimé les droits d'administrateur sur le domaine et j'ai
défini leurs nouveaux droits (opérateur de sauvegarde, opérateur
d'impression, opérateurs de compte, opérateur de serveur,
administrateurDHCP,..etc etc).
Mon problème est que je n'arrive pas à les mettre administrateurs des
postes
clients.
Ils doivent pouvoir continuer a installer/désinstaller des programmes,
modifier des paramètres réseau, installer des imprimantes locales sur les
postes clients et je ne sais pas comment faire pour qu'ils gardent ce
droit
là.
Merci pour vos réponses.
Cordialement
Christophe ESQUIROL
Bonjour Christophe.
C'est relativement simple à faire si ton archi est bien faite :
1- assure toi d'avoir une ou plusieurs OU contenant les postes de travail
(en fait toute OU sauf celle(s) contenant les serveurs)
2 crée une GPO ou tu paramètre des "groupes restreints" configuration
ordinateur, Paramètres Windows, Paramètres de sécurité, groupes restreints.
Clique droit et"ajouter un groupe". Entre le groupe "administrateurs" puis
dans "membres de ce groupe", ajoute le compte concerné.
Après rafraichissement de la GPO, le compte fera partie de tous les
ordinateurs (donc les pdt) de l'OU ou les OUs ou la GPO est liée
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"christophe" a écrit dans le message
de news:Bonjour,
J'ais plusieurs sites distants, chaque site possède son propre domaine
soit
sous Windows2000Server soit sous Windows2003Server.
Sur ces sites j'ai un correspondant informatique qui s'occupe de
l'installation des postes, logiciels, restauration de fichiers,
installation
d'imprimantes.
Mon problème est que ces correspondants informatique possèdent le mot de
passe administrateur du domaine.
Je veux diminuer leur pouvoir sur le domaine. Je ne veux plus qu'ils
soient
administrateur du domaine et qu'ils connaissent le mot de passe du compte
administrateur.
Je leur ai supprimé les droits d'administrateur sur le domaine et j'ai
défini leurs nouveaux droits (opérateur de sauvegarde, opérateur
d'impression, opérateurs de compte, opérateur de serveur,
administrateurDHCP,..etc etc).
Mon problème est que je n'arrive pas à les mettre administrateurs des
postes
clients.
Ils doivent pouvoir continuer a installer/désinstaller des programmes,
modifier des paramètres réseau, installer des imprimantes locales sur les
postes clients et je ne sais pas comment faire pour qu'ils gardent ce
droit
là.
Merci pour vos réponses.
Cordialement
Christophe ESQUIROL
Bonjour Christophe.
C'est relativement simple à faire si ton archi est bien faite :
1- assure toi d'avoir une ou plusieurs OU contenant les postes de travail
(en fait toute OU sauf celle(s) contenant les serveurs)
2 crée une GPO ou tu paramètre des "groupes restreints" configuration
ordinateur, Paramètres Windows, Paramètres de sécurité, groupes restreints.
Clique droit et"ajouter un groupe". Entre le groupe "administrateurs" puis
dans "membres de ce groupe", ajoute le compte concerné.
Après rafraichissement de la GPO, le compte fera partie de tous les
ordinateurs (donc les pdt) de l'OU ou les OUs ou la GPO est liée
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"christophe" <christophe@discussions.microsoft.com> a écrit dans le message
de news: 12BBD4DA-D210-4DA7-A9A3-E311EE88D2E9@microsoft.com...
Bonjour,
J'ais plusieurs sites distants, chaque site possède son propre domaine
soit
sous Windows2000Server soit sous Windows2003Server.
Sur ces sites j'ai un correspondant informatique qui s'occupe de
l'installation des postes, logiciels, restauration de fichiers,
installation
d'imprimantes.
Mon problème est que ces correspondants informatique possèdent le mot de
passe administrateur du domaine.
Je veux diminuer leur pouvoir sur le domaine. Je ne veux plus qu'ils
soient
administrateur du domaine et qu'ils connaissent le mot de passe du compte
administrateur.
Je leur ai supprimé les droits d'administrateur sur le domaine et j'ai
défini leurs nouveaux droits (opérateur de sauvegarde, opérateur
d'impression, opérateurs de compte, opérateur de serveur,
administrateurDHCP,..etc etc).
Mon problème est que je n'arrive pas à les mettre administrateurs des
postes
clients.
Ils doivent pouvoir continuer a installer/désinstaller des programmes,
modifier des paramètres réseau, installer des imprimantes locales sur les
postes clients et je ne sais pas comment faire pour qu'ils gardent ce
droit
là.
Merci pour vos réponses.
Cordialement
Christophe ESQUIROL
Bonjour Christophe.
C'est relativement simple à faire si ton archi est bien faite :
1- assure toi d'avoir une ou plusieurs OU contenant les postes de travail
(en fait toute OU sauf celle(s) contenant les serveurs)
2 crée une GPO ou tu paramètre des "groupes restreints" configuration
ordinateur, Paramètres Windows, Paramètres de sécurité, groupes restreints.
Clique droit et"ajouter un groupe". Entre le groupe "administrateurs" puis
dans "membres de ce groupe", ajoute le compte concerné.
Après rafraichissement de la GPO, le compte fera partie de tous les
ordinateurs (donc les pdt) de l'OU ou les OUs ou la GPO est liée
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"christophe" a écrit dans le message
de news:Bonjour,
J'ais plusieurs sites distants, chaque site possède son propre domaine
soit
sous Windows2000Server soit sous Windows2003Server.
Sur ces sites j'ai un correspondant informatique qui s'occupe de
l'installation des postes, logiciels, restauration de fichiers,
installation
d'imprimantes.
Mon problème est que ces correspondants informatique possèdent le mot de
passe administrateur du domaine.
Je veux diminuer leur pouvoir sur le domaine. Je ne veux plus qu'ils
soient
administrateur du domaine et qu'ils connaissent le mot de passe du compte
administrateur.
Je leur ai supprimé les droits d'administrateur sur le domaine et j'ai
défini leurs nouveaux droits (opérateur de sauvegarde, opérateur
d'impression, opérateurs de compte, opérateur de serveur,
administrateurDHCP,..etc etc).
Mon problème est que je n'arrive pas à les mettre administrateurs des
postes
clients.
Ils doivent pouvoir continuer a installer/désinstaller des programmes,
modifier des paramètres réseau, installer des imprimantes locales sur les
postes clients et je ne sais pas comment faire pour qu'ils gardent ce
droit
là.
Merci pour vos réponses.
Cordialement
Christophe ESQUIROL
Bonjour,
Merci pour votre réponse.
La solution que vous m'avez indiquée fonctionne.
Subsiste un tout petit problème, si je décide de supprimer l'utilisateur
(appelons le toto) du groupe Administrateurs et que je supprime
Administrateur des groupes restreints, et bien Toto reste administrateur
des
postes clients. Cela me pose un problème dans le cas ou le correspondant
informatique est remplacé.
Le test a été fait avec Windows2000 Serveur.
Auriez-vous une idée pour résoudre ce problème là ?
Cordialement.
Christophe ESQUIROLBonjour Christophe.
C'est relativement simple à faire si ton archi est bien faite :
1- assure toi d'avoir une ou plusieurs OU contenant les postes de
travail
(en fait toute OU sauf celle(s) contenant les serveurs)
2 crée une GPO ou tu paramètre des "groupes restreints" configuration
ordinateur, Paramètres Windows, Paramètres de sécurité, groupes
restreints.
Clique droit et"ajouter un groupe". Entre le groupe "administrateurs"
puis
dans "membres de ce groupe", ajoute le compte concerné.
Après rafraichissement de la GPO, le compte fera partie de tous les
ordinateurs (donc les pdt) de l'OU ou les OUs ou la GPO est liée
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"christophe" a écrit dans le
message
de news:Bonjour,
J'ais plusieurs sites distants, chaque site possède son propre domaine
soit
sous Windows2000Server soit sous Windows2003Server.
Sur ces sites j'ai un correspondant informatique qui s'occupe de
l'installation des postes, logiciels, restauration de fichiers,
installation
d'imprimantes.
Mon problème est que ces correspondants informatique possèdent le mot
de
passe administrateur du domaine.
Je veux diminuer leur pouvoir sur le domaine. Je ne veux plus qu'ils
soient
administrateur du domaine et qu'ils connaissent le mot de passe du
compte
administrateur.
Je leur ai supprimé les droits d'administrateur sur le domaine et j'ai
défini leurs nouveaux droits (opérateur de sauvegarde, opérateur
d'impression, opérateurs de compte, opérateur de serveur,
administrateurDHCP,..etc etc).
Mon problème est que je n'arrive pas à les mettre administrateurs des
postes
clients.
Ils doivent pouvoir continuer a installer/désinstaller des programmes,
modifier des paramètres réseau, installer des imprimantes locales sur
les
postes clients et je ne sais pas comment faire pour qu'ils gardent ce
droit
là.
Merci pour vos réponses.
Cordialement
Christophe ESQUIROL
Bonjour,
Merci pour votre réponse.
La solution que vous m'avez indiquée fonctionne.
Subsiste un tout petit problème, si je décide de supprimer l'utilisateur
(appelons le toto) du groupe Administrateurs et que je supprime
Administrateur des groupes restreints, et bien Toto reste administrateur
des
postes clients. Cela me pose un problème dans le cas ou le correspondant
informatique est remplacé.
Le test a été fait avec Windows2000 Serveur.
Auriez-vous une idée pour résoudre ce problème là ?
Cordialement.
Christophe ESQUIROL
Bonjour Christophe.
C'est relativement simple à faire si ton archi est bien faite :
1- assure toi d'avoir une ou plusieurs OU contenant les postes de
travail
(en fait toute OU sauf celle(s) contenant les serveurs)
2 crée une GPO ou tu paramètre des "groupes restreints" configuration
ordinateur, Paramètres Windows, Paramètres de sécurité, groupes
restreints.
Clique droit et"ajouter un groupe". Entre le groupe "administrateurs"
puis
dans "membres de ce groupe", ajoute le compte concerné.
Après rafraichissement de la GPO, le compte fera partie de tous les
ordinateurs (donc les pdt) de l'OU ou les OUs ou la GPO est liée
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"christophe" <christophe@discussions.microsoft.com> a écrit dans le
message
de news: 12BBD4DA-D210-4DA7-A9A3-E311EE88D2E9@microsoft.com...
Bonjour,
J'ais plusieurs sites distants, chaque site possède son propre domaine
soit
sous Windows2000Server soit sous Windows2003Server.
Sur ces sites j'ai un correspondant informatique qui s'occupe de
l'installation des postes, logiciels, restauration de fichiers,
installation
d'imprimantes.
Mon problème est que ces correspondants informatique possèdent le mot
de
passe administrateur du domaine.
Je veux diminuer leur pouvoir sur le domaine. Je ne veux plus qu'ils
soient
administrateur du domaine et qu'ils connaissent le mot de passe du
compte
administrateur.
Je leur ai supprimé les droits d'administrateur sur le domaine et j'ai
défini leurs nouveaux droits (opérateur de sauvegarde, opérateur
d'impression, opérateurs de compte, opérateur de serveur,
administrateurDHCP,..etc etc).
Mon problème est que je n'arrive pas à les mettre administrateurs des
postes
clients.
Ils doivent pouvoir continuer a installer/désinstaller des programmes,
modifier des paramètres réseau, installer des imprimantes locales sur
les
postes clients et je ne sais pas comment faire pour qu'ils gardent ce
droit
là.
Merci pour vos réponses.
Cordialement
Christophe ESQUIROL
Bonjour,
Merci pour votre réponse.
La solution que vous m'avez indiquée fonctionne.
Subsiste un tout petit problème, si je décide de supprimer l'utilisateur
(appelons le toto) du groupe Administrateurs et que je supprime
Administrateur des groupes restreints, et bien Toto reste administrateur
des
postes clients. Cela me pose un problème dans le cas ou le correspondant
informatique est remplacé.
Le test a été fait avec Windows2000 Serveur.
Auriez-vous une idée pour résoudre ce problème là ?
Cordialement.
Christophe ESQUIROLBonjour Christophe.
C'est relativement simple à faire si ton archi est bien faite :
1- assure toi d'avoir une ou plusieurs OU contenant les postes de
travail
(en fait toute OU sauf celle(s) contenant les serveurs)
2 crée une GPO ou tu paramètre des "groupes restreints" configuration
ordinateur, Paramètres Windows, Paramètres de sécurité, groupes
restreints.
Clique droit et"ajouter un groupe". Entre le groupe "administrateurs"
puis
dans "membres de ce groupe", ajoute le compte concerné.
Après rafraichissement de la GPO, le compte fera partie de tous les
ordinateurs (donc les pdt) de l'OU ou les OUs ou la GPO est liée
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"christophe" a écrit dans le
message
de news:Bonjour,
J'ais plusieurs sites distants, chaque site possède son propre domaine
soit
sous Windows2000Server soit sous Windows2003Server.
Sur ces sites j'ai un correspondant informatique qui s'occupe de
l'installation des postes, logiciels, restauration de fichiers,
installation
d'imprimantes.
Mon problème est que ces correspondants informatique possèdent le mot
de
passe administrateur du domaine.
Je veux diminuer leur pouvoir sur le domaine. Je ne veux plus qu'ils
soient
administrateur du domaine et qu'ils connaissent le mot de passe du
compte
administrateur.
Je leur ai supprimé les droits d'administrateur sur le domaine et j'ai
défini leurs nouveaux droits (opérateur de sauvegarde, opérateur
d'impression, opérateurs de compte, opérateur de serveur,
administrateurDHCP,..etc etc).
Mon problème est que je n'arrive pas à les mettre administrateurs des
postes
clients.
Ils doivent pouvoir continuer a installer/désinstaller des programmes,
modifier des paramètres réseau, installer des imprimantes locales sur
les
postes clients et je ne sais pas comment faire pour qu'ils gardent ce
droit
là.
Merci pour vos réponses.
Cordialement
Christophe ESQUIROL
Bonjour Christophe,
Marrant que tu me parle de ça, j'ai subi un léger (hem) incident fin de
semaine dernière sur ça.
Mes conclusions sont les suivantes :
Sur Windows XP SP1/SP2, dans le cas où une GPO groupe restreint est
supprimée, un historique des groupes est conservé dans le registre
(certainement dans HKLMSoftwareMicrosoftWindowsCurrentVersionGroup
PolicyHistory) et un retour en arrière à lieu. Les membres qu'il y avait
dans le groupe avant application reviennent donc.
Sur Windows 2000, Le paramètre est tatoué, du coup, il faut au choix :
- un script qui nettoie le groupe
- plus simplement, une GPO de groupe restreint dans laquelle tu ne met
que "admins. du domaine" dans le groupe administrateurs. (le compte
administrateur local reste quand à lui), donc l'inverse de la première GPO.
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"christophe" a écrit dans le message
de news:Bonjour,
Merci pour votre réponse.
La solution que vous m'avez indiquée fonctionne.
Subsiste un tout petit problème, si je décide de supprimer l'utilisateur
(appelons le toto) du groupe Administrateurs et que je supprime
Administrateur des groupes restreints, et bien Toto reste administrateur
des
postes clients. Cela me pose un problème dans le cas ou le correspondant
informatique est remplacé.
Le test a été fait avec Windows2000 Serveur.
Auriez-vous une idée pour résoudre ce problème là ?
Cordialement.
Christophe ESQUIROLBonjour Christophe.
C'est relativement simple à faire si ton archi est bien faite :
1- assure toi d'avoir une ou plusieurs OU contenant les postes de
travail
(en fait toute OU sauf celle(s) contenant les serveurs)
2 crée une GPO ou tu paramètre des "groupes restreints" configuration
ordinateur, Paramètres Windows, Paramètres de sécurité, groupes
restreints.
Clique droit et"ajouter un groupe". Entre le groupe "administrateurs"
puis
dans "membres de ce groupe", ajoute le compte concerné.
Après rafraichissement de la GPO, le compte fera partie de tous les
ordinateurs (donc les pdt) de l'OU ou les OUs ou la GPO est liée
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"christophe" a écrit dans le
message
de news:Bonjour,
J'ais plusieurs sites distants, chaque site possède son propre domaine
soit
sous Windows2000Server soit sous Windows2003Server.
Sur ces sites j'ai un correspondant informatique qui s'occupe de
l'installation des postes, logiciels, restauration de fichiers,
installation
d'imprimantes.
Mon problème est que ces correspondants informatique possèdent le mot
de
passe administrateur du domaine.
Je veux diminuer leur pouvoir sur le domaine. Je ne veux plus qu'ils
soient
administrateur du domaine et qu'ils connaissent le mot de passe du
compte
administrateur.
Je leur ai supprimé les droits d'administrateur sur le domaine et j'ai
défini leurs nouveaux droits (opérateur de sauvegarde, opérateur
d'impression, opérateurs de compte, opérateur de serveur,
administrateurDHCP,..etc etc).
Mon problème est que je n'arrive pas à les mettre administrateurs des
postes
clients.
Ils doivent pouvoir continuer a installer/désinstaller des programmes,
modifier des paramètres réseau, installer des imprimantes locales sur
les
postes clients et je ne sais pas comment faire pour qu'ils gardent ce
droit
là.
Merci pour vos réponses.
Cordialement
Christophe ESQUIROL
Bonjour Christophe,
Marrant que tu me parle de ça, j'ai subi un léger (hem) incident fin de
semaine dernière sur ça.
Mes conclusions sont les suivantes :
Sur Windows XP SP1/SP2, dans le cas où une GPO groupe restreint est
supprimée, un historique des groupes est conservé dans le registre
(certainement dans HKLMSoftwareMicrosoftWindowsCurrentVersionGroup
PolicyHistory) et un retour en arrière à lieu. Les membres qu'il y avait
dans le groupe avant application reviennent donc.
Sur Windows 2000, Le paramètre est tatoué, du coup, il faut au choix :
- un script qui nettoie le groupe
- plus simplement, une GPO de groupe restreint dans laquelle tu ne met
que "admins. du domaine" dans le groupe administrateurs. (le compte
administrateur local reste quand à lui), donc l'inverse de la première GPO.
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"christophe" <christophe@discussions.microsoft.com> a écrit dans le message
de news: 2B1D46FD-032F-4CA3-85C5-05D2084044A9@microsoft.com...
Bonjour,
Merci pour votre réponse.
La solution que vous m'avez indiquée fonctionne.
Subsiste un tout petit problème, si je décide de supprimer l'utilisateur
(appelons le toto) du groupe Administrateurs et que je supprime
Administrateur des groupes restreints, et bien Toto reste administrateur
des
postes clients. Cela me pose un problème dans le cas ou le correspondant
informatique est remplacé.
Le test a été fait avec Windows2000 Serveur.
Auriez-vous une idée pour résoudre ce problème là ?
Cordialement.
Christophe ESQUIROL
Bonjour Christophe.
C'est relativement simple à faire si ton archi est bien faite :
1- assure toi d'avoir une ou plusieurs OU contenant les postes de
travail
(en fait toute OU sauf celle(s) contenant les serveurs)
2 crée une GPO ou tu paramètre des "groupes restreints" configuration
ordinateur, Paramètres Windows, Paramètres de sécurité, groupes
restreints.
Clique droit et"ajouter un groupe". Entre le groupe "administrateurs"
puis
dans "membres de ce groupe", ajoute le compte concerné.
Après rafraichissement de la GPO, le compte fera partie de tous les
ordinateurs (donc les pdt) de l'OU ou les OUs ou la GPO est liée
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"christophe" <christophe@discussions.microsoft.com> a écrit dans le
message
de news: 12BBD4DA-D210-4DA7-A9A3-E311EE88D2E9@microsoft.com...
Bonjour,
J'ais plusieurs sites distants, chaque site possède son propre domaine
soit
sous Windows2000Server soit sous Windows2003Server.
Sur ces sites j'ai un correspondant informatique qui s'occupe de
l'installation des postes, logiciels, restauration de fichiers,
installation
d'imprimantes.
Mon problème est que ces correspondants informatique possèdent le mot
de
passe administrateur du domaine.
Je veux diminuer leur pouvoir sur le domaine. Je ne veux plus qu'ils
soient
administrateur du domaine et qu'ils connaissent le mot de passe du
compte
administrateur.
Je leur ai supprimé les droits d'administrateur sur le domaine et j'ai
défini leurs nouveaux droits (opérateur de sauvegarde, opérateur
d'impression, opérateurs de compte, opérateur de serveur,
administrateurDHCP,..etc etc).
Mon problème est que je n'arrive pas à les mettre administrateurs des
postes
clients.
Ils doivent pouvoir continuer a installer/désinstaller des programmes,
modifier des paramètres réseau, installer des imprimantes locales sur
les
postes clients et je ne sais pas comment faire pour qu'ils gardent ce
droit
là.
Merci pour vos réponses.
Cordialement
Christophe ESQUIROL
Bonjour Christophe,
Marrant que tu me parle de ça, j'ai subi un léger (hem) incident fin de
semaine dernière sur ça.
Mes conclusions sont les suivantes :
Sur Windows XP SP1/SP2, dans le cas où une GPO groupe restreint est
supprimée, un historique des groupes est conservé dans le registre
(certainement dans HKLMSoftwareMicrosoftWindowsCurrentVersionGroup
PolicyHistory) et un retour en arrière à lieu. Les membres qu'il y avait
dans le groupe avant application reviennent donc.
Sur Windows 2000, Le paramètre est tatoué, du coup, il faut au choix :
- un script qui nettoie le groupe
- plus simplement, une GPO de groupe restreint dans laquelle tu ne met
que "admins. du domaine" dans le groupe administrateurs. (le compte
administrateur local reste quand à lui), donc l'inverse de la première GPO.
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"christophe" a écrit dans le message
de news:Bonjour,
Merci pour votre réponse.
La solution que vous m'avez indiquée fonctionne.
Subsiste un tout petit problème, si je décide de supprimer l'utilisateur
(appelons le toto) du groupe Administrateurs et que je supprime
Administrateur des groupes restreints, et bien Toto reste administrateur
des
postes clients. Cela me pose un problème dans le cas ou le correspondant
informatique est remplacé.
Le test a été fait avec Windows2000 Serveur.
Auriez-vous une idée pour résoudre ce problème là ?
Cordialement.
Christophe ESQUIROLBonjour Christophe.
C'est relativement simple à faire si ton archi est bien faite :
1- assure toi d'avoir une ou plusieurs OU contenant les postes de
travail
(en fait toute OU sauf celle(s) contenant les serveurs)
2 crée une GPO ou tu paramètre des "groupes restreints" configuration
ordinateur, Paramètres Windows, Paramètres de sécurité, groupes
restreints.
Clique droit et"ajouter un groupe". Entre le groupe "administrateurs"
puis
dans "membres de ce groupe", ajoute le compte concerné.
Après rafraichissement de la GPO, le compte fera partie de tous les
ordinateurs (donc les pdt) de l'OU ou les OUs ou la GPO est liée
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"christophe" a écrit dans le
message
de news:Bonjour,
J'ais plusieurs sites distants, chaque site possède son propre domaine
soit
sous Windows2000Server soit sous Windows2003Server.
Sur ces sites j'ai un correspondant informatique qui s'occupe de
l'installation des postes, logiciels, restauration de fichiers,
installation
d'imprimantes.
Mon problème est que ces correspondants informatique possèdent le mot
de
passe administrateur du domaine.
Je veux diminuer leur pouvoir sur le domaine. Je ne veux plus qu'ils
soient
administrateur du domaine et qu'ils connaissent le mot de passe du
compte
administrateur.
Je leur ai supprimé les droits d'administrateur sur le domaine et j'ai
défini leurs nouveaux droits (opérateur de sauvegarde, opérateur
d'impression, opérateurs de compte, opérateur de serveur,
administrateurDHCP,..etc etc).
Mon problème est que je n'arrive pas à les mettre administrateurs des
postes
clients.
Ils doivent pouvoir continuer a installer/désinstaller des programmes,
modifier des paramètres réseau, installer des imprimantes locales sur
les
postes clients et je ne sais pas comment faire pour qu'ils gardent ce
droit
là.
Merci pour vos réponses.
Cordialement
Christophe ESQUIROL