bonjour,
J'aurai besoin d'un conseil.
J'ai un service appli, ils doivent acceder a leur  serveurs Windows qui sont sur l'AD.
Existe t'il un groupe "builtin" qui permettrai d'être administrateur de serveur, mais qui exclus les controleurs de domaine ?
le compte builtin\administrateurs a des droits mais uniquement sur les controleurs de domaine.
et pour des raisons évidentes de sécurité, il est exclus qu'on les mettes dans le groupe "admin du domaine"
 
https://docs.microsoft.com/fr-fr/se [...] y/20200382
comment faites vous ?
Vous regroupez les serveurs applicatif  dans une OU et appliquer une GPP pour ajouter les comptes nominatifs admin dans les comptes locaux serveursApplis\administrateurs de chaque serveurs ?
 

Sauf à ne pas avoir compris, il faut plutôt faire d'un groupe du domaine un admin local des serveurs voulus et niveau AD ajouter les comptes nominatif au groupe du domaine.
 
Pas de raison de définir au niveau serveur des comptes nominatifs.

Il te faut créer une délégation Active Directory.
 

C'est une façon de faire oui. Je préfère passer par les groupes restreints plutôt que les GPP pour ce genre de manip par contre.

+1

oui pardon, effectivement pas de groupe nominatif, c'est assez "crado" plutot l'utilisation d'un groupe exemple Service_appli_adm que j'ajoute sur mes serveur dans le groupe administrateurs des serveurs applicatif.

Pas via gpp, via gpo restricted group on te dit...

ok j'avais testé.
je vais regarder  
https://petri.com/manage-local-acti [...] ted-groups

entre gpp (utiliateur et groupe locaux) et restricted group, au final c'est la même chose...

Non. Les GPP taggent le registre, pas les GPO. Donc tes changements persistent, et le rollback est donc plus difficile (entre autres).

ok donc via gpp il faudrait que je fasse une suppression
"restricted group" la gestion est plus facile