Erf! déjà page 2... petit up
A ma connaissance, lors de l'activation d'une strat de groupes restreints, seul le compte local prédéfini administrateur (ou renommé) reste dans le groupe local Adms. Ce même s'il n'appartient pas à la liste des membres du groupe restreint. Ce compte reste dans la SAM locale du poste ou serveur membre et n'est pas retiré. En d'autres termes, tous les autres utilisateurs ou groupes non listés en tant que membre du groupe restreint sont retirés (finalité du groupe restreint).
Donc, en l'absence de conventions de nommage des objets dans la boîte, la seule possibilité que je vois, si tu veux utiliser la start, outre de trouver l'user qui connaît tous les noms de groupes (parents/enfants), serait de retrouver les groupes globaux en question grâce à leur SID(surtout le RID) (liste....
Il existe pas mal de méthodes, pour retrouver des SID spécifiques... jamais creusé...
Ceci étant dit, avec une strat de grp restreint, rien n'empêche à un membre de groupe local administrateurs d'ajouter un user à ce groupe. Cependant, logué en dom, cet user ne bénéficiera des privilèges d'admin que pendant le solde du refresh interval de la start de groupe et sera retiré du groupe si celui-ci n'est pas membre du groupe restreint relatif à Administrateurs.
Les articles foisonnent, juste un, depuis le 2k SP4 http://support.microsoft.com/defau [...] ;fr;810076
Bien qu'apparemment, ça ne déplace pas les foules, un intervenant plus pointu sur l'affaire apportera, sûrement, des précisions voir des corrections...
...