Je débute en AD et après pas mal de temps passé dans les docs et à faire des tests, je n'ai toujours pas trouvé la solution à mon problème, qui me parait pourtant assez basique :
 
En gros j'ai un unique domaine (le DC est un Windows Server 2003), comportant des administrateurs et des utilisateurs lambda, des stations de travail et un serveur TSE sous 2003 également.
 
Je veux laisser les droits absolus aux admins sur toutes les machines, et pour les utilisateurs lambda je veux appliquer des restrictions logicielles, mais qui dépendent du type de machine sur laquelle ils se trouvent : le TSE ou une station normale.
Par exemple j'autoriserai Office sur les stations mais pas sur le TSE.
 
Mon problème : si je fais une GPO au niveau ordinateur et l'applique au serveur TSE, alors mes admins seront impactés.
Si j'applique ma restriction dans une GPO "utilisateurs_lambda", alors elle s'appliquera indifféremment au TSE et aux stations, ce que je ne veux pas non plus.
 
Avez-vous une idée ?

Faire un filtre sur tes GPOs ?
 
 
edit :  j'avais pas vu que c'était toi

un filtre WMI ?

sinon c'est cool ton stage ?

edit-> bon je crois que j'ai trouvé, reste plus qu'à tester

Ouais filtre WMI
 
Ouais c'est cool mon stage je bosse sur Win 2008

Bon en fait ce que j'ai essayé ne marche pas.
J'ai mis dans ma GPO une restriction sur les logiciels, au niveau ordinateur.
Dans "Security Filtering" de ma GPO j'ai laissé uniquement le groupe users_lambda, et l'OU contenant le serveur TSE.
 
J'ai ensuite lié la GPO à cette OU.
 
La politique s'applique bien, mais à tous les utilisateurs connectés au TSE, y compris les admins
 
Je suis donc obligé de créer un filtre WMI ? Ca a l'air assez chiant à faire mais je vais m'y pencher...

Dans security filtering tu peux ok filtrer mais c'est le compte ordinateur qui est utilisé pour s'authentifier pour récup les gpo ordinateur et non users.
 
Moi ce que j'aurais fait c'est une GPO user avec un filtre wmi sur un groupe d'ordinateur ou si toi tu veux que les serveurs ts tu dois avoir une classe wmi pour vérifier si c'est un serveur ts

Pas con, je vais essayer de trouver cette classe.

http://msdn2.microsoft.com/en-us/library/aa383640.aspx
 
La propriété uint32 TerminalServerMode.
1 c'est qd tu as un serveur TS et 0 c'est le bureau à distance je pense

Finalement j'ai créé un filtre WMI qui active simplement la GPO utilisateur si le nom de la machine = "Nom_server_TSE"

et ça marche enfin