Bonjour,
 
Après de longues recherches sur internet je n'ai pas trouvé de réponse à mon problème, je vous explique :
 
Nous avons une ferme de serveurs Citrix Xenapp, lorsque les utilisateurs se connectent sur le serveur depuis une session Citrix, ils ont accès aux partages administratifs...
 
Pourtant j'ai vérifiés les points suivants :
 
- Il ne font pas partie des groupes d’administrateur, opérateur de serveur ou bien opérateur de sauvegarde.  
- Dans l'ou "BUILTIN" j'ai vérifié qu'il ne font pas parti du groupe administrateurs
- J'ai vérifié les groupes locaux du serveur
- Le groupe "utilisateur de bureau à distance" est membre d'aucun groupe
- Ils ont accès aux partages administratifs que sur le serveur citrix qui fournit les sessions tse et non sur le DC ou la Gateway
- Pour info l'utilisateur de test ne fait parti d'aucun groupe mis à part le groupe "utilisateur bureau à distance"
- L'utilisateur a accès aux partages mais n'a pas les droits administrateurs sur le serveur
 
         
 
Bref je sèche complètement   , quelqu'un aurait il une piste SVP?
 
 
Merci pour vos réponses  

whoami /groups une fois connecté sur la machine

Nom du groupe                                  Type              SID                                            Attributs                                                                    
============================================== ================= ============================================== ============================================================================
Tout le monde                                  Groupe bien connu S-1-1-0                                        Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
BUILTIN\Administrateurs                        Alias             S-1-5-32-544                                   Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚, Propri‚taire du groupe
BUILTIN\Utilisateurs du Bureau … distance      Alias             S-1-5-32-555                                   Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
BUILTIN\Utilisateurs                           Alias             S-1-5-32-545                                   Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
AUTORITE NT\REMOTE INTERACTIVE LOGON           Groupe bien connu S-1-5-14                                       Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
AUTORITE NT\INTERACTIF                         Groupe bien connu S-1-5-4                                        Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
AUTORITE NT\Utilisateurs authentifi‚s          Groupe bien connu S-1-5-11                                       Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
AUTORITE NT\Cette organisation                 Groupe bien connu S-1-5-15                                       Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
LOCAL                                          Groupe bien connu S-1-2-0                                        Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
domaine\GP Acces WEB TS                       Groupe            S-1-5-21-1372213153-4177744716-1259191275-1190 Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
                   
tiquette obligatoire\Niveau obligatoire ‚lev‚ Nom               S-1-16-12288      
 
 
Pour info, le groupe "GP ACCES WEB TS" est autorisé à ouvrir les sessions tse sur le serveur depuis la policie "Default Domain Policy" :
Stratégie --> Paramètres Windows --> Paramètres de sécurité --> Stratégie locales --> Attribution des droits utilisateur --> autoriser l'ouverture de session par les terminal Server

Je rajoute que le groupe "GP ACCES WEB TS" n'est membre d'aucun groupe

C'est comme le port salut ... c'est marqué dessus

comment ça?

BUILTIN\Administrateurs                        Alias             S-1-5-32-544                                   Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚, Propri‚taire du groupe

Oui mais comme je l'ai préciser plus haut j'ai vérifier ce groupe et dans les membres de ce groupe je n'ai aucun user, pas de groupe utilisateur. Seul membre sont le user administrateur, administrateurs de l'entreprise et administrateurs du schéma...

Quel est la différence entre un type alias et groupe??

net localgroup Administrators
 
(ou net localgroup Administrateurs puisque tu as l'air d'aimer les OS en français )

^^ lorsque je fais la commande j'obtient :
administrateur
domaine\Admins du domaine

up

seriously ?
 
Ton topic est dans les 10 premier voir 5 de la page et tu oses upper ?
C'est pas un support technique ici hein, si tu veux une réponse rapide tu appelles le support chez Microsoft hein ...

Je sais bien que ce n'est pas un support technique, je ne pensais pas que le faite de faire un "up" pose problème! comme t'as pu le constater je n'ai pas eu souvent recourt au forum.

Non mais le "problème" est clair : le compte pour lequel tu as fait un "whoami /GROUPS" fait partie du groupe "administrateurs" dans AD.
Il te faut checker ce groupe et les groupes qu'il contient.
Le compte sur lequel tu testes est bien un simple compte utilisateur ? Quel est son nom ?

C'est déjà fait j'ai vérifié tous les groupes administrateurs dans l'ad et locaux. (les membres et les groupes qu'il contient)
 
Le user avec le quel je fais un test, je l'ai placé dans une O.U en bloquant l'héritage même si la partie ordinateur est quand même appliquée au serveur.
 
Le user ne fait partie "d'aucun" groupe mis à part le groupe "GP ACCES WEB TS" , ce groupe en question est membre d'aucun groupe
 
J'ai même essayé d'ajouter l'utilisateur directement dans la stratégie (Stratégie --> Paramètres Windows --> Paramètres de sécurité --> Stratégie locales --> Attribution des droits utilisateur --> autoriser l'ouverture de session par les terminal Server) ainsi il n'était membre d'aucun groupe.
 
Par rapport au groupe "BUILTIN\Administrateurs" il est précisé que c'est un alias, et j'ai également vérifié les membres et si il est membre d'un autre groupe.
 
Et pour finir l'utilisateur de test n'a aucun droit administrateur sur le serveur...
 
 
 

C'est toujours marqué Alias pour le groupe administrateurs.
MAintenant faudrait surtout savoir comment ça se fait qu'il en fasse partie alors que qd tu regardes les membres du groupe administateurs il n'y est pas. Mais là il est admin, c'est tout
 
Peut être regarder les GPO (de tte façon ce genre de setting c'est des settings ordinateurs)

Bon je viens de comprendre pourquoi j'avais "builtin\administrateur" dans la commande whoami car il m'étais impossible de générer un fichier texte sur le serveur du coup je l''exécuter en tant que administrateur et de ce fait il m'affichait "builtin\administrateur" alias
 
Bref lorsque je le fais depuis l'utilisateur j'ai :
 
builtin\utilisateurs du brureau à distance
builtin\utilisateurs
autorite NT\remote interactive logon
autorite nt\interactif
autorite NT\utilisateurs authentifiés
autorite NT\cette organisation
domaine\GP Acces WEB TS
 
Mais comme tu le dit @Je@nb je pense que c'est une GPO qui doit permettre les accès aux partages...

Ah bah c'est sur que si tu lances un cmd en tant qu'admin il y a admin dans les groupes

Je pense avoir trouvé la solution à mon, problème :-), je partage au cas ou cela pourrait aider quelqu'un d'autre!
 
D'après les technet de microsoft ce serait un problème connu sur les serveurs 2008 car l'emplacement des permissions ont changé entre la version 2003 et 2008, Ce problème concerne seulement les accès aux partages administratifs en lookback. (session tse, citrix)
 
Après je ne sais pas si cela concerne tous les 2008!
 
bref il faut exporter la clé de registre depuis un serveur 2003 et l'importer :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\DefaultSecurity\SrvsvcShareAdminConnect
 
Ensuite redémarrer le serveur