Bonjour,
 
je cherche a nettoyer le groupe "administrateurs" de nos postes.
 
on a quelques postes sur lesquels des users sont dans ce groupe sans que ce soit utile.
 
j'ai bien pensé au groupe restreint, mais ça ne permet que d'ajouter des comptes a un groupe et non a les en sortir....
 
est ce qu'il y a une astuce pour faire cela via GPO?
 
merci!!!!

Oui via GPP.

Les groupes restreint n'ajoute pas un compte à un groupe,
mais remplace le contenu du groupe par celui de la GPO, a ne pas oublier de remettre les groupes par défaut existant.

Effectivement l'utilisation d'une GPP est vraiment recommandée , ça t'évitera d'avoir des comptes admin local rajouté par des personnes peu scrupuleuses.
Par contre il faut la gérer avec un groupe AD qui contiendra les utilisateurs autorisaient à être admin local.  
Au démarrage de la machine le groupe est directement inséré en tant que membre du groupe local administrateur, tes utilisateurs eux sont gérés depuis l'AD et seront membres de ce groupe si tu veux qu'il soit admin local des postes.

Je pense qu'une simple GPO est suffisant, attention à la version des postes ciblés en cas d'utililisation des préférences dans les GPO, selon l'os il faut installer un patch.
Je ne vois pas trop pourquoi passer par des GPP plutôt qu'une simple GPO.
 
Attention si tu utilise une GPo avec des groupes restreints pour faire un remplacement, il faut penser à mettre les groupes par défauts comme admin du domaines dans le groupe administrateurs.
 
Sinon un petit lien
http://blog.portail-mcse.net/index [...] -Directory

 
Non, tu as 2 parties dans les groupes restreints.
La première où tu définies les membres du groupes ou le 2ème qui permet d'ajouter des membres.
 
Par exemple :
Tu crées Administrators et tu mets dans la partie haute "DOMAIN\Admins PDT" "DOMAIN\Admins de domaine" etc.
Ca écrasera le groupe admin avec ce que tu as mis.
 
SINON
Tu crées "DOMAIN\Admins PDT" et tu mets dans la partie basse "Administrators" et ça ajoutera le groupe Admins PDT au groupe local administrators en n'enlevant pas les autres.
 
Sinon pour la gestion des comptes admin, soit tu passes par des GPP, des scripts de startup, un service de gestion d'habilitation etc.

Une GPP (de type remplacer) suffira, et à l'avantage d'être plus souple et moins destructive que passer par les groupes restreints.

 
Oui, sais pas ce qui est expliqué dans le lien que j'ai mis.
Ben je reconnais que c'est pas très clair le premier post.

Le problème des groupes restreints c'est que tu peux pas mixer les 2 modes . Si tu dois gérer plusieurs postes avec des admins locaux différents , je te souhaite bon courage . Tu vas augmenter le nombre de GPO de façon exponentiel.
La maintenance risque d'être difficile .
Avec la GPP tu pourras utiliser les variables %computername% par exemple afin de simplement construire quelque chose de plus dynamique avec les groupes de ton AD . Ainsi tu n'auras pas de multiplication de GPO juste pour maintenir une liste d'admin locaux différents sur chaque poste .
Pour avoir mis ça en place pour nos chercheurs , y'a pas mieux comme solution de flexibilité.

 
T'as déjà réussi à détruire un serveur avec des groupes restreints ?  
Les GPP dépend de l'os client, selon le cas il faut installer la MAJ correspondante.
 
:-)

Oué enfin les GPPs ça existe depuis XP , et c'est même déployable via WSUS .
Alors honnêtement il y a aucun problème avec l'OS ,c'est même une "OBLIGATION DE LES AVOIR" pour manager son parc.
Et les groupes restreints c'est trop limiter point barre .

Le mieux c'est d'éviter surtout d'avoir des utilisateurs admins et d'utiliser des vrais produits pour faire de l'élévation de privilèges par process, selon conditions etc ou comprendre pourquoi l'appli a besoin de droits et comment passer outre (si c'est parce qu'un dossier a besoin de droits d'écriture bah tu les mets)
Appsense Application management, Beyond Trust, etc.

 
On est bien d'accord sur ce point, mais on sait très bien que pendant encore de longues années ce ne sera pas encore le cas .  
 

 
Ca dépend de la motivation des gens. Dans mon taf personne n'est admin de son poste, même pas moi. Ce qui en on besoin on un compte d'administration en supp correspondant au opération dont ils sont responsables. Cela marche très bien.
 

Tu me vois désoler si j'ai du mal à te suivre. Ce n'est par ce qu'un truc sait faire plus qu'un autre que ce dernier n'est pas suffisant pour la demande.
 
Je ne vois pas en quoi mettre le patch pour les GPP et une obligation.
 
Je n'ai pas dit non plus qu'il y avait un problème avec l'OS pour mettre le patch.
 
C'est pas par ce que toi tu aime cette solution que tu dois croire que c'est la seul. Ne fais pas de tes caprices une loi universelle.
 

 
Pareil pour moi pour une grande majorité d'utilisateur,  mais quand tu as une gamme d'utilisateurs qui ne peux faire autrement (installation d'applications spécifiques) , c'est la solution la moins complexe à mettre en oeuvre.
 
 
 
 

L'avantage des GPP c'est que tu peux (souvent) revenir en arrière, les groupes restreints moins   Faut être un peu plus prudent avec ces derniers, ils font le ménage facilement.

 
Je te promets que dans mon domaine on a que du très spécifique et des éditeurs qui veulent des comptes en admin et pas d'UAC. Avec quelques petites recherches et des tools, il n'a pas été difficile de retrouver qu'elle droit sur les dossiers et registre il fallait mettre en place pour obtenir un résultat et compenser le manque d’effort de l'éditeur.

 
Justement je n'ai jamais dit que la solution des groupes restreints n'était pas viable , simplement elle est moins flexible que celle de la GPP  et c'est pas en te cachant derrière la version de ton OS que ça changera quelque chose.

 
+1
La je suis d'accord avec cet argument.

 
C'est un peu comme mon client actuel :
France 1300 admins sur 8000 users environ, US 50 admins pour 1500 users (dont 45 IT, les 5 autres étant des users spécifiques).
 
Dans un cas les droits d'admins sont donnés par facilité, dans l'autre ya une vrai demande justifiée

 
+1  

mais clair personne ne doit etre admin ( a part l'IT bien sur )... donc GPO, et les quelques exceptions c'est largement gérable meme a posteriori... suffit de creer une OU et de mettre les droits qui vont bien, un peu contraignant pour la mise en place (on va dire 5mn pour un user en plus) mais comme ça n'arrive quasi jamais, perso je procède comme cela.