Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1661 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Poste de travail

  retirer des user du groupe local "administrateurs" par gpo ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

retirer des user du groupe local "administrateurs" par gpo ?

n°101535
rodrigo35
Posté le 04-10-2012 à 15:03:02  profilanswer
 

Bonjour,
 
je cherche a nettoyer le groupe "administrateurs" de nos postes.
 
on a quelques postes sur lesquels des users sont dans ce groupe sans que ce soit utile.
 
j'ai bien pensé au groupe restreint, mais ça ne permet que d'ajouter des comptes a un groupe et non a les en sortir....
 
est ce qu'il y a une astuce pour faire cela via GPO?
 
merci!!!!


Message édité par rodrigo35 le 04-10-2012 à 15:03:31
mood
Publicité
Posté le 04-10-2012 à 15:03:02  profilanswer
 

n°101537
nebulios
Posté le 04-10-2012 à 15:05:54  profilanswer
 

Oui via GPP.

n°101538
phil255
Posté le 04-10-2012 à 15:08:37  profilanswer
 

Les groupes restreint n'ajoute pas un compte à un groupe,
mais remplace le contenu du groupe par celui de la GPO, a ne pas oublier de remettre les groupes par défaut existant.

n°101561
statoon54
Posté le 04-10-2012 à 18:38:32  profilanswer
 

Effectivement l'utilisation d'une GPP est vraiment recommandée , ça t'évitera d'avoir des comptes admin local rajouté par des personnes peu scrupuleuses.
Par contre il faut la gérer avec un groupe AD qui contiendra les utilisateurs autorisaient à être admin local.  
Au démarrage de la machine le groupe est directement inséré en tant que membre du groupe local administrateur, tes utilisateurs eux sont gérés depuis l'AD et seront membres de ce groupe si tu veux qu'il soit admin local des postes.

n°101565
phil255
Posté le 04-10-2012 à 19:09:15  profilanswer
 

Je pense qu'une simple GPO est suffisant, attention à la version des postes ciblés en cas d'utililisation des préférences dans les GPO, selon l'os il faut installer un patch.
Je ne vois pas trop pourquoi passer par des GPP plutôt qu'une simple GPO.
 
Attention si tu utilise une GPo avec des groupes restreints pour faire un remplacement, il faut penser à mettre les groupes par défauts comme admin du domaines dans le groupe administrateurs.
 
Sinon un petit lien
http://blog.portail-mcse.net/index [...] -Directory

n°101570
Je@nb
Modérateur
Kindly give dime
Posté le 04-10-2012 à 19:52:36  profilanswer
 

phil255 a écrit :

Les groupes restreint n'ajoute pas un compte à un groupe,
mais remplace le contenu du groupe par celui de la GPO, a ne pas oublier de remettre les groupes par défaut existant.


 
Non, tu as 2 parties dans les groupes restreints.
La première où tu définies les membres du groupes ou le 2ème qui permet d'ajouter des membres.
 
Par exemple :
Tu crées Administrators et tu mets dans la partie haute "DOMAIN\Admins PDT" "DOMAIN\Admins de domaine" etc.
Ca écrasera le groupe admin avec ce que tu as mis.
 
SINON
Tu crées "DOMAIN\Admins PDT" et tu mets dans la partie basse "Administrators" et ça ajoutera le groupe Admins PDT au groupe local administrators en n'enlevant pas les autres.
 
Sinon pour la gestion des comptes admin, soit tu passes par des GPP, des scripts de startup, un service de gestion d'habilitation etc.

n°101571
nebulios
Posté le 04-10-2012 à 19:53:59  profilanswer
 

Une GPP (de type remplacer) suffira, et à l'avantage d'être plus souple et moins destructive que passer par les groupes restreints.

n°101576
phil255
Posté le 04-10-2012 à 20:26:55  profilanswer
 

Je@nb a écrit :


 
Non, tu as 2 parties dans les groupes restreints.
La première où tu définies les membres du groupes ou le 2ème qui permet d'ajouter des membres.
 
Par exemple :
Tu crées Administrators et tu mets dans la partie haute "DOMAIN\Admins PDT" "DOMAIN\Admins de domaine" etc.
Ca écrasera le groupe admin avec ce que tu as mis.
 
SINON
Tu crées "DOMAIN\Admins PDT" et tu mets dans la partie basse "Administrators" et ça ajoutera le groupe Admins PDT au groupe local administrators en n'enlevant pas les autres.
 
Sinon pour la gestion des comptes admin, soit tu passes par des GPP, des scripts de startup, un service de gestion d'habilitation etc.


 
Oui, sais pas ce qui est expliqué dans le lien que j'ai mis.
Ben je reconnais que c'est pas très clair le premier post.

n°101577
statoon54
Posté le 04-10-2012 à 20:28:12  profilanswer
 

phil255 a écrit :

Je pense qu'une simple GPO est suffisant, attention à la version des postes ciblés en cas d'utililisation des préférences dans les GPO, selon l'os il faut installer un patch.
Je ne vois pas trop pourquoi passer par des GPP plutôt qu'une simple GPO.

 

Le problème des groupes restreints c'est que tu peux pas mixer les 2 modes . Si tu dois gérer plusieurs postes avec des admins locaux différents , je te souhaite bon courage . Tu vas augmenter le nombre de GPO de façon exponentiel.
La maintenance risque d'être difficile .
Avec la GPP tu pourras utiliser les variables %computername% par exemple afin de simplement construire quelque chose de plus dynamique avec les groupes de ton AD . Ainsi tu n'auras pas de multiplication de GPO juste pour maintenir une liste d'admin locaux différents sur chaque poste .
Pour avoir mis ça en place pour nos chercheurs , y'a pas mieux comme solution de flexibilité. :lol:


Message édité par statoon54 le 04-10-2012 à 20:29:36
n°101578
phil255
Posté le 04-10-2012 à 20:29:10  profilanswer
 

nebulios a écrit :

Une GPP (de type remplacer) suffira, et à l'avantage d'être plus souple et moins destructive que passer par les groupes restreints.


 
T'as déjà réussi à détruire un serveur avec des groupes restreints ?  
Les GPP dépend de l'os client, selon le cas il faut installer la MAJ correspondante.
 
:-)

mood
Publicité
Posté le 04-10-2012 à 20:29:10  profilanswer
 

n°101579
statoon54
Posté le 04-10-2012 à 20:36:02  profilanswer
 

phil255 a écrit :

 

T'as déjà réussi à détruire un serveur avec des groupes restreints ?
Les GPP dépend de l'os client, selon le cas il faut installer la MAJ correspondante.

 

:-)

 

Oué enfin les GPPs ça existe depuis XP , et c'est même déployable via WSUS .
Alors honnêtement il y a aucun problème avec l'OS ,c'est même une "OBLIGATION DE LES AVOIR" pour manager son parc.
Et les groupes restreints c'est trop limiter point barre .

Message cité 1 fois
Message édité par statoon54 le 04-10-2012 à 20:36:39
n°101580
Je@nb
Modérateur
Kindly give dime
Posté le 04-10-2012 à 20:36:30  profilanswer
 

Le mieux c'est d'éviter surtout d'avoir des utilisateurs admins et d'utiliser des vrais produits pour faire de l'élévation de privilèges par process, selon conditions etc ou comprendre pourquoi l'appli a besoin de droits et comment passer outre (si c'est parce qu'un dossier a besoin de droits d'écriture bah tu les mets)
Appsense Application management, Beyond Trust, etc.

n°101581
statoon54
Posté le 04-10-2012 à 20:40:41  profilanswer
 

Je@nb a écrit :

Le mieux c'est d'éviter surtout d'avoir des utilisateurs admins et d'utiliser des vrais produits pour faire de l'élévation de privilèges par process, selon conditions etc ou comprendre pourquoi l'appli a besoin de droits et comment passer outre (si c'est parce qu'un dossier a besoin de droits d'écriture bah tu les mets)
Appsense Application management, Beyond Trust, etc.


 
On est bien d'accord sur ce point, mais on sait très bien que pendant encore de longues années ce ne sera pas encore le cas . :whistle:  
 

n°101582
phil255
Posté le 04-10-2012 à 20:45:30  profilanswer
 

statoon54 a écrit :


 
On est bien d'accord sur ce point, mais on sait très bien que pendant encore de longues années ce ne sera pas encore le cas . :whistle:  
 


 
Ca dépend de la motivation des gens. Dans mon taf personne n'est admin de son poste, même pas moi. Ce qui en on besoin on un compte d'administration en supp correspondant au opération dont ils sont responsables. Cela marche très bien.
 

n°101583
phil255
Posté le 04-10-2012 à 20:51:48  profilanswer
 

statoon54 a écrit :


 
Oué enfin les GPPs ça existe depuis XP , et c'est même déployable via WSUS .  
Alors honnêtement il y a aucun problème avec l'OS ,c'est même une "OBLIGATION DE LES AVOIR" pour manager son parc.
Et les groupes restreints c'est trop limiter point barre .


Tu me vois désoler si j'ai du mal à te suivre. Ce n'est par ce qu'un truc sait faire plus qu'un autre que ce dernier n'est pas suffisant pour la demande.
 
Je ne vois pas en quoi mettre le patch pour les GPP et une obligation.
 
Je n'ai pas dit non plus qu'il y avait un problème avec l'OS pour mettre le patch.
 
C'est pas par ce que toi tu aime cette solution que tu dois croire que c'est la seul. Ne fais pas de tes caprices une loi universelle.
 

n°101584
statoon54
Posté le 04-10-2012 à 20:53:36  profilanswer
 

phil255 a écrit :


 
Ca dépend de la motivation des gens. Dans mon taf personne n'est admin de son poste, même pas moi. Ce qui en on besoin on un compte d'administration en supp correspondant au opération dont ils sont responsables. Cela marche très bien.
 


 
Pareil pour moi pour une grande majorité d'utilisateur,  mais quand tu as une gamme d'utilisateurs qui ne peux faire autrement (installation d'applications spécifiques) , c'est la solution la moins complexe à mettre en oeuvre.
 
 
 
 

n°101585
nebulios
Posté le 04-10-2012 à 20:57:16  profilanswer
 

phil255 a écrit :


 
T'as déjà réussi à détruire un serveur avec des groupes restreints ?  
Les GPP dépend de l'os client, selon le cas il faut installer la MAJ correspondante.
 
:-)


L'avantage des GPP c'est que tu peux (souvent) revenir en arrière, les groupes restreints moins  :D Faut être un peu plus prudent avec ces derniers, ils font le ménage facilement.

n°101586
phil255
Posté le 04-10-2012 à 20:57:36  profilanswer
 

statoon54 a écrit :


 
Pareil pour moi pour une grande majorité d'utilisateur,  mais quand tu as une gamme d'utilisateurs qui ne peux faire autrement (installation d'applications spécifiques) , c'est la solution la moins complexe à mettre en oeuvre.
 
 
 
 


 
Je te promets que dans mon domaine on a que du très spécifique et des éditeurs qui veulent des comptes en admin et pas d'UAC. Avec quelques petites recherches et des tools, il n'a pas été difficile de retrouver qu'elle droit sur les dossiers et registre il fallait mettre en place pour obtenir un résultat et compenser le manque d’effort de l'éditeur.

n°101587
statoon54
Posté le 04-10-2012 à 20:58:22  profilanswer
 

phil255 a écrit :


Tu me vois désoler si j'ai du mal à te suivre. Ce n'est par ce qu'un truc sait faire plus qu'un autre que ce dernier n'est pas suffisant pour la demande.
 
Je ne vois pas en quoi mettre le patch pour les GPP et une obligation.
 
Je n'ai pas dit non plus qu'il y avait un problème avec l'OS pour mettre le patch.
 
C'est pas par ce que toi tu aime cette solution que tu dois croire que c'est la seul. Ne fais pas de tes caprices une loi universelle.
 


 
Justement je n'ai jamais dit que la solution des groupes restreints n'était pas viable , simplement elle est moins flexible que celle de la GPP  et c'est pas en te cachant derrière la version de ton OS que ça changera quelque chose.

n°101588
phil255
Posté le 04-10-2012 à 20:59:25  profilanswer
 

nebulios a écrit :


L'avantage des GPP c'est que tu peux (souvent) revenir en arrière, les groupes restreints moins  :D Faut être un peu plus prudent avec ces derniers, ils font le ménage facilement.


 
+1
La je suis d'accord avec cet argument.

n°101592
Je@nb
Modérateur
Kindly give dime
Posté le 04-10-2012 à 21:12:36  profilanswer
 

statoon54 a écrit :


 
On est bien d'accord sur ce point, mais on sait très bien que pendant encore de longues années ce ne sera pas encore le cas . :whistle:  
 


 
C'est un peu comme mon client actuel :
France 1300 admins sur 8000 users environ, US 50 admins pour 1500 users (dont 45 IT, les 5 autres étant des users spécifiques).
 
Dans un cas les droits d'admins sont donnés par facilité, dans l'autre ya une vrai demande justifiée :D

n°101593
statoon54
Posté le 04-10-2012 à 21:17:42  profilanswer
 

nebulios a écrit :


L'avantage des GPP c'est que tu peux (souvent) revenir en arrière, les groupes restreints moins  :D Faut être un peu plus prudent avec ces derniers, ils font le ménage facilement.


 

Je@nb a écrit :


 
C'est un peu comme mon client actuel :
France 1300 admins sur 8000 users environ, US 50 admins pour 1500 users (dont 45 IT, les 5 autres étant des users spécifiques).
 
Dans un cas les droits d'admins sont donnés par facilité, dans l'autre ya une vrai demande justifiée :D


 
+1 :D  

n°106145
xanack
Posté le 04-02-2013 à 20:09:35  profilanswer
 

mais clair personne ne doit etre admin ( a part l'IT bien sur :o)... donc GPO, et les quelques exceptions c'est largement gérable meme a posteriori... suffit de creer une OU et de mettre les droits qui vont bien, un peu contraignant pour la mise en place (on va dire 5mn pour un user en plus) mais comme ça n'arrive quasi jamais, perso je procède comme cela.

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Poste de travail

  retirer des user du groupe local "administrateurs" par gpo ?

 

Sujets relatifs
Serveur dns réseau localExchange 2007 : utilité des adresses @mondomaine.local ?
Application de GPO local sauf administrateurclim pour un local informatique
AD 2003 SP2: Stratégie de groupe (champs grisée)Droits de sélection groupe AD 2003 inter-domaine
Réseau local avec deux serveurs 
Plus de sujets relatifs à : retirer des user du groupe local "administrateurs" par gpo ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR