Bonjour,

Je suis confronté à un problème.

J'administre un parc informatique d'une trentaine de postes dans un domaine
Active Directory sous Windows Server 2003.

Mon problème est qu'à chaque fois que j'intègre une machine au domaine je
dois ensuite ajouter aux comptes de la machine locale l'utilisateur de cette
machine et l'affecter au groupe "Administrateurs". Si je ne le fais pas,
certaines applications ne fonctionnement pas correctement.

(Pour l'explication en image:
http://www.laboratoire-microsoft.org/videos/13214/)

A la limite, pour les machines qui n'ont qu'un utilisateur, cela ne pose pas
vraiment de problème. Mais il y a des machines où plusieurs utilisateurs
peuvent se connecter, que je ne connais pas forcément à l'avance. De plus,
lorsqu'un nouveau collaborateur arrive dans l'entreprise, je devrais aller
l'ajouter en tant qu'administrateur sur toutes les machines
multi-utilisateurs.

Y-a-t'il y moyen d'éviter ça? Peut-on au travers de la Group Policy
(peut.être) affecter l'utilisateur en tant qu'admininistrateur de la machine
locale?

Toute suggestion est la bienvenue.

Je vous remercie de votre aide!

"Matteo" <joujoukinder@gmail.com> a écrit dans le message de
news:46727db1$1_3@news.bluewin.ch
| Bonjour,

Bonjour,

| Je suis confronté à un problème.
|
| J'administre un parc informatique d'une trentaine de postes dans un
| domaine Active Directory sous Windows Server 2003.
|
| Mon problème est qu'à chaque fois que j'intègre une machine au
| domaine je dois ensuite ajouter aux comptes de la machine locale
| l'utilisateur de cette machine et l'affecter au groupe
| "Administrateurs". Si je ne le fais pas, certaines applications ne
| fonctionnement pas correctement.
|
| (Pour l'explication en image:
| http://www.laboratoire-microsoft.org/videos/13214/)
|
| A la limite, pour les machines qui n'ont qu'un utilisateur, cela ne
| pose pas vraiment de problème. Mais il y a des machines où plusieurs
| utilisateurs peuvent se connecter, que je ne connais pas forcément à
| l'avance. De plus, lorsqu'un nouveau collaborateur arrive dans
| l'entreprise, je devrais aller l'ajouter en tant qu'administrateur
| sur toutes les machines multi-utilisateurs.
|
| Y-a-t'il y moyen d'éviter ça? Peut-on au travers de la Group Policy
| (peut.être) affecter l'utilisateur en tant qu'admininistrateur de la
| machine locale?
|
| Toute suggestion est la bienvenue.
|
| Je vous remercie de votre aide!

Voilà comment je procéderai :

1- Création d'un groupe global par poste, soit gg_adminposteNN
2- Ajout du groupe gg_adminposteNN dans le groupe local Administrateurs
=> gg_adminposte01 dans le groupe local Administrateurs du poste01
=> gg_adminposte02 dans le groupe local Administrateurs du poste02
=> ...

Ensuite, il ne vous reste plus qu'à définir les membres des groupes via
la MMC Utilisateurs et ordinateurs Active Directory. Lorsqu'un nouveau
collaborateur arrive dans l'entreprise, vous lui créez un compte de
domaine puis vous l'ajoutez aux groupes gg_adminposteNN nécessaires.
Celui-ci se retrouvera automatiquement Administrateur local des postes
choisis.

Note: L'étape 2 peut éventuellement être automatisée :
microsoft.public.fr.scripting

Il y a bien les groupes restreints mais cela ne me semble pas adapté. Il
faudrait autant de stratégies de groupes restreints que de machine à
administrer.

--
Gilles LAURENT
http://glsft.free.fr

Bonsoir,

la 1ère méthode logique serait d'étudier chaque logiciel, et d'affecter aux
utilisateurs uniquement les droits nécessaires sur les objets (dossiers,
fichiers, registres nécessaires).
=> L'éditeur de chaque logiciel devrait indiquer ce type d'information.

si cela n'est pas possible, le plus simple est d'ajouter le groupe "Utilisa.
du domaine" dans le groupe "administrateurs" local de chaque station. Cela
est parfois nécessaire mais pas conseillé.
On peut aussi commencer par le groupe local "utilisateurs avec pouvoir", ce
qui est moins dangereux!

A bientôt,

--
Thierry DEMAN-BARCELÒ
Exchange MVP, MCSE2003+M,MCSE2003+S,MCDBA,MCITP dba&Dev
http://base.faqexchange.info http://www.faqexchange.info
http://ISAFirewalls.org

"Matteo" <joujoukinder@gmail.com> a écrit dans le message de
news:46727db1$1_3@news.bluewin.ch...
> Bonjour,
>
> Je suis confronté à un problème.
>
> J'administre un parc informatique d'une trentaine de postes dans un
> domaine Active Directory sous Windows Server 2003.
>
> Mon problème est qu'à chaque fois que j'intègre une machine au domaine je
> dois ensuite ajouter aux comptes de la machine locale l'utilisateur de
> cette machine et l'affecter au groupe "Administrateurs". Si je ne le fais
> pas, certaines applications ne fonctionnement pas correctement.
>
> (Pour l'explication en image:
> http://www.laboratoire-microsoft.org/videos/13214/)
>
> A la limite, pour les machines qui n'ont qu'un utilisateur, cela ne pose
> pas vraiment de problème. Mais il y a des machines où plusieurs
> utilisateurs peuvent se connecter, que je ne connais pas forcément à
> l'avance. De plus, lorsqu'un nouveau collaborateur arrive dans
> l'entreprise, je devrais aller l'ajouter en tant qu'administrateur sur
> toutes les machines multi-utilisateurs.
>
> Y-a-t'il y moyen d'éviter ça? Peut-on au travers de la Group Policy
> (peut.être) affecter l'utilisateur en tant qu'admininistrateur de la
> machine locale?
>
> Toute suggestion est la bienvenue.
>
> Je vous remercie de votre aide!
>

"Thierry DEMAN [MVP]" <tdemanNOSPAM@NOSPAMfree.fr> a écrit dans le
message de
news:66D2AE54-3156-446B-AD53-0429D2009A75@microsoft.com
| Bonsoir,

Bonjour,

[...]
| si cela n'est pas possible, le plus simple est d'ajouter le groupe
| "Utilisa. du domaine" dans le groupe "administrateurs" local de
| chaque station.

Cela ne répond pas, je pense, à la problématique de Matteo car dans ce
cas, tous les utilisateurs du domaine seront administrateurs de chaque
station !

--
Gilles LAURENT
http://glsft.free.fr

Eh oui! Mais c'est souvent le seul moyen "gérable" de la situation sur un
parc important!
Cela évite d'avoir des appels toutes les 5 minutes pour ajouter un
utilisateur dans un groupe précis.
--
Thierry DEMAN-BARCELÒ
Exchange MVP, MCSE2003+M,MCSE2003+S,MCDBA,MCITP dba&Dev
http://base.faqexchange.info http://www.faqexchange.info
http://ISAFirewalls.org

"Gilles LAURENT" <glsft@free.fr> a écrit dans le message de
news:%23A2HSl%23rHHA.3628@TK2MSFTNGP02.phx.gbl...
> "Thierry DEMAN [MVP]" <tdemanNOSPAM@NOSPAMfree.fr> a écrit dans le
> message de
> news:66D2AE54-3156-446B-AD53-0429D2009A75@microsoft.com
> | Bonsoir,
>
> Bonjour,
>
> [...]
> | si cela n'est pas possible, le plus simple est d'ajouter le groupe
> | "Utilisa. du domaine" dans le groupe "administrateurs" local de
> | chaque station.
>
> Cela ne répond pas, je pense, à la problématique de Matteo car dans ce
> cas, tous les utilisateurs du domaine seront administrateurs de chaque
> station !
>
> --
> Gilles LAURENT
> http://glsft.free.fr
>
>

Je vous remercie de vos suggestion et je vais en effet faire ainsi.

Pour un parc d'une trentaine de machines, je pense que la création d'un
groupe dédiés à contenir les utilisateurs qui peuvent administrer les postes
me semble une solution gérable.

La solution avec le groupe "Utilisateurs du domaine" est bonne, mais pour
les cas spéciaux cela peut s'avérer problématique.

Un grand merci pour votre aide, je n'avais jamais songé à ce type de
solution!


"Thierry DEMAN [MVP]" <tdemanNOSPAM@NOSPAMfree.fr> a écrit dans le message
de news: 048724FA-3B6C-40A4-911C-94FB065F86F5@microsoft.com...
> Eh oui! Mais c'est souvent le seul moyen "gérable" de la situation sur un
> parc important!
> Cela évite d'avoir des appels toutes les 5 minutes pour ajouter un
> utilisateur dans un groupe précis.
> --
> Thierry DEMAN-BARCELÒ
> Exchange MVP, MCSE2003+M,MCSE2003+S,MCDBA,MCITP dba&Dev
> http://base.faqexchange.info http://www.faqexchange.info
> http://ISAFirewalls.org
>
> "Gilles LAURENT" <glsft@free.fr> a écrit dans le message de
> news:%23A2HSl%23rHHA.3628@TK2MSFTNGP02.phx.gbl...
>> "Thierry DEMAN [MVP]" <tdemanNOSPAM@NOSPAMfree.fr> a écrit dans le
>> message de
>> news:66D2AE54-3156-446B-AD53-0429D2009A75@microsoft.com
>> | Bonsoir,
>>
>> Bonjour,
>>
>> [...]
>> | si cela n'est pas possible, le plus simple est d'ajouter le groupe
>> | "Utilisa. du domaine" dans le groupe "administrateurs" local de
>> | chaque station.
>>
>> Cela ne répond pas, je pense, à la problématique de Matteo car dans ce
>> cas, tous les utilisateurs du domaine seront administrateurs de chaque
>> station !
>>
>> --
>> Gilles LAURENT
>> http://glsft.free.fr
>>
>>
>