[AD DS Securité] Gérer les administrateurs des postes avec GPP

Il y a quelques années j'avais écrit sur un article sur la gestion des utilisateurs et groupe locaux à l'aide des GPO. Je vous présente ici, une autre méthode qui existe depuis 2008 et qui utilise les préférences dans les stratégies de groupes. L'objectif est d'ajouter un groupe spécifique en tant qu'administrateurs des postes de travail, afin d'éviter d'utiliser des mots de passe de comptes administrateurs du domaine sur les postes.

La première étape est de créer un groupe de domaine local depuis la console « Utilisateurs et Ordinateurs Active Directory », par exemple «SDL-Administrateurs-de-Postes » auquel nous donnerons le droit d'administration sur les postes du domaine.

 

Ensuite nous allons créer une stratégie de groupe, afin d'ajouter ce groupe en tant que membre du groupe « Administrateurs » sur l'OU contenant les postes de travail membre du domaine.

Donnez un nom à votre stratégie par exemple « W-Gestion des admins locaux ».

Ouvrez la rubrique « Utilisateurs et groupes locaux » dans Configuration ordinateur\préférences\Paramètre du Panneau de configuration\.

Dans la zone à droite, faites un clic droit et « Nouveau » puis « Groupe local ».

Indiquer le nom du groupe local, dans notre cas « Administrateurs », puis mettre à jour. Cliquez sur « ajouter ».

Dans la fenêtre « Membre de ce groupe » indiquez où rechercher le groupe que vous avez créé puis « OK ».

 

 

Sur la fenêtre « Nouvelles propriétés de Groupe local », cliquez sur « OK ».

 

Sur votre poste de travail, si vous ne souhaitez pas attendre la prochaine application des GPO, vous pouvez exécuter la commande « Gpupdate /force ».

Vous devriez retrouver votre groupe dans les groupes « Administrateurs » de votre poste client.

 

Comme recommandé dans le modèle « AGDLP », je crée un groupe global qui contient les membres de l'équipe et qui est membre de mon groupe « SDL-Administrateurs-de-postes » :

 

 

Enfin lorsqu'un compte membre de l'équipe support ouvre une session sur l'ordinateur sur un poste, il hérite du droit d'administrateur local.

Il est préférable d'utiliser des comptes spécifiques par exemple « AdP-user » (Administrateur Poste) plutôt que le compte personnel du membre de l'équipe IT, afin que sa session ne soit pas en permanence, administrateur de tous les postes.

 

 

Theme: 

Systeme: 

Annee: