Bonjour,
 
J'ai un serveur Win2k et sur celui ci, j'ai une stratégie de groupes comptes ... Dans cette stratégie, il y a un groupe d'utilisateurs qui a très peu de droit (pas d'icones sur bureau, pas de raccourcis clavier possible, pas de commande exécuter ...). C'est toujours le même utilisateur sur le poste et il n'y a aucun compte de créer en local à part admin et invité. Une nouvelle appli va être installer mais pour bien l'exécuter, il faut que l'utilisateur est les droit admin en local.
 
Comment je peux faire sans passer sur tous les postes (200 postes clients en Win2k), y'a t il une soluttino au niveau d'Active Directory sur mon serveur Win2k ?
 
Si vous avez une idée, j'en serais très reconnaissant !!!    
 
 
D'jules
 
 
P.S : Au cas ou, une deuxième questino, comment fait on pour faire un menu démarrer spéciale pour une unité organisationnelle car même avec l'aide d'AD je n'y arrive pas   , y'a t il une astuce ?

Pour qu'on ton programme fonctionne bien il faut surement que tu donne seulement les droits d'accés au dossier (C:\Program Files\"ton programmes" ) avec la commande cacls.
Tu peux le faire via un script de login.

Je ne connais pas la commande cacls, je vais regarder    
 
En fait c'est pas du au répertoire du prog mais c'est au niveau de la base de registre, il n'a pas accès à certaines clés, même si j'ajoute l'utilisateur du domaine dans le groupe local "utilisateur avec pouvoir" ça ne marche pas, c'est que lorsqu'il est dans le groupe "Admin du pouvoir"    Mais 200 postes à la mimine, ça va pas le faire    
 
D'jules

tu créé un groupe "Admin Poste" au niveau de ton domaine, tu ajoutes ce groupe au groupe "administrateur" de tes postes aec un ti script et "net localgroup", et pour finir tu ajoutes tes user dans le groupe "Admin Poste".
 

Je vais voir mais ça me parrait pas mal du tout ça  
 
Une fois que c'est fait, c'est mis en dure ou fait le faire à chaque login ? Est-ce qu'à la fonction net localgroup, on peut associé une variable qui serait le nom de login sur le poste (je m'explique, les utilisateurs sont logués automatiquement sans mot de passe, donc peut on reprendre le login pour faire un varible de manière à ajouter que le login et non un groupe comprenant tous les login ? )
 
En tout cas merci, je vais voir si le script peut être mis au niveau de la stratégie de l'unité organisationnelle.  
 
D'jules

tu peux faire ca avec AD directement, "sous computer configuration" tu a "restricted group" la tu peux ajouter les groupes que tu veux et les peupler avec les users que tu veux, apres quoi c propagé par GPO.
tres pratique et tres efficace.

hmm un ptit detail que j'ai oublié, cette manip remplace les membres du groupe selectionné, donc extreme prudence de rigueur avant de foutre le bronx partout

Knivers => t'es sure quand passant par là ça met les users qu'en Admin local et non en admin réseau ???
 
D'jules

tu peux faire les 2, les groupes AD et les groupes locaux.
a toi de ne pas faire n'importe quoi.
et puis ca n'est pas limité au groupe admin, tu peux gerer n'importe quel groupe de cette facon.

Bon, résultat des courses, d'abord j'ai testé avec la soluce net localgroup, le script marche quand je suis Admin (normal) mais vu que je me connecte automatiquement avec un compte qui n'a que des restrictement, bah forcement j'ai le message Accés refusé. Passer en Admin pour que le script marche fait gagner un peu de temps mais pas assez    
 
Donc deuxième soluce : Faire ce que tu m'as dis knives.
Mais là je ne trouve pas comment gérer les droits. J'ai ajouté un groupe test du domaine dans Config Ordi\Paramètre Windows\Paramètre Sécu\Groupes restreints (tout ça dans les propriètés\Stratégie de groupe de l'unité organisationnelle voulu bien sure). Une fois le groupe fictif mis dedans, je peux ajouté des membres mais je ne vois pas où ajouter ou enlever des permissions !?!?  
 
Juste pour bien expliquer mon problème, Serveur Win2k avec AD, client Win2k, et je voudrais que 200 comptes utilisateurs qui sont dans un seul groupe et une seul unité organisationnelle puisse avoir tous les droits dans la base de registre de l'ordinateur ou être dans le groupe Administrateurs en local.
 
Knives, je continue en potassant sur ta soluce car elle me parait la mieux adapté pour mon problème mais vu le niveau de l'aide sur AD, j'ai vraiment du mal.
 
Merci quand même pour vos soluces les gars    
 
Si vous en avez d'autres (ou si vous pouvez m'éclairer sur les soluces proposés) je suis preneur !!!
 
D'jules

pour ton batch c normal, il faut le placer au niveau ordinateur et pas utilisateur. ca va fonctionner tout de suite mieux avec les droits system.
 
tu sais que tu peux modifier les ACL de la base de registre avec AD? en dessous de "groupes restreints" tu une GPO special pour ca.
 
sinon pour reprendre sur les groupes restreints, il faut modifier ta GPO AD depuis une workstation, la tu pourras ajouter un groupe local que tu remplis comme tu le veux et ca ce propagera sur les compte ordi qui sont sous l'influence de la GPO.
attention, n'oublis pas que ca remplace les comptes dans le groupe que tu definis, donc tout ce qui existe en local va degager et etre remplacé par ce que tu definis dans cette GPO.

J'ai pas encore testé le batch au niveau système mais je vais mis mettre après !!!    
 
Une tite question con, c'est quoi un GPO (je dois surement l'utiliser mais je ne dois pas connaitre son nom !!!   )
 
Pour la base de registre j'ai vu qu'il y avait un onglet, mais je ne veux pas rajouté de clefs car sur tous les postes il doivent avoir le droit de changer car la configuration de chaque poste change un peu. Par contre je ne vois pas ou tu peux modifier les ACL.
 
Sinon pour les groupes restreins je pense que je verrais un peux mieux lorsque je serais ce qu'est un GPO. Pour ce qui existe en local, j'en ai rien à faire, il y a que le compte Admin du domaine.
 
Comment tu modifis la GPO AD, avec mmc.exe sur un poste local ???
 
P.S : Désolé si mes questions te paraisent stupide mais je n'ai jamais vraiment eu de formation sur la stratégie approfondie d'un réseau, donc quand c'est gérer des petits droits et comptes, ça va mais quand c'est plus approfondi, bah des fois je bloque.
 
Merci encore    
 
Djules

Bon je pense un peu mieux comprendre, corrige moi si je me trompe, il faut que je crée un modèle (*.inf) que je mettrai sur le serveur afin qu'il soit déployé sur tous les postes. Pour ce faire, je dois utiliser mmc.exe sur un poste client, un composant logiciel enfichable (configuration et analyse de la sécurité ou utilisateurs et groupes locaux, je ne sais pas encore), le fichier de base de données de sécurité en local (secedit.sdb) et un modèle (*.inf).
 
Maintenant pour le faire et mettre le modèle au bon endroit sur le serveur c'est une autre histoire.
 
Est-ce que c'est ça ou je me plante carrément de direction ???
 
D'jules

GPO = Group Policy Object
ce sont toutes ces regles et parametres que tu configure sous AD en les assignants sur des OU et qui s'appliques sur les comptes ordinateurs et utilisateurs present sous cette OU et les sous OU.
 
l'onglet registre ne sert pas a ajouter une clef mais uniquement amodifier les ACL.
tu ajoute une clef du registre dans la liste et apres tu change les autorisations, ce ne sont que les autorisations qui sont propagées sur les ordi, pas les clefs.
tu dois te loguer sur une machine ou la clef est presente pour pouvoir l'ajouter.
 
il faut que tu install les outils d'administration pour pouvoir acceder a AD depuis un poste, il est sur le CD de ton win server.

j'ai raté cette reponse tiens.  
bon j'ai pas trop compris pis j'ai un peu la fleme la
donc install les outils d'admin qui te donnerons accé aux mmes outils que sur ton server comme j'ai dis au dessus.

Ok knives, merci, normalement les outils d'administrations sont déjà mis sur les postes.
 
Mais il faut que je face comme ce que j'ai dit pour la propagation sur les autres postes ou ça se fait tout seul à partir du poste client (en fonction des droits sur les gourpes associés) ? Après ou ça se voit sur mon serveur ?
 
D'jules

desolé j'ai vraiment pas capté la
 
normalement avec ce que je t'ai donné tu devrais pouvoir t'en sortir.
mais bon a ta place je reviendrais sur l'idee du batch, ca va fonctionner aussi bien et c moin prise de tete.

Entièrement d'accord avec toi pour le batch, je le met sur le compte Admin vu que je dois installer le soft donc ça marche nickel    
 
Mais c'était pour ma culture générale, y'a 2 truc que j'arrive pas à faire :
 
+ Lancer le batch en le mettant dans AD sous les propriètés de l'unité organisationnelle voulu dans computer\...\script au démarrage. ça ne marche pas, surement du au fait qu'en local il n'y a pas de droit avec l'utilisateur ou le groupe system, ça doit venir de là ???    
 
+ Faire ta soluce : je ne vois pas ou et comment on fait ces de droits, mais surtout je ne vois pas comment ça va se propager    
 
Je comprends que tu ai la flème, c'est déjà bien sympa d'avoir essayer de m'expliquer !!!    
 
D'jules

il y a un logiciel d'administration avec le quel tu peux administré tous les postes c'est >ideal administrator< t'as pas besoin d'installé des patch dans les postes cible avec se programme tu peux modifier tous sur les autres postes meme leurs base de registre et il est equipé de vnc viewer qui permet de travail sur la machine comme s'il été devant vous(ajout de dossier, modifier les droit, executé des .exe,...)
----> tu doit avoir un compte admin locale sur chaque poste <----

Merci zikas, je garde ça dans un coin de ma petite tête, mais avec ce soft, il faut toujours que je me tape les 200 postes à la mimine !!!
 
D'jules

wé, mais tu n'aura pas besoin de te déplassé
"ideal administration" et pas "ideal administrator"