Bonjour à tous,
 
mon admin syst & réseau n'est actuellement pas présent, et j'ai un presta qui va venir combler cette absence. Et moi le système c'est pas mon truc
 
Cependant je ne veux pas lui donner des droits trop étendus, ni lui donner le mdp du super root.
 
j'ai une foret MS AD 2012
 
Quels droits dois je donner pour que le presta puisse :
- déverrouiller des comptes  utilisateurs (mais pas pouvoir toucher les groupes, droits etc..)
- se connecter sur les postes utilisateurs et avoir accès au rôle d'admin local (mais avec son login issu de l'AD), afin d'effectuer installation programme, modifiation de driver, et toute autre joyeuseté
- Pouvoir se connecter sur certains serveurs qui gèrent applicatifs (mais pas tous les serveurs non plus) - arreter/redémarrer les services ...
 
merci pour votre aide
 
(j'ai honte de poser la question , mais j'en ai vraiment besoin)
 

Il te faut une délégation AD.
 
Donc soit tu le fais proprement et c'est un projet qui prend quelques semaines/mois
 
Soit tu le fais en mode dégeu :
Déverrouiller les comptes -> configurer la permission ad hoc via la MMC
Connexion aux comptes utilisateurs/certains serveurs -> créer deux groupes admin et les configurer en tant que local admin par GPO (par ailleurs configurer un compte local admin de tous les postes de travail n'est pas sécurisé du tout).
Ca te dépannera, mais au retour tu te fais empaler par ton admin système  

Par GPO je peux indiquer que mon tech soit local admin de tous les PC ? (sauf serveurs que je ferai à la mimine et au besoin)
 
Mon admin n'avait qu'à pas tomber malade

Par GPO tu peux indiquer que tel groupe AD (dont ton presta sera membre) est membre de tel groupe built-in (les groupes créés par défaut dur une machine, ce qui inclus "Administrateurs" ). Regarde dans l'option "Groupes restreints".

Voila, Nebulios a tout dit, pour la gestion des droits sur l'ad, une délégation de controle , pour les droits d'admin, une GPO pour faire redescendre ton admin dans le groupes administrateurs des machines. Si tu veux le chemin exact pour la gpo dis-le moi car je procède ainsi pour l'un de mes réseaux.  
 
Par contre je comprends pas pourquoi tu parles de plusieurs semaines voire plusieurs mois nébulios car pour moi c'est plutot simple au contraire une délégation de controle.

Parce que j'ai tendance à penser grande société, où ce type de changement implique des problématiques organisationelles et politiques fortes (en plus de la technique).

 
Oui ça m'intéresse stp.
 
merci d'avance

Salut,
 
Configuration ordinateur
Stratégies
Paramètres Windows
Paramètres de sécurité
Groupes restreints
MON_DOMAINE\Groupe_AD  BUILTIN\Administrateurs

Voila !
 
il existe aussi une autre méthode  :  configuration ordinateur > preferences > parametres du panneau de configuration > utilisateurs et groupes locaux > nouveau groupe , et la tu choisis le groupe administrateurs intégré (builtin) et tu peux ajouter ton user dedans.  
 
Les deux fonctionnent mais il me semble que M$ recommande la première méthode.

La seconde est un peu moins sécurisée.

sujet qui m interesse aussi, faudrait que je demande à mes collegues comment on fait chez nous, je trouve étonnant qu il y ait autant de domain admin sur AD...

Les domain admin devraient se compter sur les doigts d'une main dans un grand groupe et devraient être 2 max dans des petites structures ...
et bien évidemment avec un compte différent que celui qu'ils utilisent tous les jours

compte admin différent, c est bon.
Dans AD, on a pour chq utilisateur les tabs MemberOf et aussi Security.
MemberOf defini les groupes et donc les droits de l utilisateur.
Security, c est à l envers, cad quel groupes ont des droits sur mon compte. J ai eu peur au début qd j ai vu DomainAdmins là dessus.
http://www.windows-active-director [...] ctory.html