Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2791 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Poste de travail

  Windows10 et compte admin

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Windows10 et compte admin

n°149391
jam1
Posté le 13-10-2017 à 15:37:10  profilanswer
 

Salut, petite question sur votre façon de procéder avec un parc sous Windows 10. Actuellement nous sommes sous Win7 avec un AD et le compte administrateur local est activé avec un mot de passe sur tous les pc.
L'UAC est activé donc ce compte sert à dépanner les users et surtout quand un pc sort du domaine.
 
Sous windows10, vous utilisez le vrai compte administrateur local ou un autre compte local qui a les droits admin?
 
Merci d'avance

mood
Publicité
Posté le 13-10-2017 à 15:37:10  profilanswer
 

n°149395
Je@nb
Modérateur
Kindly give dime
Posté le 13-10-2017 à 17:38:36  profilanswer
 

bah si tu as un ad tu utilises un compte du domaine qui a les droits d'admin

n°149403
jam1
Posté le 16-10-2017 à 09:38:21  profilanswer
 

Bonjour, oui mais quand tu sors le pc du domaine il te faut un compte pour pouvoir ouvrir une session en local.

n°149404
Je@nb
Modérateur
Kindly give dime
Posté le 16-10-2017 à 09:49:48  profilanswer
 

on le sort pas du domaine et non on utilise jamais le compte builtin administrateur

n°149406
ShonGail
En phase de calmitude ...
Posté le 16-10-2017 à 12:12:32  profilanswer
 

Perso, le compte administrateur local est désactivé sur les postes clients.
 
Si le poste vient à sortir du domaine :
- soit c'est de mon fait et je le réactive ou j'en crée un autre temporaire avant de sortir le poste du domaine.
- soit c'est du fait de l'utilisateur. Il a merdé. Dans ce cas, je réactive le compte avec un live CD pour ouvrir une session locale et le remettre dans le domaine.

n°149512
jam1
Posté le 20-10-2017 à 10:09:09  profilanswer
 

Salut, alors déjà notre système de déploiement fait qu'un pc n'est pas dans le domaine suite au déploiement de l'image donc il nous faut ce compte local admin. Ensuite il nous arrive que des pc pour je ne sais quelle raison se retrouve hors du domaine mais pas complétement, ce qui nécessite une réelle sortie du domaine pour le re-rentrer donc créer un compte temporaire local a chaque fois ca va être pénible.

n°149513
ShonGail
En phase de calmitude ...
Posté le 20-10-2017 à 10:14:02  profilanswer
 

Afin de joindre le domaine, tu peux ouvrir une session locale avec un compte membre du groupe des administrateurs sans pour autant utiliser le compte "administrateur".
Il faut mieux désactiver ce compte.
 
Concernant les postes qui sortent seuls du domaine, il faudrait investiguer sur la cause.

n°149514
jam1
Posté le 20-10-2017 à 14:01:50  profilanswer
 

Oui en fait ma question c'était ça, vaut il mieux le vrai compte admin ou un compte qui a les droits admin.

 

Pour le problème des pc qui sortent du domaine, je suis bien d'accord mais tout est question de priorité et ça n'en n'est pas une actuellement

 

Merci


Message édité par jam1 le 20-10-2017 à 14:02:00
n°149694
Choumi
Posté le 03-11-2017 à 11:44:21  profilanswer
 

ShonGail a écrit :

Perso, le compte administrateur local est désactivé sur les postes clients.
 
Si le poste vient à sortir du domaine :
- soit c'est de mon fait et je le réactive ou j'en crée un autre temporaire avant de sortir le poste du domaine.
- soit c'est du fait de l'utilisateur. Il a merdé. Dans ce cas, je réactive le compte avec un live CD pour ouvrir une session locale et le remettre dans le domaine.


 
Même désactivé le compte administrateur (builtin) local reste actif/utilisable lorsque l'on démarre le pc en mode sans échec (le live cd est inutile).


Message édité par Choumi le 03-11-2017 à 11:44:46
n°149751
klemo
take a deep breath
Posté le 07-11-2017 à 13:44:50  profilanswer
 

Je me permets de poster ici,
 
Pour info pourquoi il ne faut pas utiliser le compte bultin administrateur?
 


---------------
I usually only break the G-string
mood
Publicité
Posté le 07-11-2017 à 13:44:50  profilanswer
 

n°149752
dims
if it ain't brocken, mod it !
Posté le 07-11-2017 à 13:46:17  profilanswer
 

le SID du compte est le même partout.
donc vecteur d'attaque simple

n°149754
klemo
take a deep breath
Posté le 07-11-2017 à 13:57:11  profilanswer
 

merci!


---------------
I usually only break the G-string
n°149761
klemo
take a deep breath
Posté le 07-11-2017 à 14:49:08  profilanswer
 

Dans le cas un clonage de machine (avec FOG par exemple).
 
Si je créé un compte dans le groupe admin, il aura aussi le meme SID sur toutes les machines clonées, donc le problème est le meme.


---------------
I usually only break the G-string
n°149762
aurel25000
Posté le 07-11-2017 à 15:08:33  profilanswer
 

Tu peux faire une GPO qui désactive ton compte administrateur une fois le domaine joint, et qui créée un compte local, qui sera admin local de la machine.
Comme ça si tu sors du domaine tu as toujours ce compte.
Sinon quand tu as un problème de relation d'approbation, tu peux suivre l'assistant "identité sur le réseau" plutôt que de sortir le pc du domaine pour le remettre, ça t'évite un reboot.

n°149765
Je@nb
Modérateur
Kindly give dime
Posté le 07-11-2017 à 16:00:17  profilanswer
 

klemo a écrit :

Dans le cas un clonage de machine (avec FOG par exemple).

 

Si je créé un compte dans le groupe admin, il aura aussi le meme SID sur toutes les machines clonées, donc le problème est le meme.


Dans la vrai vie on fait pas ce genre de trucs

n°149766
klemo
take a deep breath
Posté le 07-11-2017 à 16:04:42  profilanswer
 

Je@nb a écrit :


Dans la vrai vie on fait pas ce genre de trucs

 

Fog ou le compte admin local?

 

ou les 2?


Message édité par klemo le 07-11-2017 à 16:05:29

---------------
I usually only break the G-string
n°149767
nebulios
Posté le 07-11-2017 à 16:06:24  profilanswer
 

Les deux.

n°149770
klemo
take a deep breath
Posté le 07-11-2017 à 16:38:28  profilanswer
 

du coup dans la vraie vie on fait comment?

 

SCCM? pas le budget.

 

MDT, déja expérimenté, on a des logiciels scientifiques pesant pour certains plusieurs dizaine de gigas, avec des configurations précises c'est une usine à gaz.

 


Message édité par klemo le 07-11-2017 à 16:38:40

---------------
I usually only break the G-string
n°149982
akizan
Eye Sca Zi
Posté le 14-11-2017 à 14:44:53  profilanswer
 

aurel25000 a écrit :

Tu peux faire une GPO qui désactive ton compte administrateur une fois le domaine joint, et qui créée un compte local, qui sera admin local de la machine.
Comme ça si tu sors du domaine tu as toujours ce compte.
Sinon quand tu as un problème de relation d'approbation, tu peux suivre l'assistant "identité sur le réseau" plutôt que de sortir le pc du domaine pour le remettre, ça t'évite un reboot.


 
+1  
nous on fait comme ça. chaque compte admin local à un mot de passe spécifique et on a un outil dispo aux admin qui donne le pass du pc en question.
c'est pratique :p

n°170325
shlomi
Posté le 08-07-2020 à 15:09:46  profilanswer
 

Bonjour je voudrai savoir quelles sont les spécificités de la GPO en question.
 
Merci

n°170326
Lanstack
Posté le 08-07-2020 à 16:22:34  profilanswer
 

il faut utiliser LAPS


---------------
« Mais j'vous jure, y'a dix minutes, ça marchait très bien... »  
n°170334
benos
petit poney___
Posté le 08-07-2020 à 23:07:37  profilanswer
 

Lanstack a écrit :

il faut utiliser LAPS


+1 mdt intègre au domaine et tu rajoutes une couche de LAPS.  
 
Si besoin, t’as un groupe ad/user admin local pour dépannage.  
 
Pour les softs scientifiques spécifiques.. tu déploies sur chaque machine ? Tu peux capturer une image pour tes  scientifiques  et une image pour tes secrétaires :D


---------------
:o
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Poste de travail

  Windows10 et compte admin

 

Sujets relatifs
GPO suppression de l'utilisateur du groupe AdminAudit de compte sur Active Directory
[Résolu]Accès refusé à plusieurs dossiers à l'admin du domaine (W2K12)Gpo ordinateur qui n'est pas prise en compte
problème d 'attributs Active Directory pour créations de compteExecuter un programme sans demander le mot de passe Admin
Droits Admin pour installer logicielFermer sessions RDS sans droits admin
Self Service déverrouillage compte / réinitialisation mot de passe AD 
Plus de sujets relatifs à : Windows10 et compte admin


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR