Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
943 connectés 

  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  Pour les admins Active Directory : Question GPO

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Pour les admins Active Directory : Question GPO

n°2722322
moi_antoin​e
Apple C'est Bon. Mangez-En.
Posté le 17-09-2007 à 10:17:43  profilanswer
 

Hello!
Voilà, je cherche je cherche mais je trouve pas!
Ma question :
Comment empêcher aux utilisateurs, via une GPO, de gérer les services sur leurs postes de travail ?
Ya des ptits malins qui en arrêtent etc et ca m'énerve!
 
Merci!

mood
Publicité
Posté le 17-09-2007 à 10:17:43  profilanswer
 

n°2722324
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 17-09-2007 à 10:29:50  profilanswer
 

S'ils arrivent a faire ça c'est qu'ils sont admins de leurs postes, commence par corriger ça car tant que ce sera le cas tu pourras difficilement limiter quoi que ce soit de façon fiable.

n°2722325
moi_antoin​e
Apple C'est Bon. Mangez-En.
Posté le 17-09-2007 à 10:31:06  profilanswer
 

Malheureusement ils ont besoin d'etre admin de leur poste.
Mais meme admins de leur poste, ce sont des comptes réseaux donc leurs droits seront sucrés une fois la GPO en place, meme en étant admin local.

Message cité 1 fois
n°2722339
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 17-09-2007 à 11:13:15  profilanswer
 

moi_antoine a écrit :

Malheureusement ils ont besoin d'etre admin de leur poste.

 

Demande toi tres tres fort si c'est vraiment le cas, car y'a vraiment de moins en moins de vraies bonnes raisons pour...

 
Citation :

Mais meme admins de leur poste, ce sont des comptes réseaux donc leurs droits seront sucrés une fois la GPO en place, meme en étant admin local.

 

Mais ils auront toujours beaucoup plus de droits qu'un simple utilisateur sans GPO pour les brider, et si toi tu devrais penser a couvrir tous les angles possibles par GPO pour eviter les conneries, eux n'auront qu'a trouver un seul truc auquel tu n'auras pas penser.

Message cité 1 fois
Message édité par El Pollo Diablo le 17-09-2007 à 11:13:31
n°2722354
moi_antoin​e
Apple C'est Bon. Mangez-En.
Posté le 17-09-2007 à 11:45:39  profilanswer
 

El Pollo Diablo a écrit :


 
Demande toi tres tres fort si c'est vraiment le cas, car y'a vraiment de moins en moins de vraies bonnes raisons pour...
 

Citation :

Mais meme admins de leur poste, ce sont des comptes réseaux donc leurs droits seront sucrés une fois la GPO en place, meme en étant admin local.


 
Mais ils auront toujours beaucoup plus de droits qu'un simple utilisateur sans GPO pour les brider, et si toi tu devrais penser a couvrir tous les angles possibles par GPO pour eviter les conneries, eux n'auront qu'a trouver un seul truc auquel tu n'auras pas penser.


 
Lol. Me suis déja demandé très très fort, mais des applis métiers ont besoin d'accéder à des choses dans la base de registres, donc voilà!
En fouillant j'ai peut etre trouvé ma réponse ! A savoir :
        - Aller dans "Configurations Utilisateur" -> "Modèles d'administration" -> "Composants Windows" -> "Microsoft Management Console" -> "Composants logiciels enfichables restreints/autorisés" puis Désactiver "Services". Cela aura pour effet d'empêcher de lancer "services.msc" à partir du menu "Démarrer -> exécuter"
        - Aller dans "Configurations Utilisateur" -> "Modèles d'administration" -> "Composants Windows" -> "Explorateur windows" puis Activer "Masquer l'élément gérer du menu contextuel windows Explorer".
Cela aura pour effet l'impossibilité pour l'utilisateur d'accéder aux services en faisant un clique droit sur le poste de travail puis sur "Gérer".
 
Je pense que comme ça ca va se compliquer pour eux non?!

Message cité 1 fois
Message édité par moi_antoine le 17-09-2007 à 11:51:41
n°2722361
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 17-09-2007 à 11:51:28  profilanswer
 

moi_antoine a écrit :

Lol. Me suis déja demandé très très fort, mais des applis métiers ont besoin d'accéder à des choses dans la base de registres, donc voilà!

 

Donc voila, mets les droits dont tu as besoin pour les utilisateurs pour les clés de registre concernées, ça se fait tres simplement par GPO.

 
Citation :

En fouillant j'ai peut etre trouvé ma réponse ! A savoir :
        - Aller dans "Configurations Utilisateur" -> "Modèles d'administration" -> "Composants Windows" -> "Microsoft Management Console" -> "Composants logiciels enfichables restreints/autorisés" puis Désactiver "Services". Cela aura pour effet d'empêcher de lancer "services.mmc" à partir du menu "Démarrer -> exécuter"
        - Aller dans "Configurations Utilisateur" -> "Modèles d'administration" -> "Composants Windows" -> "Explorateur windows" puis Activer "Masquer l'élément gérer du menu contextuel windows Explorer".
Cela aura pour effet l'impossibilité pour l'utilisateur d'accéder aux services en faisant un clique droit sur le poste de travail puis sur "Gérer".

 

Je pense que comme ça ca va se compliquer pour eux non?!

 

Bof.
demarrer, executer, net stop nomduservice
 [:spamafote]


Message édité par El Pollo Diablo le 17-09-2007 à 11:52:54
n°2722364
giHefca
occupé à ne rien faire
Posté le 17-09-2007 à 12:05:07  profilanswer
 

S'ils ont le pass du compte administrateur du poste, un petit coup de runas et le tour est joué :)


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  Pour les admins Active Directory : Question GPO

 

Sujets relatifs
Question sur les clients légersQuestion réseau windows / mac
Question sur une licence[internet] question bête
question MS Projectquestion dual boot vista / xp
Virus or not virus ? That is the Question !Question désinstalation norton
[AVAST] Accès aux pages Web impossible si le bouclier web est activé 
Plus de sujets relatifs à : Pour les admins Active Directory : Question GPO

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.041 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR