Bonjour à tous,
Savez vous si il est possible et si tel était le cas comment faudrait faire pour donner les droits d'admin à un user sans qu'il soit réellement un admin.
Je m'éxplique je voudrais éviter qu'on m'appel toute les 5 minutes parceque bidule peut pas installer un soft ou parceque machin peut pas faire celà enfin un user de base à pas mal de restriction j'aimerai qu'il soit plus libre mais pas non plus qu'il puisse se trimbalait n'importe ou sur le réseau avec son login et password.
En gros qu'il soit admin de son postes mais pas du reste.
Et aussi j'aimerai éviter de passer sur tous les postes pour ajouter un user local
 
J'ai regardé au niveau des GPO je vois pas grand chose qui pourrait me permettre ca.
 
Merci d'avance
 
reeves77

ben tu mets son compte admin local de la machine
 
edit : oups

 
J'aimerai éviter parceque si tu as 100 machines tu dois passer sur 100 machines enfin c'est pas possible

Il faut que chaque utilisateur soit admin de sa propre machine, ou bien tous tes utilisateurs peuvent être admins de tous les postes de travail ?

moi ce que je comprend c'est que chaque users doit etre admin de sa propre machine et pas de celle des autres, d'ou la difficulté via GPO...
 
soit dit en passant, leur donner les droit admin locaux est une mauvaise idée.... certes tu seras moins solicité pour installer tel ou tel truc mais derrière bonjour les emmerdes s'ils font n'importe quoi. L'un dans l'autre je suis pas sur que tu seras gagnant, pour moi la regle d'or de tout IT qui se respecte, c'est de pas mettre les users en admin.

Tout d'abord merci de vos réponses.
Enfaite ils ont ou plutot ils vont tous avoir un user itinerant car même si ils ont tous leur machine attitré, il y a certaines machines qui sont utilisées par tout le monde. Mise à part les secrétaires à qui je restreint un peu les droits sinon elles installent n'importe quoi les autres ils doivent être libre sur leur machine. Celà vient de mon chef qui ne souhaite pas que mes collègues soit restreint et puis ils ne sont pas stupide à installer tout un tas de conneries, ils font relativement attention donc c'est pour celà que leur droit ne doivent pas être restreint. Donc quand je dit qu'ils doivent être "admin" bien entendu je souhaite pas qu'il puisse tout faire sur le réseau. Mais je veux que sur leur machine il puisse être tranquille et ne pas être obligé de m'appeller toutes les 5 minutes pour faire ce qu'ils veulent. Surtout que je suis encore en formation donc 1 semaine sur 4 je suis pas là. Maintenant je ne souhaite pas qu'il puisse se balader sur le dossier du collègue ou des trucs du genre.
 
Si celà n'est pas possible j'aimerai au moins qu'ils aient les principaux droits sans qu'ils m'appellent tout le temps. Et je n'est pas trouver ca dans les GPO

oui bah le principe des droits admin locaux c'est qu'ils feront ce qu'ils veulent sur leur machine (si c'est vraiment ça que tu veux) maintenant si plusieurs personnes partagent un pc, ils pourront aller fouiner sur les dossiers des autres sur ce meme pc..... en local, j'insiste.

Pour le rezo ça n'a rien a voir, evidement qu'ils ne pourront pas aller chez les autres, admin local ne veut pas dire admin du domaine... apres c'est une question de gestion de droits et de partage.

Sinon eventuellement tu peux definir un mot de passe admin local pour toutes les machines, ils se rajoutent admin local (leur login de session) et puis ils changent eux meme le mdp pour ne pas que les autres puissent avoir les droits mais ça veut dire que tu ne sauras plus quel est ce mdp, en meme temps si tu leur donne ce droit ils pourront de toute façon le changer.

RDV dans 6 mois pour nous demander comment retirer les droit admin locaux pour tous ces pc  

Un petit script VBS qui va bien :
 

 
Tu crées une GPO Ordinateur sur l'OU de tes PC, qui va lancer ce script VBS en ouverture de session ordinateur. En paramètre, tu mets le groupe d'utilisateurs à qui ouvrir les droits en local. Dans ton cas, tu mettras : tondomaine\Utilisa. du domaine
 
Prochain reboot des PC : le groupe Utilisa. du Domaine sera ajouté au groupe Administrateurs local de tous tes PC.

 
Justement je voudrais éviter le fait qu'il aillent fouiner dans les dossiers du collègue.
Apparement c'est pas possible de faire comme je l'aurai voulu.
Je vais essayer de trouver un autre moyen.
En tout cas à tous merci
 
Sinon pour le RDV dans 6 mois je sais quand meme retirer les droits admin locaux . La je cherchai une solution pour contourner mon problème mais apparement il y en a pas.
 
A+
 
reeves77

 
Ton script est bien mais mettre le groupe domain users ne répond pas à sa question puisqu'il veut que seul l'utilisateur de la machine soit admin et pas ses potes.
Pour assigner domain users au groupe d'admin comme ça tu peux passer par les groupes restreints d'une gpo ordinateur qui fait exactement pareil.
 
Pour répondre à la question initiale je pense que le mieux est d'avoir un fichier de script couplé à un fichier cvs (contenant le couple ordinateur/utilisateur) qui assignera sur chaque pc l'utilisateur correspondant. Ce script soit il assigne pour tout le monde (en se connectant sur chaque pc) soit via une gpo ordinateur où il va chercher dans le fichier cvs l'utilisateur qui doit aller dans son groupe admin et l'assigne.

Il a dit aussi que les gens passaient d'un PC à un autre. Il faut donc qu'ils soient admins de tous les postes auxquels ils auront accès.

Je vous remercie de vous décarcasser pour mon soucis mais enfaite je pense qu'il est impossible de faire se que je pense...ou alors super compliquer.
Le plus simple sera de leur donner le pouvoir (via GPO) de faire certaines tâches comme installer / desinstaller car c'est principalement la première cause.
En tout cas merci à tous

Tu as le groupe utilisateur avec pouvoirs qui peut faire ce genre de choses (sauf certains programmes qui requiert vraiment le droit administrateur)

Bonjour,
 
moi je pence que tu devrais retourné a IEF2I voir Boris ... lol
 
Sinon je ne sais pas si un script pourrait le faire, mais ce n'est pas forcément le mieux qu'il est tous acces en admin.

 
Clochard va. ton message il sert à rien.En plus tu me dis ca alors que à ta boite ils sont tous en admin sur leur machine
 
(hs on) A samedi mec ciao(hs off)

c'est la mode dans le 77 ?

 
C'est ce que je ferais aussi dans l'extrême limite.
 
Mais bon, comme dit xanack, par mesure de prudence, c'est tolérance zéro sur les droits d'installer quoi que ce soit pour des utilisateurs.
 
Tu devrais plutôt dire à tes users que la prochaine fois, ils ne viennent pas te déranger pour installer truc, machin ou bidule : c'est NIET ! Sauf dans le cadre d'un déploiement, ou alors quand le programme est vraiment nécessaire à la production.

apres ça depend des users mais perso c'est une boite d'informaticiens... au depart ils avaient ces droits, on a vu ce que ça donnait (tunnel pour bypasser le proxy, offcie 2007 beta, photoshop 12 et cie...), a l'arrivée on a coupé zezette, ça a ralé et depuis etrangement le serveur antivrirus s'est calmé, le rezo est plus fluide et on ghost plus tous les 3 mois...

Bref : tout sauf des programmes servant à l'objet réel des utilisateurs .

Ouais je pense que je vais mettre dans le groupe avec pouvoir.mais ils ont quoi exactement comme pouvoir à la base?
Car encore à l'instant même mon chef me demande pourquoi machin peut pas faire tel truc avec son PC...

Tu as reçu un minimum de formation sur active directory et win server 2000/2003 ? Je te sens perdu là .
 
Le groupe avec pouvoir n'a aucun droit sur la modification du noyau système en local. Par contre, il peut installer des programmes à condition que ceux-ci ne remettent pas en cause le noyau, les droits administratifs, la group policy ou tout autre élément à la discrétion du compte root local.
 
Un simple programme comme The Gimp ça passe avec des droits "groupe avec pouvoir" (il s'installe dans son répertoire d'installation sous program files et créer la bibliothèque GTK+ dans le compte du user). Un anti-virus permanent, ça ne devrait pas passer (services système à créer etc ...)

faut lui expliquer a ton chef.... un service informatique fonctionne avec un minimum de securité, la performance, la stabilité passe par là... maintenant si c'est journée porte ouverte tous les jours, il sera le premier a te blamer parce que c'est le bordel.
Si t'es inquiété un jour pour un problème de license (ce n'est qu'un exemple parmis pleind'autres), tu seras le responsable, c'est bien beau d'etre sympa avec tout le monde mais l'experience prouve que c'est rarement payant, au contraire....

 
Oui comme tu dit un minimum, il n'écoute pas Boris aussi Reeves77 ...
 
Plus sérieusement c'est vrai que c'est chaud de tout sécurisé en permettant au utilisateurs de faire tout se qu'il ont besoins.
A part l'installation par package MSI comment peut on installer et avoir les droit nécessaire a toutes les applications atypique sans leur donné des droit d'admin sur les machines???

faut faire un ghost avec tout ce dont ils ont besoin... apres au coup par coup si vraiment c'est necessaire ou bien si ya pas de msi, ya toujours moyen de deployer via script (kix par ex)... bon certes c'est pas pratique au depart mais a l'arrivée, beaucoup moins d'emmerdes...

 
Il faut donc que toutes les machines est le meme matérielle, puis faire un changeSID non?
Et si configuration pas pareille lol ... galère quoi

bah en general dans une boite ya pas 36 modeles de pc.... perso il doit y en avoir 5 ou 6, le ghost prend 20/machine.  Pour le SID oui tu as raison mais ya des tool pour ça.
Au pire tu les laisse en admin deux jours le temps qu'ils installent ce "qu'ils veulent"... puis tu coupes zezette... mais bon je veux pas vous forcer la main, hein.. c'est vous qui voyez  

 
Oui j'ai recu une bonne formation mais c'est vrai que j'ai pas tout retenu. Et puis à mon avis j'ai nettement moins d'experience que toi. J'en suis sur que toi aussi y'avait des trucs tout bete que tu savai pas faire.
 
Donc c'est pas que je suis perdu c'est que j'arrive dans une société ou je dois tout reprendre à zero et y a tellement à faire que des fois je sais même pas par quoi commencer. Et des fois des trucs tout bête j'oublie comment faire, parceque je pense tellement à d'autre truc qu'il faut que je fasse, et savoir comment, que j'en oublie la base. Et voilà pourquoi après il y a des question comme celle que je pose. J'ai pas vraiment le temps de me poser pour y réflechir.
 
Ils veulent avoir des droits je leur met et j'ai confiance en mes collègue. Je leur fait un dossier à chacun pour qu'il puisse y mettre des fichier à eux il m'ont tous répondu "a mon avis je m'en servirai pas si j'ai des trucs perso sa sera chez moi pas ici". Et en plus il écoute, mon chef dis pas de MSN pendant les heures de boulot et tu veras jamais un msn ouvert pendant leur travail, mise à part moi.
 
Enfin bon tout ca pour dire je leur fait confiance. Il feront pas n'importe quoi
 
Mon chef m'a dit ils ne doivent pas être restreint, je fais ce que mon chef veut.
 
Après je sais que c'est pas serieux et tout et tout. Mais je vais pas non plus leur créer des comptes admin.
Moi j'aurai voulu qu'il puisse installer des soft, les supprimer, meme pour installer flash player je suis obligé d'etre là.
 
Mais je trouve pas de GPO me permettant de les laisser le droit de faire ces quelques petit trucs
 
 

 
Je te rassure, j'en ai pas plus que toi . Mais bon, je ne m'occupe pas de serveurs ni d'AD non plus.
 
En fait, comme te le dit xanack, il faut que tu fasses attention car tu marches sur des oeufs, vu que tu es responsable dans ta boite : au moindre problème, c'est toi qui saute, pas ton chef . Si j'étais toi, je resterais extrêmement rigoureux sur la façon dont les utilisateurs manipulent leur machine. Il vaut mieux être restrictif que d'être trop cool car on ne latte pas les gens qui jouent la carte de la sécurité extrême : alors qu'une personne permissive qui a laissé des utilisateurs infecter le réseau tout entier avec trop de droits (et paralyser tout l'outil de production), c'est la porte assurée .

Pour une grosse boite OK mais quand on est 10 meme si la boite va évoluer puisque en 2 mois l'effectif à doubler.  
Si tu veux dans la boite je suis en contrat de professionalisation, en gros je suis en formation afin de devenir professionnelle. Mon chef lorsqu'il m'a embauché c'était d'une pour pas payer trop cher, 2 garder un esprit jeune dans la boite et éssayer de mettre sur pied un réseau.  
Mais il savez aussi qu'il avait pas en face de lui un mec avec 20ans d'experience. J'ai plusieurs projet que je dois réaliser en 1an.
Mettre en réseau la société car avant mise à part un routeur et 3 pc branché dessus pour avoir internet c'était tout.
 
Là j'ai installer un serveur de DNS, Fichier, DHCP  plus tard un accès VPN, integrer une solution de sauvegarde, ré-actualiser le materiel info, faire le necessaire pour qu'il est un accès VOIP et c'est pas juste appeller un mec et dire voilà je veux pouvoir faire de la voip dans la boite, remettre toute les licence legal, leur proposer et trouver des logiciel de gestion simple pas trop cher et capable de faire beaucoup, trouver des solution pour informatiser la saisie des commande qui est encore sur papier, proposer une solution antivirus puissante et pas trop cher, un bon firewall, enfin bon vous l'avez compris il faut tout refaire de A à Z.  
 
Donc je dis pas ca pour me la raconter parceque y a rien d'extraordinaire mais honnetement il est loin d'être con et me virer parceque un mec n'a pas fait ce qu'on lui à dit. Surtout que je lui est expliquer dejà tout ca sur la securité il m'a dit ouais ouais mais y a pas de soucis si y a un mec qui fait une connerie j'irai le voir.

Sinon tout en restant conscient de tout ce que t'ont dit les autres forumeurs, pourquoi ne pas leur montrer la manip "executer en tant que.." et leur donner le mot de passe Admin de la machine locale ?

Ton idée est pas mauvaise mais un exemple tout bete par exemple pour installer via les liens web pour unstaller par exemple activeX ou macromedia flash tu peux pas dire executer en tant que...

Tu peux lancer Internet Explorer en tant que ... et installer ton ActiveX

ça revient au meme..... ça leur fait juste des manip a faire en plus. C'est un cache misere (effectivement le groupe admin local ne contiendra pas le user en question)

J'ai pas dit que c'était propre, ca non
Il finiront par toujours lancer IE en mode Admin pour se ramasser des virus et tes petits déplacements de 10 minutes se transformeront en galères
Mais bon si tu leur fais confiance ...

moi je dis, laissons le faire.... et on en reparle dans 6 mois. J'etais pareil a mes debut en tant qu'IT, cool avec tout le monde, trop meme.... j'ai changé  

Donc pour etre propre il ne faut pas qu'il est de droits admin.
 
Et si Robin des bois installais VNC sur les postes, quand un utilisateur veut un nouveau logiciel, il fait la demande par mail, puis a distance robin des bois installe en temps qu'admin.
 
Je pence que le mieux serait de regrouper les installe et les publier avec des GPO...mais 50% des logiciels a installer ne sont pas en MSI...
 
signer : spiderman
hs : mon coco j'ai sortie une new TD et une new TD+

pas besoin de vnc pour prendre la main sur un client, avec windows c'est tout a fait possible.
Le mieux est de se prendre la tete une bonne fois pour toute avec toutes les applis necessaires a la prod et apres on en parle plus. tu vas pas me dire que tu vas installer un nouveau logiciel toutes les semaines ?

Ba je pense que la plus part des demande pour l'installe de soft se fera surement dans la semaine à suivre mais je suis en formation et 1 semaine sur 4 je suis pas à ma boite. Si durant cette période comme par hasard une personne à besoin d'installer un soft, je pourrai pas leur installer à distance surtout que le centre de formation ou je suis bloc tout les ports et impossible de sortir. Mezos pourra vous le confirmer
 
Et c'est une fois de plus mon chef qui va me tomber dessus en me disant. Comment sa se fait qu'on peut pas installer le logiciel. Pour lui c'est pas de la sécurité c'est un travail mal fait, le fait qu'il puisse pas installer un soft tout seul et c'est surtout un manque de confiance en tes collègues.
Après nous qui travaillons surement tous dans des service info on voit ca autrement, par experience ou parceque tu connais quelqu'un à qui c'est arrivé...
Comme l'a dit quelqu'un au debut, je crois, la regle d'or de tout IT qui se respecte, c'est de pas mettre les users en admin.
Mais certain IT son obligé comme par exemple Mezos77.
Et il y en a d'autre.
 
Moi tout ce que je voulais c'est trouvé une solution qui permettrai de laisser un user de mettre à jour un pilote, ou encore installer un soft, enfin des taches que je dirai courante. Et je voulais savoir ou pouvais se trouver cette fonction parceque je ne l'a trouve pas

c'est moi qui ai sorti cette phrase, je persiste et je signe... mais bon dans ton cas, a priori c'est la mer a boire.... donc ne tournons plus en rond, tu as les tenants et aboutissants, a toi de jouer.  Bon courage.

Un amis informaticien (50ans) me dit aussi comme beaucoup d'informaticien (et moi meme je le dit lol : surtout pas les user en admin !
 
Mais dans ma boite il y as des logiciel propriétaire devellopper par la boite elle meme, je ne vos aucune solution a part qu'il soit admin !
 
Sinon pour avancé dans le sujet, comment feriez vous pour que les user soit systematiquement admin locaux de tous les postes, sans etre admin sur le domaine? (et sans configuré chaque poste user avec tous les utilisateur en admin)
 
J'pence qu'il y as forcement une solution, yen as toujours