Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1344 connectés 

  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  [Windows 2003] Des comptes admin pas vraiment admin !

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Windows 2003] Des comptes admin pas vraiment admin !

n°2929330
RabzorGT
│RabzorGT®│ - Linux'zgood
Posté le 12-02-2010 à 14:26:49  profilanswer
 

[:banguy]  à tous

 

C'est simple, je crée un compte sur l'AD, je l'ajoute à un groupe administrateur, puis je me log sur un PC client XP pro avec ce compte là.

 

Résultat : Je suis reconnu en tant qu'utilisateur classic sur ce PC client .. avec toutes les restrictions qui vont avec (impossible d'ouvrir le gestionaire de périfs ect..)

 

J'ai fait un test en étant toujours loggé avec ce même compte, en essayant d'accéder à un dossier partagé sur le réseau (accessible uniquement par un groupe d'admin) là aucun problème, je suis reconnu comme admin et j'ai tous les droits sur ce dossier partagé.

 

Quelqu'un a une idée svp ?

 

J'ai testé plein de chose dont l'ajout de mes groupes administrateurs dans le paramètre "permettre l'ouverture de session localement", GPO ect.. mais rien n'y fait.
J'ai un autre compte administrateur sur un autre serveur 2003 (au quel je n'ai pas accès) et là quand j'ouvre une session avec mon compte admin, je suis vraiment admin de mon PC je peux tout faire.

 

help plz


Message édité par RabzorGT le 12-02-2010 à 14:41:49

---------------
[VDS] Zalman, CG, HDD, P4 3.2Ghz, Switch .. - [FeedBack] [8800GTX]
mood
Publicité
Posté le 12-02-2010 à 14:26:49  profilanswer
 

n°2929333
Je@nb
Modérateur
Kindly give dime
Posté le 12-02-2010 à 14:32:26  profilanswer
 

tu ajoutes ton utilisateur au groupe admin de ton xp ? si non c'est normal que ça marche pas :/

n°2929335
RabzorGT
│RabzorGT®│ - Linux'zgood
Posté le 12-02-2010 à 14:34:45  profilanswer
 

Non du tout les manip sont faites sur l'AD sinon aucune utilité de serveur autrement :/

 

PS : J'ai édité mon premier post pour que ce soit plus claire


Message édité par RabzorGT le 12-02-2010 à 14:39:27

---------------
[VDS] Zalman, CG, HDD, P4 3.2Ghz, Switch .. - [FeedBack] [8800GTX]
n°2929337
Je@nb
Modérateur
Kindly give dime
Posté le 12-02-2010 à 14:42:02  profilanswer
 

Bah si. L'AD ça sert à centraliser l'auth en premier.
Le groupe administrateur de ton xp est local au XP.
 
Par défaut seul l'utilisateur Administrateur local et les membre du groupe du domaine Domain Admins sont membre du groupe local Administrateurs.
 
Si tu veux rajouter/centraliser ça, faut configurer des GPOs

n°2929339
RabzorGT
│RabzorGT®│ - Linux'zgood
Posté le 12-02-2010 à 14:43:52  profilanswer
 

Même le groupe administrateurs du domaine et administrateurs de l'entreprise ??

 

Si j'ai bien compris, sur mon serveur si j'ajoute user1 par exemple au groupe "administrateurs"  il ne sera pas admin du PC sur lequel il se loggera ?


Message édité par RabzorGT le 12-02-2010 à 14:46:01

---------------
[VDS] Zalman, CG, HDD, P4 3.2Ghz, Switch .. - [FeedBack] [8800GTX]
n°2929340
Je@nb
Modérateur
Kindly give dime
Posté le 12-02-2010 à 14:52:36  profilanswer
 

Ouvre ton XP et regarde qui est membre du groupe local administrateurs.
Normalement il y a l'utilisateur Administrateur, le groupe du domaine domain admins (et d'autres personnes si tu en as rajouté)

n°2929342
RabzorGT
│RabzorGT®│ - Linux'zgood
Posté le 12-02-2010 à 15:02:13  profilanswer
 

Effectivement j'ai ça, mais comment permettre (quel parametre GPO ) à mes utilisateurs d'être admin du PC surlequel il se logg ?


---------------
[VDS] Zalman, CG, HDD, P4 3.2Ghz, Switch .. - [FeedBack] [8800GTX]
n°2929344
Je@nb
Modérateur
Kindly give dime
Posté le 12-02-2010 à 15:05:30  profilanswer
 

gpo ordinateur utilisateurs restreints

n°2929348
RabzorGT
│RabzorGT®│ - Linux'zgood
Posté le 12-02-2010 à 15:20:57  profilanswer
 

Oki, tu parlais des groupes restreint je suppose. J'avais déjà fait un tour par là avant.

 

J'ai pas compris le principe .. un groupe restreint n'est pas censé avoir tel ou tel doit, si j'ajoute mon groupe admin de l'entreprise dedans ca va le priver ou l'autoriser à être admin du PC ?

 

dans tous les cas j'ai créé une GPO, avec ou sans le group admin ca ne change rien sur le PC client.

 

J'ai bien sur fait un gpupdate à chaque modif c'est suffisant pour mettre à jour la stratégie ?

 

J'ai aussi pensé à désactiver la session caching, il doit surement reprendre le profil local précédemment créé peut être .. non ?


Message édité par RabzorGT le 12-02-2010 à 15:22:32

---------------
[VDS] Zalman, CG, HDD, P4 3.2Ghz, Switch .. - [FeedBack] [8800GTX]
n°2929349
ZeMuf91
Spanking is fun
Posté le 12-02-2010 à 15:24:07  profilanswer
 

Tu restreins le groupe "untel" à avoir le droit d'être membre du groupe admin local.
Utile pour être sur que des utilisateurs pénibles ne s'ajouteront pas en administrateurs de la machine.

 

Fais gpresult pour voir quelles gpo sont appliquées.

Message cité 1 fois
Message édité par ZeMuf91 le 12-02-2010 à 15:24:28

---------------
"I choose a lazy person to do a hard job. Because a lazy person will find an easy way to do it" Bill Gates
mood
Publicité
Posté le 12-02-2010 à 15:24:07  profilanswer
 

n°2929351
Je@nb
Modérateur
Kindly give dime
Posté le 12-02-2010 à 15:26:20  profilanswer
 

Ca fonctionne de 2 façons :
- tu forces un groupe à être membre de tel groupe
- tu forces un groupe à contenir que tel groupe

n°2929353
RabzorGT
│RabzorGT®│ - Linux'zgood
Posté le 12-02-2010 à 15:27:31  profilanswer
 

ZeMuf91 a écrit :

Tu restreins le groupe "untel" à avoir le droit d'être membre du groupe admin local.
Utile pour être sur que des utilisateurs pénibles ne s'ajouteront pas en administrateurs de la machine.
 
Fais gpresult pour voir quelles gpo sont appliquées.


du domaine ? de l'user ? du PC ?


---------------
[VDS] Zalman, CG, HDD, P4 3.2Ghz, Switch .. - [FeedBack] [8800GTX]
n°2929354
ZeMuf91
Spanking is fun
Posté le 12-02-2010 à 15:28:26  profilanswer
 

RabzorGT a écrit :


du domaine ? de l'user ? du PC ?


Tu restreins le groupe local au PC ( administrateurs par exemple ) à ne contenir que certains comptes/groupes du domaine.


---------------
"I choose a lazy person to do a hard job. Because a lazy person will find an easy way to do it" Bill Gates
n°2929356
RabzorGT
│RabzorGT®│ - Linux'zgood
Posté le 12-02-2010 à 15:31:40  profilanswer
 

dac.
 
Pour ma question, c'était pa rapport au gpresult, lequel il te faut du domaine ? de l'user ? du PC ?


---------------
[VDS] Zalman, CG, HDD, P4 3.2Ghz, Switch .. - [FeedBack] [8800GTX]
n°2929359
ZeMuf91
Spanking is fun
Posté le 12-02-2010 à 15:33:30  profilanswer
 

gpresult donne tous les résultats, exemple chez moi :

 

   Objets Stratégie de groupe appliqués
    -------------------------------------
        utilisation proxy
        Stratégie Utilisateurs de confiance
        Default Domain Policy

 

   Les objets stratégie de groupe n'ont pas été appliqués car ils ont été refusé
    ------------------------------------------------------------------------------
        Stratégie de groupe locale
            Filtrage :  Non appliqué (vide)

 

   L'utilisateur fait partie des groupes de sécurité suivants :
    ------------------------------------------------------------
        Utilisa. du domaine
        Tout le monde
        Proposer des applications d'assistance à distance
        Utilisateurs

 

D'ailleurs je viens de penser, peut-être que la stratégie locale de sécurité bloque un truc au niveau de ton client xp.


Message édité par ZeMuf91 le 12-02-2010 à 15:33:48

---------------
"I choose a lazy person to do a hard job. Because a lazy person will find an easy way to do it" Bill Gates
n°2929360
Je@nb
Modérateur
Kindly give dime
Posté le 12-02-2010 à 15:34:12  profilanswer
 

ZeMuf91 a écrit :


Tu restreins le groupe local au PC ( administrateurs par exemple ) à ne contenir que certains comptes/groupes du domaine.


 
Pas obligatoirement, c'est un des modes

n°2929361
RabzorGT
│RabzorGT®│ - Linux'zgood
Posté le 12-02-2010 à 15:35:11  profilanswer
 

Alors, dans groupes restreint j'ai fait ajouter un groupe, j'ai selectionné "administrateurs de l'entreprise" :  
 
- Dans membres j'ai mis mon user HD1  
- Dans membres de j'ai mis "administrateurs de l'entreprise"
 
J'ai bon ?


---------------
[VDS] Zalman, CG, HDD, P4 3.2Ghz, Switch .. - [FeedBack] [8800GTX]
n°2929362
Je@nb
Modérateur
Kindly give dime
Posté le 12-02-2010 à 15:36:52  profilanswer
 

euh non.
 
Qd on te demande le groupe au début tu met ton groupe où tu as ton user, et après dans "membre de" tu met "Administrateurs"

n°2929364
RabzorGT
│RabzorGT®│ - Linux'zgood
Posté le 12-02-2010 à 15:37:26  profilanswer
 

Pour te répondre zemuf les 2 os sont neuf et propre tout est par defaut .. c'est pour ca que ca m'étonne un peu que ca ne fontionne pas, si je devais faire autant de manip avec un parc de 1000 poste  :sweat:


---------------
[VDS] Zalman, CG, HDD, P4 3.2Ghz, Switch .. - [FeedBack] [8800GTX]
n°2929367
RabzorGT
│RabzorGT®│ - Linux'zgood
Posté le 12-02-2010 à 15:46:08  profilanswer
 

J'ai fait ce que tu m'as indiqué je@nB c'est toujours au même point ..  
 
J'ai envie d'être sur donc je ferai un test ce soir chez moi j'ai la même config, je pourrai en plus vous poster un screen (+ gpresult)


---------------
[VDS] Zalman, CG, HDD, P4 3.2Ghz, Switch .. - [FeedBack] [8800GTX]
n°2929368
ZeMuf91
Spanking is fun
Posté le 12-02-2010 à 15:49:29  profilanswer
 

Et "comptes utilisateurs" du panneau de config, tu l'ouvres avec ton compte "admin" ?
Je dois faire cette manipulation plusieurs fois par jour, sur un domaine où ces options sont par défaut et ça passe. Je fais shit+clic-droit/runas domaine\admin et ça s'ouvre bien :/


---------------
"I choose a lazy person to do a hard job. Because a lazy person will find an easy way to do it" Bill Gates
n°2929372
RabzorGT
│RabzorGT®│ - Linux'zgood
Posté le 12-02-2010 à 15:52:40  profilanswer
 

ouép je fais aussi un runas et ca me l'ouvre que ce soit avec un compte admin local ou un compte admin du domain mais pas avec le compte actif (hd1 par exemple pourtant c'est un admin)


Message édité par RabzorGT le 12-02-2010 à 15:54:50

---------------
[VDS] Zalman, CG, HDD, P4 3.2Ghz, Switch .. - [FeedBack] [8800GTX]
n°2929672
RabzorGT
│RabzorGT®│ - Linux'zgood
Posté le 14-02-2010 à 17:37:22  profilanswer
 

Yop Zemuf, voici un screen,

 

Mon user tec1 appartient au groupe Utilisateurs du domaine par defaut, je veux que les membre de ce groupe soient admin de leur poste.

 

Je crée donc une GPO puis je la link à l'OU où se trouve mon user tec1, je vais dans "groupe restreint" je crée un groupe "administrateurs"  puis :

 


 http://front1.monsterup.com/upload/1266165186565.jpg

 

where is the blem ?

Message cité 1 fois
Message édité par RabzorGT le 14-02-2010 à 17:38:00

---------------
[VDS] Zalman, CG, HDD, P4 3.2Ghz, Switch .. - [FeedBack] [8800GTX]
n°2929857
ZeMuf91
Spanking is fun
Posté le 15-02-2010 à 12:06:35  profilanswer
 

C'est se compliquer pour peu, mais c'est bizarre. Pour tester, mon compte est membre du groupe administrateurs et ça passe très bien.


Message édité par ZeMuf91 le 15-02-2010 à 12:07:27

---------------
"I choose a lazy person to do a hard job. Because a lazy person will find an easy way to do it" Bill Gates
n°2929859
RabzorGT
│RabzorGT®│ - Linux'zgood
Posté le 15-02-2010 à 12:10:54  profilanswer
 

Ca me donne les droits d'admin uniquement sur le domaine/réseau mais pas sur une machine cliente .. j'ai  fait un gpresult /force (5mn) au lieu de 90mn d'après ce que j'ai lu et idem au même point..

 

Par contre si ca peut aider, quand je me log avec le compte admin de mon DC j'ai bien les droits d'admin sur n'importe quelle machine cliente. ..


Message édité par RabzorGT le 15-02-2010 à 12:11:48

---------------
[VDS] Zalman, CG, HDD, P4 3.2Ghz, Switch .. - [FeedBack] [8800GTX]
n°2929871
Wolfman
Modérateur
Lobo'tomizado
Posté le 15-02-2010 à 14:01:02  profilanswer
 

Elle est pas bonne ta GPO...tu spécifies les deux champs "Membres de ce groupe" et "Ce groupe est membre de".
 
Il faut que tu crées une nouvelle entrée qui va s'appeler "tondomaine\groupe_admins_locaux". Et là, dans la zone "Ce groupe est membre de", tu mets "Administrateurs". Si jamais tu as des PC en anglais, il faudra aussi y ajouter "Administrators".

n°2929875
Je@nb
Modérateur
Kindly give dime
Posté le 15-02-2010 à 14:05:05  profilanswer
 

Je@nb a écrit :

euh non.
 
Qd on te demande le groupe au début tu met ton groupe où tu as ton user, et après dans "membre de" tu met "Administrateurs"


 

RabzorGT a écrit :

J'ai fait ce que tu m'as indiqué je@nB c'est toujours au même point ..  
 
J'ai envie d'être sur donc je ferai un test ce soir chez moi j'ai la même config, je pourrai en plus vous poster un screen (+ gpresult)


 

RabzorGT a écrit :

Yop Zemuf, voici un screen,
 
Mon user tec1 appartient au groupe Utilisateurs du domaine par defaut, je veux que les membre de ce groupe soient admin de leur poste.
 
Je crée donc une GPO puis je la link à l'OU où se trouve mon user tec1, je vais dans "groupe restreint" je crée un groupe "administrateurs"  puis :  
 
 
 http://front1.monsterup.com/upload/1266165186565.jpg
 
where is the blem ?


 
 
==> ça ressemble pas du tout à ce que je t'ai dis de faire mais bon. Je te dis :

Je@nb a écrit :

euh non.
 
Qd on te demande le groupe au début tu met ton groupe où tu as ton user, et après dans "membre de" tu met "Administrateurs"


 
==> Tu mets dans la première fenetre : domaine\Utilisateurs du domaine et après dans "membre de" (donc en bas ....) tu mets "Administrateurs". Suffit de lire ce que je te dis depuis le début.
 
Après tu fous ta GPO sur une OU où tu as tes utilisateurs alors que où se trouve les GPO de Groupes restreints ? dans "Configuration de l'ordinateur", je te laisse deviner pourquoi rien ne s'applique...
C'est des GPO basiques de chez basiques pour quiconque se documente un peu sur les GPO. Si c'est pour ton boulot je t'invite vraiment à suivre une formation parce que c'est pas en faisant les choses au hasard que comme par magie ça va marcher surtout si tu suis pas ce qu'on t'explique.
 
 
Quant à tes remarques en MP, c'est pas parce que je répond pas que je m'en fou, c'est juste que en tant que modo on reçoit 10 000 MP, je les ouvre mais je répond en batch plus tard qd j'ai assez de temps. Si t'es pressé, tu fais appel à un vrai support technique, alors tes remarques tu peux te les carrer où je pense.

n°2929882
RabzorGT
│RabzorGT®│ - Linux'zgood
Posté le 15-02-2010 à 14:26:16  profilanswer
 

Je vais reprendre à zéro et tout refaire en suivant vos indications.

 

Pour le HS, on dirait que monsieur le modo prend rapidement la mouche et ce pour de simples remarques sans le moindre manque de politesse de ma part  :sarcastic: ... mon but étant simplement de résoudre mon problème par un pro en lui permettant un accès direct au problème que je rencontre... mais enfin désolé encore de t'avoir offensé, pour moi c'est évident j'ouvre un msg je réponds par un oui, un non .....ou si j'ai pas le temps bahhh.... j'ouvre pas et tout le monde est content  [:airforceone]


Message édité par RabzorGT le 15-02-2010 à 14:27:29

---------------
[VDS] Zalman, CG, HDD, P4 3.2Ghz, Switch .. - [FeedBack] [8800GTX]
n°2929884
RabzorGT
│RabzorGT®│ - Linux'zgood
Posté le 15-02-2010 à 14:44:00  profilanswer
 

Je@nb a écrit :


Après tu fous ta GPO sur une OU où tu as tes utilisateurs alors que où se trouve les GPO de Groupes restreints ? dans "Configuration de l'ordinateur", je te laisse deviner pourquoi rien ne s'applique...
C'est des GPO basiques de chez basiques pour quiconque se documente un peu sur les GPO. Si c'est pour ton boulot je t'invite vraiment à suivre une formation parce que c'est pas en faisant les choses au hasard que comme par magie ça va marcher surtout si tu suis pas ce qu'on t'explique.

 

J'oubliais, je n'ai envie que ce topic vire à une embrouille à 2 balle, moi par contre je te conseille de suivre une formation pour bien s'adresser aux gens, et d'y mettre le moins de sentiments possible dans tes messages car si on savait tout comme monsieur le modérateur on se serait pas fait ch*** à ouvrir un topic et à demander de l'aide. Ceci étant dit, le topic peut reprendre son cours, ceux qui sont là pour me filer un coup de main sont les bienvenue, les autres vous n'êtes pas obligé de rester ou de m'aider.


Message édité par RabzorGT le 15-02-2010 à 14:44:57

---------------
[VDS] Zalman, CG, HDD, P4 3.2Ghz, Switch .. - [FeedBack] [8800GTX]
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  [Windows 2003] Des comptes admin pas vraiment admin !

 

Sujets relatifs
Droit admin sous 7Lenteur dans l'authentification de 2003 Server
Pack MS office intégré et réinstallation de WindowsInstallation Windows Vista
Equivalent a windows easy transfert?Mise à jour Windows vista vers Windows 7
ecrans bleus sur windows 7 64 bitsRefuser, aprés coup, la licence windows
Windows inactifUn 2e windows sur un 2e Disque Dur !
Plus de sujets relatifs à : [Windows 2003] Des comptes admin pas vraiment admin !


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR