Bon, petit retour là-dessus, pour ceux que ça intéresse.
Pour commencer j'ai compris au bout de quelques heures comment fonctionnent les stratégies dans un domaine.
Au début j'essayais désespérément de modifier la stratégie locale, qui s'ouvre par défaut au lancement de gpedit.msc (et dont certains morceaux sont malgré tout appliqués aux postes de travail, allez comprendre...)
Finalement j'ai modifié la stratégie par défaut du domaine... pour me rendre compte par la suite que cette stratégie est également appliquée au serveur, et que tous mes utilisateurs se retrouvaient admins du serveur.
De toute manière avoir tous les utilisateurs admin de tous les postes de travail en permanence me branchait moyen, ce que je visais vraiment c'était que chacun soit uniquement admin du poste sur lequel il est connecté à un instant donné.
À priori impossible, puisque pour que le script 1) donne des droits spécifiques à chaque nom d'utilisateur et 2) soit exécuté lors de la connexion/déconnexion il faut utiliser un script utilisateur, alors que seul un script machine peut donner des droits supplémentaires...
Finalement je crois avoir trouvé la solution en mettant dans administrateurs non pas le groupe "utilisa. du domaine" mais plutôt le truc qui s'appelle AUTORITE NT\INTERACTIF (utilisateurs interactifs, i.e. ceux qui ont une session ouverte, par opposition aux utilisateurs réseau).
La commande précédente devient:
net localgroup administrateurs INTERACTIF /add |
Enfin ça reste à confirmer mais à priori ça roule.
Reste que côté serveur ça donne à tout utilisateur qui se connecterait à la console des droits admins, par forcément une bonne chose.
Pour y remédier j'envisage de créer une OU "Postes de travail", de lui attribuer une nouvelle stratégie contenant le script et de déplacer le groupe "Ordinateurs du domaine" dans cette OU.
À suivre...
Message édité par Nico57 le 19-08-2004 à 03:59:25