Je redécouvre avec une joie bien dissimulée le fonctionnement de Windows 2000 en domaine / Active Directory (tous les 6 mois on me remet la tête dedans).
 
Je voudrais donner à tous les utilisateurs du domaine des droits administrateur sur leur poste de travail.
Pour l'instant, je sais faire ça en ligne de commande sur le poste de travail lui-même:

 
J'aimerais faire la même chose avec gpedit ou un truc du genre, de manière à ce que ce soit pris en compte sur tous les postes automatiquement.
 
Des idées?

Bon, petit retour là-dessus, pour ceux que ça intéresse.
 
Pour commencer j'ai compris au bout de quelques heures comment fonctionnent les stratégies dans un domaine.
Au début j'essayais désespérément de modifier la stratégie locale, qui s'ouvre par défaut au lancement de gpedit.msc (et dont certains morceaux sont malgré tout appliqués aux postes de travail, allez comprendre...)
 
Finalement j'ai modifié la stratégie par défaut du domaine... pour me rendre compte par la suite que cette stratégie est également appliquée au serveur, et que tous mes utilisateurs se retrouvaient admins du serveur.
 
De toute manière avoir tous les utilisateurs admin de tous les postes de travail en permanence me branchait moyen, ce que je visais vraiment c'était que chacun soit uniquement admin du poste sur lequel il est connecté à un instant donné.
À priori impossible, puisque pour que le script 1) donne des droits spécifiques à chaque nom d'utilisateur et 2) soit exécuté lors de la connexion/déconnexion il faut utiliser un script utilisateur, alors que seul un script machine peut donner des droits supplémentaires...
 
Finalement je crois avoir trouvé la solution en mettant dans administrateurs non pas le groupe "utilisa. du domaine" mais plutôt le truc qui s'appelle AUTORITE NT\INTERACTIF (utilisateurs interactifs, i.e. ceux qui ont une session ouverte, par opposition aux utilisateurs réseau).
 
La commande précédente devient:

Enfin ça reste à confirmer mais à priori ça roule.
 
Reste que côté serveur ça donne à tout utilisateur qui se connecterait à la console des droits admins, par forcément une bonne chose.
Pour y remédier j'envisage de créer une OU "Postes de travail", de lui attribuer une nouvelle stratégie contenant le script et de déplacer le groupe "Ordinateurs du domaine" dans cette OU.
 
À suivre...

Confirmé, ça fonctionne correctement.
 
Et j'ai testé la solution OU pour l'attribution de la stratégie, ça marche également.

Très bonne idee ca.
 
Sinon, le principe de base de windows pre-AD reste bien que pour etre admin d'une machine du domaine, on doit etre admin du domaine.
 
Pour AD, l'ideal reste encore le OU,
meme si je n'aurais pas trouvé ta manip

Nan nan nan, avec ou sans AD le principe reste le même.
 
Dans mon cas la seule spécificité AD/2000 c'est l'exécution d'un script de démarrage machine, qui autant que je sache n'existe pas dans NT4.
 
Mais dans un domaine NT4 le problème et la solution sont les mêmes.
Traditionnellement quand un de mes utilisateurs de domaine NT4 avait besoin de droits admin (soft mal branlé genre Autocad ou accès direct au matos pour gravage par ex), je l'ajoutais en son nom propre (domaine\utilisateur) au groupe administrateurs de sa machine.
Parfois j'ajoutais des droits admin à tout le domaine, en étant conscient que cela ouvrait la porte à de grosses dérives (chaque utilisateur devient alors administrateur de tous les postes de travail du domaine et peut jouer avec les partages administratifs c$ d$ etc).
 
Mais le coup du pseudo-groupe INTERACTIF (ou "autorité", je ne sais pas comment il faut dire) ça c'est fort.
Dire que ça fait 6-7 ans que je tripote NT4 et que c'est maintenant que je découvre ça...