Bonjour à tous.
Nous (mes collègues et moi) sommes en train de mettre en place active directory dans notre structure. Je ne suis donc pas encore un expert, et j’espère donc ne pas poser de question trop bête ^^
Je me posais la question : peut-on interdire l’ouverture de session locale de type admin-xx mais que les utilisateurs puissent tout de même utiliser ce type de login pour l’installation d’un programme (ex : admin-toto ne peut pas ouvrir de session, mais, depuis la session toto, si toto veut installer Acrobat Pro, il peut faire un clic droit sur le .exe, exécuter en tant que admin-toto) ? Si on peut mettre cela en place, autre question qui en découle, peut-on interdire les sessions admin-xx mais pas la session infoadm par exemple (au début je pensais interdire l’ouverture aux session administrateur locaux, mais, premièrement je ne sais pas comment, deuxièmement, en cas de problème réseau, ou de non connexion à l’active directory depuis trop longtemps, c’est bien que le service informatique garde la possibilité d’aller sur une session admin locale…) ?
Je vous remercie pour votre future aide, ou vos futurs conseils

Non tu as pas ça.
C'est un pb plus organisationnel que technique
Après tu as pas mal de contournements :
- remplacer le shell de ces users par logoff.exe comme ça dès qu'ils se loguent pouf logoff
- tache planifiée qui pareil, check si compte admin-xx puis va faire un logoff
- si tu as un SIEM tu remontes des alertes qui vont alerter le mec et son manager ou l'équipe sécu, et tu verras bien que le mec après une remontrance va arrêter de jouer au con
 
bref faut jouer

super le coup du shell

si tu parles admin-xx les comptes admin locaux
alors met l'outil laps
le mot de passe de l'admin  local est stocké sur AD et tu peux lui dire de changer tous les X jours.
doc : https://www.it-connect.fr/securite- [...] avec-laps/
préconisation de sécurité : seul le service informatique doit pouvoir installé des logiciels dument validé.

Un conseil : Ne jamais laisser le droit d'administrateur à un utilisateur. Il va installer tout et n'importe quoi.

 
A mon sens :
 
1. ne laisser aucun compte admin local. Désactiver le compte administrateur.
2. placer dans le groupe des administrateurs locaux un compte du domaine dédié au service informatique.
3. les utilisateurs ouvrent leurs sessions avec leur compte du domaine. Compte non admin local.
4. Installer les logiciels, soit par le service info, soit en les poussant via GPO ou solutions de gestion à distance (parfois inclus dans les solutions antivirus).
5. si poste KO par rapport au domaine, booter dessus via LiveCD ou autre hack pour réactivation compte administrateur local.

Euh bof
Point 1 : il vaut mieux avoir un compte local géré par LAPS
Point 2 : non les comptes doivent être nominatif, pas un "compte du domaine dédié au service informatique"
Point 4: le déploiement de soft par GPO, en plus d'être crade a trop de contraintes. A voir son nb d'user mais ça vaut peut être pas le coup d'investir dans un soft de distribution d'appli et le packaging à faire à chaque fois, mais dans l'idéal oui c'est ce qu'il faudrait
Point 5 : c'est vraiment se faire chier pour rien, chercher des hack and co, non pas vraiment une bonne idée, voir point 1

Wapt c’est gratos et tu peux autoriser le setup aux non admins, et le packaging est relativement simple

Merci à tous pour ces réponses, je vais faire plusieurs tests et voir lequel correspond le mieux à mes besoins.
Pour le coup des droits admin aux utilisateurs, je suis bien d'accord avec, il faudrait pas... le seul problème, c'est que je travaille dans un laboratoire de recherche public où le directeur est nommé par les chercheurs et il refuse que lui et ses collègues n'est pas les droits admin... du coup quand ton dg te dit non, bah, même si tu veux oui, ben c'est non quand même... mais bon, on a des parades : toutes installation de logiciel non payé -> droit admin supprimer, en cas de vérolage de l'ordinateur -> formatage directe sans sauvegarde des données avant, non respect de la charte de co-administration ou non respect des règles de sécurité (pas de hot-spot, antivirus autre que celui qu'on installe ou pas mise à jour, pas de mise à jour winodws, ou pas de chiffrage du poste via veracrypt) -> plus d'accès ni internet ni intranet.

Wapt a changé de status..
version gratuite max 300pc
https://www.tranquil.it/wapt-commun [...] eurs-2021/

Je m'incruste.
Je ne connais pas Wapt, j'ai parcouru vite fait leur site.
Ça a l'air pas mal. Français en plus ?!
Je suis justement en train de chercher une solution d'installation de logiciels sur les postes clients.
J'avais commencé à faire ça aussi par GPO, mais vous me confirmez que c'est "sale" ? Que recommande Microsoft d'ailleurs ?
Les experts, vous recommandez Wapt ?
Y a topic unique sur cette solution ?

Ms bah vend intune et endpoint manager (anciennement sccm)
Wapt perso j'ai jamais vu ça chez mes clients mais j'imagine que dans les p'tites boîtes ça doit faire le job.
Plutôt du altiris, landesk etc. En concurrent.