Bonjour a tous
 
pour sécurisé une infra, j'ai déployé laps sur l'AD
j'ai effectué une GPO pour renommer le compte administrateur local en adm_laps
tout fonctionne bien.
cependant pour l'ensemble des postes , je souhaite supprimer l'ensemble des comptes locaux présents en local des postes.
aussi bien les comptes administrateurs que non administrateur
 
comment le faire rapidement et simplement ? un script bat ?  
merci du retour

Surtout pas un script.
Une GPO jouant sur les groupes de sécurité. Mais tu as intérêt à bien tout tester avant d'implémenter ça.

Si le nom des comptes locaux peut être arbitraires sur chaque poste alors tu vas pas trop pouvoir faire ça via GPP.
Je ferais un script qui déjà listerait chacun des comptes et leur groupe d'apartenance et les stockerait qq part pour consolidation et analyse puis je ferais un script de suppression avec gestion d'un liste de compte d'exclusions pour pas casser des applis qui auraient créées des comptes locaux pour de bonnes raisons.
Chaque fois en powershell plutôt pour l'audit et travail facilité.
Après les scripts je les lanceraient soient via ma solution de gestion de poste ou déployées par tache planifiée.

merci du retour
 
je realise de tests sur mon lab
ma vision des choses  
a l'ouverture d'une session , il faut liste les comptes présents et les envoyer les résultats dans un partage réseau avec un fichier texte : nomduposte.txt
 
ensuite, dans la GPO il sera alors plus simple de spécifier les comptes a supprimer
(désactivé aussi le compte invité présent par défaut)
 
je m'inspire de ce script
 
https://social.technet.microsoft.co [...] forum=1300
 
 
il n'est pas rare de découvrir des comptes "scan" en local pour que le copieur fonctionne via du SMB
 
 

C'est tout l'intérêt des groupes de sécurité, plutôt que de supprimer au détail des membres des groupes, tu redéfinis directement le contenu des groupes locaux.
Et le compte invité est déjà désactivé par défaut.

Pourquoi faire ça à l'ouverture de session ? ça n'a aucun intérêt si ce n'est de la ralentir
Que se passe-t-il si le partage n'est pas accessible aussi ?

Puis vlà la sécurité du truc quoi
Le script est bien crade aussi, on dirait du VBS remixé. On a un module pour gérer les utilisateurs locaux depuis quelques années déjà...

C'est clair
 
Bon après, perso avec un parc qui a SCCM ou un autre outil un peu intelligent, toutes ces infos on les a déjà pour faire un audit et il suffit après de pousser la suppression des comptes.

malheureusement le client en question ne possede pas de sccm ou d'outil de gestion de parcs

En l'absence d'outillage un peu sérieux, plutôt que de balancer des scripts dont tu pourras difficilement surveiller la bonne exécution tu peux utiliser ces identités dans les droits étendus d'une GPO (ou plus exactement les droits détaillés interdisant la connexion au poste : interdire session interactive, interdire session par le réseau, etc)
 
https://docs.microsoft.com/fr-fr/tr [...] l-accounts
 
S-1-5-113 : AUTORITÉ NT\Compte local => tous les comptes locaux sur la machine cible
 
S-1-5-114 : AUTORITÉ NT\Compte local et membre du groupe Administrateurs => comptes locaux sur la machine également membre du groupe Administrateurs (plus spécifique)
 
Donc si par exemple tu interdis à "AUTORITÉ NT\Compte local" de se connecter en interactif, via le réseau, en tant que service, en tant que batch et via RDP, et bah tu garantis qu'aucun des comptes locaux "pirate" ne pourra rien faire sur la machine. C'est l'arme nucléaire car tu bloques aussi l'admin local. A voir si c'est acceptable au vu des politiques support de ta boite, notamment vis à vis de la récup des fichiers d'un utilisateurs lors d'un crash / remplacement de poste.
 
C'est très puissant mais inconvénient c'est pas du tout granulaire (si il y a un process d'exception à gérer, il faut être créatif). En même temps tu n'est pas tellement censé avoir des comptes locaux qui se balladent sur les PC rattachés à un domaine.