Bonjour,
 
Un client me demande d’empêcher le compte admin de la machine d'ouvrir une session local, le but étant de faire comme sous linux interdit l'accès root en ouverture de session et utiliser les commandes d'élévation comme sudo en l’occurrence runas.
 
Je ne vois pas comment bloquer l'ouverture de session à un compte admin sauf à supprimer le groupe administrateur dans Paramètres Windows / Paramètres de sécurité / Stratégies locales / Attribution des droits utilisateur / Permettre l’ouverture d’une session locale.
 
Cela n'est il pas une mauvaise idée ? Il y a il une autre façon de faire ?

Tu peux lui placer un MDP déjà.
Le désactiver ensuite.

tu parles du compte Administrateur par défaut ou d'un compte admin quelconque ?
 
Si tu parles de l'administrateur par défaut le moyen un peu quick & dirty c'est d'utiliser "interdire l'ouverture de session locale" au même emplacement que le paramètre de stratégie que tu cites.
 
Si tu es dans un domaine AD et si comme j'imagine c'est un paramètre à imposer sur plusieurs postes, il y a un principal de sécurité (deux en fait) qui sont assez sympas.
 
https://support.microsoft.com/en-us [...] in-windows
 
Avec ça tu peux appliquer à tes postes une GPO utilisant un ou plusieurs des paramètres de stratégie interdisant un type de logon et piloter un peu plus finement ce que les admins du postes et/ou les comptes locaux peuvent faire. Sachant que les comptes locaux avant c'était la plaie vu qu'ils échappaient au contrôle de l'AD, c'est un chouette progrès.