Bonjour,  
 
Alors voilà je voudrais faire de certain user de mon AD des admin de poste locale temporairement ( ex : 24h) .  
 
Quelqu'un aurait une idée pour faire ceci de manière automatisé ?  
 
Merci par avance.

Edit : AD windows 2012 et les postes sont sous win7 et Win10

Quel est le besoin derrière ?

Bonjour,
Tu peux jeter un oeil sur LAPS : https://blogs.technet.microsoft.com [...] tion-laps/

Attention LAPS n'est pas vraiment conçu pour la délégation. Mieux vaut passer par quelque chose comme CyberArk

Certes c'est plus fait pour sécuriser le système. Mais tu peux quand même aider sur ce genre de demande. Tu peux quand même donner le mot de passe admin local à la personne, et puis quand la personne n'a plus besoin de droits admin, tu changes le mot de passe à distance depuis LAPS.

Pour l'exécution d'un logiciel qui pilote des machines, ce logiciel à besoin des droit admin du poste pour être exécuté.

Je voudrais pouvoir donner les droits admin un temps voulu par moi même, et ceci sans le faire depuis le poste fixe.

Faire cette manip à distance et le plus simplement possible.

C'est pas du tout propre de passer par le compte admin par défaut, mieux vaut une délégation AD + JIT.
 
@gkss : regarde pourquoi ton appli a besoin de droits admins d'abord. Souvent modifier des ACL sur Program Files/quelques clés de registre suffisent. Ce n'est pas très propre mais c'est mieux que de leur donner des droits admin. Ou alors ce sont des machines en workgroup, sans connexion à internet, là ça peut être envisageable.

JIT = just in time ?
Nouveauté 2016 ? je ne connais pas. Vais regarder à l'occasion.

 
Donc si je souhaite ajouter un user admin d'un poste pour un temps voulus de manière automatisé, ce n'est pas possible selon vous ?

gkss jamais vu ce genre de situation. Pas standard = difficilee a maintenir
 
comme le dit nebulios.
Regarde deja qu'est que le logiciel a besoin comme droit. (demander à l'editeur ou lire la doc)
C'est peu être un droit ACL sur un repertoire/fichier ou une clef du registre.
gkss c'est assez courant de faire cela.

Oui, regarde les modules JIT/JEA dispos depuis Windows Server 2016 et PowerShell par exemple.

C'est possible mais via un outil payant ou fait maison.

 
C'est + lors de mises à jour ou mise à jour de pilotes (mise à jour récurrentes), pour pouvoir les appliquer il faut les droits Admin, et c'est assez contraignant et engendre une perte de temps de se déplacer d'un bâtiment à un autre pour donner les droits et appliquer les MAJ.

 
Créer un groupe "admin" sur l'AD, ajouter ce groupe dans le groupe administrateur sur les postes et ajouter les user et/ou postes voulus à ce groupe et les retirer une fois le taff terminer ?? Qu'est-ce-que vous en pensaient ?

Par exemple oui, mais là il s'agit d'actions manuelles. Et si tu lui donnes les droits admin il peut faire n'importe quoi sur la machine, y compris ajouter des backdoors pour se redonner les droits admin n'importe quand...il te faudrait plutôt un logiciel capable de déployer des packages applicatifs non ? Dans ce cas tu as aussi des solutions gratuites (genre WAPT) ou payantes (genre SCCM, LanDesk…)

un script vbs qui lance le soft avec les droits admin? XD

par magie ?

tu n'as pas la possibilité de faire du contrôle a distance sur ce serveur?
puis ouvrir en tant qu’administrateur puis zouuu
 

Merci à tous pour vos réponses et votre disponibilité.