Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1302 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Poste de travail

  Ajout administrateur du poste temporairement

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Ajout administrateur du poste temporairement

n°157838
gkss
Posté le 15-10-2018 à 17:03:42  profilanswer
 

Bonjour,  
 
Alors voilà je voudrais faire de certain user de mon AD des admin de poste locale temporairement ( ex : 24h) .  
 
Quelqu'un aurait une idée pour faire ceci de manière automatisé ?  
 
Merci par avance.

mood
Publicité
Posté le 15-10-2018 à 17:03:42  profilanswer
 

n°157839
gkss
Posté le 15-10-2018 à 17:05:52  profilanswer
 

Edit : AD windows 2012 et les postes sont sous win7 et Win10

n°157840
nebulios
Posté le 15-10-2018 à 17:34:19  profilanswer
 

Quel est le besoin derrière ?

n°157846
frede94
Anti cococouillon
Posté le 15-10-2018 à 23:03:20  profilanswer
 

Bonjour,
Tu peux jeter un oeil sur LAPS : https://blogs.technet.microsoft.com [...] tion-laps/


Message édité par frede94 le 16-10-2018 à 08:27:42

---------------
Non au vivre ensemble ----- Communistes = fascistes rouges ----- Non au pacte sur les migrations de l'Onu
n°157847
nebulios
Posté le 16-10-2018 à 09:52:12  profilanswer
 

Attention LAPS n'est pas vraiment conçu pour la délégation. Mieux vaut passer par quelque chose comme CyberArk

n°157850
frede94
Anti cococouillon
Posté le 16-10-2018 à 10:32:30  profilanswer
 

Certes c'est plus fait pour sécuriser le système. Mais tu peux quand même aider sur ce genre de demande. Tu peux quand même donner le mot de passe admin local à la personne, et puis quand la personne n'a plus besoin de droits admin, tu changes le mot de passe à distance depuis LAPS.


---------------
Non au vivre ensemble ----- Communistes = fascistes rouges ----- Non au pacte sur les migrations de l'Onu
n°157853
gkss
Posté le 16-10-2018 à 10:45:23  profilanswer
 

nebulios a écrit :

Quel est le besoin derrière ?

 

Pour l'exécution d'un logiciel qui pilote des machines, ce logiciel à besoin des droit admin du poste pour être exécuté.

 

Je voudrais pouvoir donner les droits admin un temps voulu par moi même, et ceci sans le faire depuis le poste fixe.

 

Faire cette manip à distance et le plus simplement possible.


Message édité par gkss le 16-10-2018 à 10:48:24
n°157854
nebulios
Posté le 16-10-2018 à 11:03:01  profilanswer
 

frede94 a écrit :

Certes c'est plus fait pour sécuriser le système. Mais tu peux quand même aider sur ce genre de demande. Tu peux quand même donner le mot de passe admin local à la personne, et puis quand la personne n'a plus besoin de droits admin, tu changes le mot de passe à distance depuis LAPS.


C'est pas du tout propre de passer par le compte admin par défaut, mieux vaut une délégation AD + JIT.
 
@gkss : regarde pourquoi ton appli a besoin de droits admins d'abord. Souvent modifier des ACL sur Program Files/quelques clés de registre suffisent. Ce n'est pas très propre mais c'est mieux que de leur donner des droits admin. Ou alors ce sont des machines en workgroup, sans connexion à internet, là ça peut être envisageable.

n°157856
frede94
Anti cococouillon
Posté le 16-10-2018 à 11:36:01  profilanswer
 

JIT = just in time ?
Nouveauté 2016 ? je ne connais pas. Vais regarder à l'occasion.


---------------
Non au vivre ensemble ----- Communistes = fascistes rouges ----- Non au pacte sur les migrations de l'Onu
n°157860
gkss
Posté le 16-10-2018 à 13:49:51  profilanswer
 

nebulios a écrit :


C'est pas du tout propre de passer par le compte admin par défaut, mieux vaut une délégation AD + JIT.
 
@gkss : regarde pourquoi ton appli a besoin de droits admins d'abord. Souvent modifier des ACL sur Program Files/quelques clés de registre suffisent. Ce n'est pas très propre mais c'est mieux que de leur donner des droits admin. Ou alors ce sont des machines en workgroup, sans connexion à internet, là ça peut être envisageable.


 
Donc si je souhaite ajouter un user admin d'un poste pour un temps voulus de manière automatisé, ce n'est pas possible selon vous ?

mood
Publicité
Posté le 16-10-2018 à 13:49:51  profilanswer
 

n°157861
skoizer
tripoux et tête de veau
Posté le 16-10-2018 à 14:02:22  profilanswer
 

gkss jamais vu ce genre de situation. Pas standard = difficilee a maintenir
 
comme le dit nebulios.
Regarde deja qu'est que le logiciel a besoin comme droit. (demander à l'editeur ou lire la doc)
C'est peu être un droit ACL sur un repertoire/fichier ou une clef du registre.
gkss c'est assez courant de faire cela.

Message cité 1 fois
Message édité par skoizer le 16-10-2018 à 14:03:04

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°157864
nebulios
Posté le 16-10-2018 à 14:44:14  profilanswer
 

frede94 a écrit :

JIT = just in time ?
Nouveauté 2016 ? je ne connais pas. Vais regarder à l'occasion.


Oui, regarde les modules JIT/JEA dispos depuis Windows Server 2016 et PowerShell par exemple.

n°157865
nebulios
Posté le 16-10-2018 à 14:44:38  profilanswer
 

gkss a écrit :


 
Donc si je souhaite ajouter un user admin d'un poste pour un temps voulus de manière automatisé, ce n'est pas possible selon vous ?


C'est possible mais via un outil payant ou fait maison.

n°157867
gkss
Posté le 16-10-2018 à 16:31:11  profilanswer
 

skoizer a écrit :

gkss jamais vu ce genre de situation. Pas standard = difficilee a maintenir
 
comme le dit nebulios.
Regarde deja qu'est que le logiciel a besoin comme droit. (demander à l'editeur ou lire la doc)
C'est peu être un droit ACL sur un repertoire/fichier ou une clef du registre.
gkss c'est assez courant de faire cela.


 
C'est + lors de mises à jour ou mise à jour de pilotes (mise à jour récurrentes), pour pouvoir les appliquer il faut les droits Admin, et c'est assez contraignant et engendre une perte de temps de se déplacer d'un bâtiment à un autre pour donner les droits et appliquer les MAJ.

n°157868
gkss
Posté le 16-10-2018 à 16:34:15  profilanswer
 

nebulios a écrit :


C'est possible mais via un outil payant ou fait maison.


 
Créer un groupe "admin" sur l'AD, ajouter ce groupe dans le groupe administrateur sur les postes et ajouter les user et/ou postes voulus à ce groupe et les retirer une fois le taff terminer ?? Qu'est-ce-que vous en pensaient ?

n°157870
nebulios
Posté le 16-10-2018 à 16:59:30  profilanswer
 

Par exemple oui, mais là il s'agit d'actions manuelles. Et si tu lui donnes les droits admin il peut faire n'importe quoi sur la machine, y compris ajouter des backdoors pour se redonner les droits admin n'importe quand...il te faudrait plutôt un logiciel capable de déployer des packages applicatifs non ? Dans ce cas tu as aussi des solutions gratuites (genre WAPT) ou payantes (genre SCCM, LanDesk…)

n°157873
logre
Posté le 16-10-2018 à 17:22:17  profilanswer
 

un script vbs qui lance le soft avec les droits admin? XD

n°157881
Je@nb
Modérateur
In ze cloud
Posté le 16-10-2018 à 22:39:50  profilanswer
 

par magie ?

n°157885
skoizer
tripoux et tête de veau
Posté le 17-10-2018 à 09:09:05  profilanswer
 

gkss a écrit :


 
C'est + lors de mises à jour ou mise à jour de pilotes (mise à jour récurrentes), pour pouvoir les appliquer il faut les droits Admin, et c'est assez contraignant et engendre une perte de temps de se déplacer d'un bâtiment à un autre pour donner les droits et appliquer les MAJ.


tu n'as pas la possibilité de faire du contrôle a distance sur ce serveur?
puis ouvrir en tant qu’administrateur puis zouuu
 


Message édité par skoizer le 17-10-2018 à 09:09:47

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°157889
gkss
Posté le 17-10-2018 à 11:31:01  profilanswer
 

Merci à tous pour vos réponses et votre disponibilité.  
 
 :)


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Poste de travail

  Ajout administrateur du poste temporairement

 

Sujets relatifs
Changer paramètre compte utilisateur AD multi OUProblème ajout AD
Poste managé par intune et réseau local + personnalisation taskbarFast User Switching et Performance du poste
• Administrateur Systèmes linux/unix & Réseaux •Pister site internet sur poste libre service internet
Redirection 3389 vers un posteajout nouveaux utilisateurs AD avec powershell nom > 20 caractères
Routeur ASUS AC68U: Ajout/suppression impossible (DHCP et MAC WIFI etcPoste de travail pour environnement tres dur
Plus de sujets relatifs à : Ajout administrateur du poste temporairement


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR