Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2458 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Poste de travail

  Profil réseau... venez participer au casse tete chinois Windows AD

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Profil réseau... venez participer au casse tete chinois Windows AD

n°109776
nckd
Steelers Nation
Posté le 18-04-2013 à 15:43:05  profilanswer
 

Bonjour a tous,

 


Je suis sur Windows 2003.
Les postes utilisateur sont sur XP, Vista, W7 et W8

 

Je suis actuellement en phase finale de test et j'ai un problème de profil, je m'explique :

 

Dans mon réseau, c'est simple il y a trois types de profils :

 

- Administrateur local : donc celui gère le poste et ne peux rien faire sur le réseau. bref personne n'y a accès a part moi.

 

- Utilisateur du domaine : l'utilisateur a le droit de... travailler. Il ne peux pas installer, supprimer. Il ne peux pas modifier la configuration du pc (parefeu compris) et l'interdiction de modifier la base de registre et des petit truc comme ça... La GPO est mise en place et fonctionne, pas de soucis de se coté la.

 

- Responsable : c'est se profil qui pose problème. Ce profil doit pouvoir installer supprimer des logiciels sur les postes. Il ne doit pas pouvoir créer d'utilisateur local. Et ne pas avoir a accèder au serveur AD par bureau a distance (mstsc.exe).

  


Donc c'est la que commence le casse tête chinois. [:maestro fantastico:3]

  

- Si je l'intégre au groupe Administrateur du domaine. Il peut tout faire... so bad.

 


- Si je l’intègre au groupe Administrateur de l'entreprise il ne peut pas créer de compte local, mais il ne peut pas faire de modification des configuration comme  changer l'adresse IP. Je bloque le mstsc au serveur AD par @IP. Donc la ça passe mais c'est pas top.

 


- Si je l'intègre au groupe local Administrateur. Il peut tout faire... normal

 


- Si je l'intègre au groupe local Opérateurs réseau, il ne peut pas créer de comptes locaux (Bien), il peut modifier les config réseaux (bien) mais il ne peut pas installer/désinstaller de logiciel (pas bien). Pas de possibilité de bureau a distance, puisque son compte réseau n'est que dans le groupe Utilisateur du domaine.

 


Donc voila, je me suis dis "ha je vais tenter de rajouter une GPO quand le responsable est dans le groupe Administrateur du domaine pour interdire la création de compte local et le bureau a distance."  [:pdbzombifiay:3]

 


Je mets en place la GPO, sauf qu'elle ne fonctionne pas. A mon avis le groupe Administrateur du domaine à la priorité sur la GPO...

 


Voila le problème.

 

Comment donner a l'utilisateur de type Responsable, le droit de gérer un poste du domaine, sans qu'il puisse créer de comptes locaux ?

 


Je reste dispo si vous avez des questions. Pour espérer savoir comment corriger ce problème faut vraiment foutre la tête dans ce merdier des comptes Windows...

 


Merci d'avance pour les réponses.

 


Cordialement,

 

Nckd


Message édité par nckd le 18-04-2013 à 15:52:46

---------------
#80 WR, FS aux CFA Servals
mood
Publicité
Posté le 18-04-2013 à 15:43:05  profilanswer
 

n°109779
Wolfman
Modérateur
Lobo'tomizado
Posté le 18-04-2013 à 15:54:44  profilanswer
 

GPO et Groupes restreints : ça te permettra d'insérer ton responsable dans le groupe Administrateurs local de chaque machine ciblée.
 
Par contre, tu le pourras pas l'empêcher de créer des comptes locaux...il sera administrateur, donc par essence, il pourra faire ce qu'il veut sur le poste.

n°109781
nckd
Steelers Nation
Posté le 18-04-2013 à 15:58:58  profilanswer
 

Wolfman a écrit :

GPO et Groupes restreints : ça te permettra d'insérer ton responsable dans le groupe Administrateurs local de chaque machine ciblée.

 

Par contre, tu le pourras pas l'empêcher de créer des comptes locaux...il sera administrateur, donc par essence, il pourra faire ce qu'il veut sur le poste.

 

Merci pour la rapidité de la réponse :)

 

La procédure à suivre serait d'ajouter le profil réseau du responsable dans le groupe administrateurs(local) et de coupler le tout par une GPO ? C'est bien ça ?

 

Après c'est sur qu'a un moment il va bien falloir que je face confiance aux responsables... même si en informatique c'est pas toujours top  :sarcastic:  


Message édité par nckd le 18-04-2013 à 15:59:30

---------------
#80 WR, FS aux CFA Servals
n°109782
Wolfman
Modérateur
Lobo'tomizado
Posté le 18-04-2013 à 16:02:53  profilanswer
 

Ben en gros c'est ça. La GPO Groupes restreints te permettra d'injecter facilement leurs comptes (ou un groupe spécifique que tu auras créé), plutôt que de passer poste par poste.
 
D'un autre côté, je ne vois pas trop pourquoi les responsables devraient être administrateurs des postes de travail...C'est parce qu'ils servent de relais technique ? (agences distantes, etc.)

n°109784
nckd
Steelers Nation
Posté le 18-04-2013 à 16:11:21  profilanswer
 

Les responsables sont justes les personnes désignées dans chaque service afin de gérer les postes et uniquement ceux de leur service. Moi j'ai juste à les entrés dans le domaine, faire les configs de base et c'est tout.  
Je vais me remettre dedans, refais une GPO et ajouter les comptes responsables inside, puis ajouter ces mêmes compte en administrateur local sur un poste pour voir se que ça donne.
 
Par contre, la première chose qui me viens a l'esprit, si je les mets en administrateur local, est-ce que la GPO va etre prise en compte. Parce que je suppose que le profil local aura la priorité sur le profil réseau. hum hum


---------------
#80 WR, FS aux CFA Servals
n°109785
Wolfman
Modérateur
Lobo'tomizado
Posté le 18-04-2013 à 16:16:31  profilanswer
 

Hein ? Je t'ai pas dit de créer des comptes locaux... Je t'ai simplement dit d'utiliser la GPO des Groupes restreints (recherche pour savoir ce que c'est et comment ça fonctionne).
Tu peux aussi te passer de cette GPO si tu insères manuellement les comptes AD des responsables dans le groupe Administrateurs local de chaque machine.

n°109786
nebulios
Posté le 18-04-2013 à 16:20:00  profilanswer
 

Tu créés une GPO attachée à chaque OU de service, qui injecte un groupe contenant le responsable de service dans le groupe admins locaux via groupes restreints. Mais tu n'as surtout pas besoin d'ajouter les comptes manuellement sur chaque poste :/

n°109787
Wolfman
Modérateur
Lobo'tomizado
Posté le 18-04-2013 à 16:21:23  profilanswer
 

C'est ce que lui proposes, mais visiblement il aime bien se compliquer la vie :o

n°109789
nckd
Steelers Nation
Posté le 18-04-2013 à 16:22:31  profilanswer
 

Wolfman a écrit :

Hein ? Je t'ai pas dit de créer des comptes locaux... Je t'ai simplement dit d'utiliser la GPO des Groupes restreints (recherche pour savoir ce que c'est et comment ça fonctionne).
Tu peux aussi te passer de cette GPO si tu insères manuellement les comptes AD des responsables dans le groupe Administrateurs local de chaque machine.

 

Oui voila c'est comme ça que je l'ai compris. Ajouter au groupe administrateur local chaque profil réseau des responsables.
Ok, je me documente sur les GPO des groupes restreints. Je fais les tests et je vous tiens au jus.

 

Merci pour les réponses Wolfman et Nebulios ;)

 

http://i686.photobucket.com/albums/vv227/tarusylvainthan/angry-werewolf-terrific-animated.gif


Message édité par nckd le 18-04-2013 à 16:24:21

---------------
#80 WR, FS aux CFA Servals
n°109790
nebulios
Posté le 18-04-2013 à 16:30:11  profilanswer
 

Wolfman a écrit :

C'est ce que lui proposes, mais visiblement il aime bien se compliquer la vie :o


C'est juste qu'il ne connait pas ce qu'est une délégation je pense  :jap:

mood
Publicité
Posté le 18-04-2013 à 16:30:11  profilanswer
 

n°109815
trictrac
Posté le 18-04-2013 à 22:34:34  profilanswer
 

1- toi non plus tu ne te connectes pas en admin. Du domaine ... C'est inutile
2- tu crées un groupe ad qui est admin local de toutes les workstations, et tu mets tes usées spéciaux + toi dans ce groupe
3- tu utilises un compte standard au quotidien.

n°109827
nckd
Steelers Nation
Posté le 19-04-2013 à 09:44:06  profilanswer
 

Voila j'ai mis en place la solution proposé par Wolfman. Tout est OK. Bon les responsables font quand même parti du groupe administrateurs (local), mais bon on avisera en fonction des phases de test. Merci pour l'aide.  
 
Coté délégation, non je ne gère pas. Si vous avez le courage de m'expliquer, je suis tout ouie.
 
Cordialement,


---------------
#80 WR, FS aux CFA Servals

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Poste de travail

  Profil réseau... venez participer au casse tete chinois Windows AD

 

Sujets relatifs
Probleme brassage téléphonie switch reseauServeurs pour accueillir AD/Exchange
Cartographie réseauRelier RedHat à l'AD
Aménagement d'une salle réseau (Climatisation)Problème de DNS, je me gratte la tête !
[resolu] architecture d'un câblage réseauDeploiement MDT - Activation clé MAK windows 7 (licence en Volume)
Sous réseau et nombre d'IP disponible[PBM] Réseau entreprise via Livebox
Plus de sujets relatifs à : Profil réseau... venez participer au casse tete chinois Windows AD


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR