Bonjour a tous,

Je suis sur Windows 2003.
Les postes utilisateur sont sur XP, Vista, W7 et W8

Je suis actuellement en phase finale de test et j'ai un problème de profil, je m'explique :

Dans mon réseau, c'est simple il y a trois types de profils :

- Administrateur local : donc celui gère le poste et ne peux rien faire sur le réseau. bref personne n'y a accès a part moi.

- Utilisateur du domaine : l'utilisateur a le droit de... travailler. Il ne peux pas installer, supprimer. Il ne peux pas modifier la configuration du pc (parefeu compris) et l'interdiction de modifier la base de registre et des petit truc comme ça... La GPO est mise en place et fonctionne, pas de soucis de se coté la.

- Responsable : c'est se profil qui pose problème. Ce profil doit pouvoir installer supprimer des logiciels sur les postes. Il ne doit pas pouvoir créer d'utilisateur local. Et ne pas avoir a accèder au serveur AD par bureau a distance (mstsc.exe).

Donc c'est la que commence le casse tête chinois.

- Si je l'intégre au groupe Administrateur du domaine. Il peut tout faire... so bad.

- Si je l’intègre au groupe Administrateur de l'entreprise il ne peut pas créer de compte local, mais il ne peut pas faire de modification des configuration comme  changer l'adresse IP. Je bloque le mstsc au serveur AD par @IP. Donc la ça passe mais c'est pas top.

- Si je l'intègre au groupe local Administrateur. Il peut tout faire... normal

- Si je l'intègre au groupe local Opérateurs réseau, il ne peut pas créer de comptes locaux (Bien), il peut modifier les config réseaux (bien) mais il ne peut pas installer/désinstaller de logiciel (pas bien). Pas de possibilité de bureau a distance, puisque son compte réseau n'est que dans le groupe Utilisateur du domaine.

Donc voila, je me suis dis "ha je vais tenter de rajouter une GPO quand le responsable est dans le groupe Administrateur du domaine pour interdire la création de compte local et le bureau a distance."  

Je mets en place la GPO, sauf qu'elle ne fonctionne pas. A mon avis le groupe Administrateur du domaine à la priorité sur la GPO...

Voila le problème.

Comment donner a l'utilisateur de type Responsable, le droit de gérer un poste du domaine, sans qu'il puisse créer de comptes locaux ?

Je reste dispo si vous avez des questions. Pour espérer savoir comment corriger ce problème faut vraiment foutre la tête dans ce merdier des comptes Windows...

Merci d'avance pour les réponses.

Cordialement,

Nckd

GPO et Groupes restreints : ça te permettra d'insérer ton responsable dans le groupe Administrateurs local de chaque machine ciblée.
 
Par contre, tu le pourras pas l'empêcher de créer des comptes locaux...il sera administrateur, donc par essence, il pourra faire ce qu'il veut sur le poste.

Merci pour la rapidité de la réponse

La procédure à suivre serait d'ajouter le profil réseau du responsable dans le groupe administrateurs(local) et de coupler le tout par une GPO ? C'est bien ça ?

Après c'est sur qu'a un moment il va bien falloir que je face confiance aux responsables... même si en informatique c'est pas toujours top    

Ben en gros c'est ça. La GPO Groupes restreints te permettra d'injecter facilement leurs comptes (ou un groupe spécifique que tu auras créé), plutôt que de passer poste par poste.
 
D'un autre côté, je ne vois pas trop pourquoi les responsables devraient être administrateurs des postes de travail...C'est parce qu'ils servent de relais technique ? (agences distantes, etc.)

Les responsables sont justes les personnes désignées dans chaque service afin de gérer les postes et uniquement ceux de leur service. Moi j'ai juste à les entrés dans le domaine, faire les configs de base et c'est tout.  
Je vais me remettre dedans, refais une GPO et ajouter les comptes responsables inside, puis ajouter ces mêmes compte en administrateur local sur un poste pour voir se que ça donne.
 
Par contre, la première chose qui me viens a l'esprit, si je les mets en administrateur local, est-ce que la GPO va etre prise en compte. Parce que je suppose que le profil local aura la priorité sur le profil réseau. hum hum

Hein ? Je t'ai pas dit de créer des comptes locaux... Je t'ai simplement dit d'utiliser la GPO des Groupes restreints (recherche pour savoir ce que c'est et comment ça fonctionne).
Tu peux aussi te passer de cette GPO si tu insères manuellement les comptes AD des responsables dans le groupe Administrateurs local de chaque machine.

Tu créés une GPO attachée à chaque OU de service, qui injecte un groupe contenant le responsable de service dans le groupe admins locaux via groupes restreints. Mais tu n'as surtout pas besoin d'ajouter les comptes manuellement sur chaque poste

C'est ce que lui proposes, mais visiblement il aime bien se compliquer la vie

Oui voila c'est comme ça que je l'ai compris. Ajouter au groupe administrateur local chaque profil réseau des responsables.
Ok, je me documente sur les GPO des groupes restreints. Je fais les tests et je vous tiens au jus.

Merci pour les réponses Wolfman et Nebulios

C'est juste qu'il ne connait pas ce qu'est une délégation je pense  

1- toi non plus tu ne te connectes pas en admin. Du domaine ... C'est inutile
2- tu crées un groupe ad qui est admin local de toutes les workstations, et tu mets tes usées spéciaux + toi dans ce groupe
3- tu utilises un compte standard au quotidien.

Voila j'ai mis en place la solution proposé par Wolfman. Tout est OK. Bon les responsables font quand même parti du groupe administrateurs (local), mais bon on avisera en fonction des phases de test. Merci pour l'aide.  
 
Coté délégation, non je ne gère pas. Si vous avez le courage de m'expliquer, je suis tout ouie.
 
Cordialement,