Bonjour à tous,
 
Je voudrais savoir si il est possible avec une GPO, la création d'un compte utilisateur admin local de la machine mais qu'on puisse pas ouvrir de session depuis le poste.
 
Le but du compte serait uniquement utilisé pour l'installation de logiciel.
 
merci d'avance pour vos retours expérience.
 
razer69

Bonjour,
 
ça serait pas ça que tu cherches ?
https://learn.microsoft.com/en-us/p [...] on-locally

pk utiliser un compte local admin pour ça ?
Tu fais comme tous les softs de télédistrib, install en compte system

 
ça s'appelle des groupes restreints, avec un compte simple user du domaine inséré dans le groupe admin local de la machine + les restrictions de login de dims. Dans ta situation c'est mieux d'utiliser la fonction de groupe restreint qui ajoute le compte désiré dans le groupe Administrateurs plutôt que celle qui force les membres du dit groupe, c'est casse gueule sans un minimum de design en amont.
 
Par contre je vois pas l'intérêt non plus de la manoeuvre pour installer des softs.
 
Si tu as un logiciel de télédistribution tu passes par lui.
 
Si tu as pas trop de moyen tu fais de l'assignation de packages via GPO comme en formation. C'est un peu dégueu si tu sécurises mal ton point de distribution, mais bon ça marche.
 
https://learn.microsoft.com/fr-fr/t [...] l-software

Bonjour à tous,
 
en fait se sont des PC utilisé avec des logiciels ou il y a souvent des mise à jours. (et ces programmes non pas de autoupdate en mode service) donc il faut être admin pour installer.  
 
Aujourd'hui ils sont admin des pc, mais je voudrais limiter pour qu'au moment d'installation doivent passer en mode administrateur. (Et aussi éviter l'installation de logiciel tiers avec un clic facile avec le  message c'est pas moi c'est installé tout seul...)
 
donc c'est pour ca que je voudrais savoir si il est possible d'avoir un compte admin sans ouverture de session pour eviter qu'il se logue dessus (au lieu de leur session)

Je viens de faire le test pour vérifier, mais un clic droit > exécuter en tant qu'admin et passer un compte alternatif, c'est l'équivalent d'un logon interactif (logon type 2 dans l'observateur d'évènement). Donc tu ne pourras pas leur retirer ce droit.
 
Ca reste une bonne pratique de ne pas les laisser admins locaux au jour le jour mais ça va pas t'aider dans ta situation, tu ne pourras pas les empêcher de passer quand ils veulent avec l'autre compte et faire ce qu'ils veulent, même si c'était possible de retirer le logon interactif au compte. Ils pourraient toujours exécuter ce qu'ils veulent en run as admin.
 
Si tu veux supprimer leur droit admin local tu dois revoir fondamentalement la manière de déployer le logiciel.

salut
 
il existe une solution comme admin by request
https://www.adminbyrequest.com/en
 
on l'utilise , tres pratique car couplé a du MFA  
sa reduit le nombre de ticket au SI et y a des logs

sinon tu peux toujours regarder du côté de LAPS. https://learn.microsoft.com/en-us/w [...] s-overview

Bonsoir a tous,
 
en fat les logiciel a installé sont différent en fonction des PC de maniére aléatoire et les logiciel ne sont déployable facilement. il peut avoir des mise à jour 2-3 fois pas jour.
 
 
c'est pour ca que mon idée est de mettre un compte admin local du PC pour installer les softs (et eviter les installe automatique de logiciel). et le seul element je voulais bloquer ouverture de session avec ce compte admin pour eviter qu'il se logue avec au demarrage de windows

Je suis technicien dans le milieu bancaire. Nous avons un système qui nous permet devenir administrateur local d'un poste, si besoin pour une durée limité de 1h00 et on doit justifier.
Par contre, j'ignore le nom du logiciel ou c'est peut-être du Scripting PowerShell