Groupe Restreint:Ajouter groupe admin local ds GPO ? [Active Directory] - Win NT/2K/XP - Windows & Software
Marsh Posté le 20-07-2004 à 15:06:30
genial merci beaucoup!
Je pensais quassi que c etait ok avec les groupes restreints mais je me pose une question.
Est ce qu en definissant ces groupes de mon choix,et que je ne mets donc pas le groupe admin du domaine par exemple,cela signifiera que les admins du domaines ne pourront y acceder ?
Je dis ca car il y a des domaines parents et ils ont besoin d acceder a ces machines en tatn qu admins locales et je ne connais pas tout les groupes admin parents donc pasp ossibilité de les rajouter a la main
(dsl pr les fautes de frappe,j suis en remote de mon taff et ca laaaag )
Marsh Posté le 20-07-2004 à 15:26:48
AH oui l'autre kestion ke je me pose aussi est : si je souhaites ajouter l'utilisatemembre de sa machine comme admin de cete derniere, les restriction de groupe ne vont elle pas m en empecher ?
Marsh Posté le 21-07-2004 à 14:46:18
Erf! déjà page 2... petit up
A ma connaissance, lors de l'activation d'une strat de groupes restreints, seul le compte local prédéfini administrateur (ou renommé) reste dans le groupe local Adms. Ce même s'il n'appartient pas à la liste des membres du groupe restreint. Ce compte reste dans la SAM locale du poste ou serveur membre et n'est pas retiré. En d'autres termes, tous les autres utilisateurs ou groupes non listés en tant que membre du groupe restreint sont retirés (finalité du groupe restreint).
Donc, en l'absence de conventions de nommage des objets dans la boîte, la seule possibilité que je vois, si tu veux utiliser la start, outre de trouver l'user qui connaît tous les noms de groupes (parents/enfants), serait de retrouver les groupes globaux en question grâce à leur SID(surtout le RID) (liste....
Il existe pas mal de méthodes, pour retrouver des SID spécifiques... jamais creusé...
Ceci étant dit, avec une strat de grp restreint, rien n'empêche à un membre de groupe local administrateurs d'ajouter un user à ce groupe. Cependant, logué en dom, cet user ne bénéficiera des privilèges d'admin que pendant le solde du refresh interval de la start de groupe et sera retiré du groupe si celui-ci n'est pas membre du groupe restreint relatif à Administrateurs.
Les articles foisonnent, juste un, depuis le 2k SP4 http://support.microsoft.com/defau [...] ;fr;810076
Bien qu'apparemment, ça ne déplace pas les foules, un intervenant plus pointu sur l'affaire apportera, sûrement, des précisions voir des corrections...
...
Marsh Posté le 21-07-2004 à 20:47:30
Merci Dahlo, je me sens moins seul face a mes groupes restreints.
Sur les autres forum aussi, j'ai trés peu de reponses.
Voila ce qu'ont donné mes tests :
----------------------------------------------------------------------------------------------------------------
Il ne faut pas en réalité que j'ajoute le groupe restreint 'administrateurs' puis que j'y indique ses membres.
Il faut plutot que je crée un groupe "Support" dans mon AD puis que je definisse ce groupe en tant que groupe restreint via GPO.
Ensuite dans les proprietes de ce groupe restreint, je précise qu'il est "membre de " "administrateurs".
Voila un secedit /refreshoplicy machine_policy /enforce et lorsque je vais dans le groupe "administrateurs" des postes locaux de mon OU, je vois alors bien mon groupe ajouté
----------------------------------------------------------------------------------------------------------------
Ca c'est ce que je pensais (c/c d'un de mes posts sur un autre forum)
Mais dans la pratique voila :
--------------------------------------------------------------------------------------------------------------------
Sur ma plateforme de test,j ai deux postes.
Un Win2k SP4 sur lequel la stratégie est correctement appliquée.
Un win2k SP2, ou un winXP sur lequel la stratégie ne l'est pas.Je ne vois pas mon groupe "Support" dans les admins locaux de ce poste, alors que sous le SP4 oui.
--------------------------------------------------------------------------------------------------------------------
Et de chez moi voila les resultats :
-----------------------------------------------------------------------------------------------------------------
Rien ne fonctionne,alors comme ca on peut resumer la situation plus facilement.
Meme sur un win2k SP4 , gpresult me dit bien qu'il a activé la stratégie de cette OU et pourtant rien.Mon groupe global n'apparait pas dans la liste des membres du groupe administrateurs local.
Par contre, si j'ajoute un user a un groupe builtin definit comme restreint alors ca fonctionne.
-------------------------------------------------------------------------------------------------------------------
J 'y comprend plus rien
Marsh Posté le 20-07-2004 à 11:25:15
Bonjour,
désolé mais je n'ai pas d'AD sous les yeux et j'ai besoin de savoir comment faire pour créer un groupe globale de securité (ca c est bon) et l'integrer dans une OU afin que ce groupe soit admin de tout les postes locaux.
En résume ajouter un groupe globale a la liste des administrateurs locaux des machines.
(Je precise que j'aimerai faire ca sur l OU complete et non poste a poste via le "gerer" )
Merci
[quote]
Message édité par bigstyle le 20-07-2004 à 20:10:25