[AD] OU, gestion des droits admin, delegation et autres

OU, gestion des droits admin, delegation et autres [AD] - Windows & Software

Marsh Posté le 18-10-2005 à 15:19:31    

Bonjour à tous,
 
Dans ma boite, on veut mette en place la structure suivante (sachant qu'on a 4 domaines NT representant chacun une societé pour le moment) :
- 1 domaine unique sous Windows 2003
- 1 OU par socièté à l'interieur de laquelle on mettrait une sous-OU Users, computeurs, servers, printers, etc ...
 
Le but est que chaque service info puisse géré chacun sa propre OU (création de comptes, GPO et autres)
Pour cela, j'utilise la delegation d'administration et j'arrive sans problème à donner les droits a un compte utilisateur pour qu'il gère  une OU particulière.
 
Mais mon but serait que cette personne puisse être administratrice des PCs et serveurs qui se trouvent dans l'OU dont elle a la gestion.
Car je ne peux pas lui mettre les droits d'admins sinon elle pourrait potentiellement interferer sur l'OU d'une autre socièté.
 
La seule solution que je vois pour le moment est de mettre manuellement (ou au mieux par script) cette personne dans le groupe admin local de chaque poste qu'elle gère, mais ca implique de faire appel au "super admin" pour effectuer cette manip.
 
N'y a t'il pas une autre solution plus facile qui ferait perdre moins de temps ?
 
Merci pour vos reponses

Reply

Marsh Posté le 18-10-2005 à 15:19:31   

Reply

Marsh Posté le 18-10-2005 à 16:59:35    

Bide hélas ...
Pourtant j'aurais vraiment besoin d'un debut de piste  :cry:  
Dites moi si vous voulez des eclaircissements ou précisions

Reply

Marsh Posté le 18-10-2005 à 17:20:56    

Peut-être tu peux faire une GPO par societé, et mettre dans cette GPO l'utilisateur dupont comme admin local. Ca ferait en gros la même chose que ta solution, mais de façon automatique.

Reply

Marsh Posté le 18-10-2005 à 17:44:36    

Interessant ca. Je vais regarder ca de plus près.
Merci   :hello:  
 
D'autres idées peut-etre

Reply

Marsh Posté le 19-10-2005 à 10:16:40    

Alors je reviens vers vous :
J'ai trouvé l'utilisation des "groupes restreints", mais visiblement ca impose de faire une manip sur chaque poste client à chaque fois.
Connaissez-vous une GPO qui ajoute automatiquement un compte ou groupe au groupe admin local de la machine ??

Reply

Marsh Posté le 19-10-2005 à 16:59:36    

sur chaque OU tu peux faire une délégation de controle (bouton droit sur OU puis délegation de controle).
 
 

Reply

Marsh Posté le 19-10-2005 à 17:01:53    

Bon bah en fait c'est ce que je voulais finalement "groupes restreints".
Effectivement, tu fais la manip la premiere fois sur un poste et après ca marche pour tous.
Merci en tout cas Petoulachi pour ton debut de piste
 
 :hello:

Reply

Marsh Posté le 19-10-2005 à 17:03:11    

Pour ma part, j'utilise une GPO Ordinateur avec un VBS afin d'ajouter un groupe en tant que local admin
Sinon tu utilises les groupes restreints dans les GPO Ordi
 
Le VBS pour ajouter le groupe INTERACTIF, mais tu peux faire de même pour un autre groupe
 

Option Explicit
On Error Resume Next
 
Dim objComputerInformation, objGroup
Dim strComputerName
 
Set objComputerInformation = CreateObject("WScript.Network" )
 
'Get name of workstation running the script
strComputerName = objComputerInformation.ComputerName
 
'Add INTERACTIVE to the Administrators group
Set objGroup = GetObject ("WinNT://" & strComputerName & "/Administrateurs" )
objGroup.Add ("WinNT://AUTORITE NT/INTERACTIF" )
objGroup.SetInfo
 
Set objComputerInformation = Nothing
Set objGroup = Nothing
Set strComputerName = Nothing

Reply

Marsh Posté le 19-10-2005 à 17:05:21    

akabis a écrit :

sur chaque OU tu peux faire une délégation de controle (bouton droit sur OU puis délegation de controle).


 
Bonjour Akabis,
 
Merci pour ta participation.
La delegation de controle permet effectivement de gerer l'OU par la personne que tu designes (ca marche très bien), mais ca ne la rends pas administrateurs des machines.
C'est donc là ou interviennent les groupes restreints, même si j'avoue avoir cru à une solution plus simple à mettre en oeuvre

Reply

Marsh Posté le 19-10-2005 à 17:08:45    

Jef34 a écrit :

Pour ma part, j'utilise une GPO Ordinateur avec un VBS afin d'ajouter un groupe en tant que local admin
Sinon tu utilises les groupes restreints dans les GPO Ordi
 
Le VBS pour ajouter le groupe INTERACTIF, mais tu peux faire de même pour un autre groupe
 

Option Explicit
On Error Resume Next
 
Dim objComputerInformation, objGroup
Dim strComputerName
 
Set objComputerInformation = CreateObject("WScript.Network" )
 
'Get name of workstation running the script
strComputerName = objComputerInformation.ComputerName
 
'Add INTERACTIVE to the Administrators group
Set objGroup = GetObject ("WinNT://" & strComputerName & "/Administrateurs" )
objGroup.Add ("WinNT://AUTORITE NT/INTERACTIF" )
objGroup.SetInfo
 
Set objComputerInformation = Nothing
Set objGroup = Nothing
Set strComputerName = Nothing



 
Ah le VBS ...
je rêve de le maitriser. Ca permet vraiment de faire ce que tu veux.
Merci en tout cas pour ce script, je me le mets sous le coude. Je suis sur que ca me servira pour d'autres utilisations

Reply

Marsh Posté le 19-10-2005 à 17:08:45   

Reply

Marsh Posté le 19-10-2005 à 17:13:27    

jkley a écrit :

Bon bah en fait c'est ce que je voulais finalement "groupes restreints".
Effectivement, tu fais la manip la premiere fois sur un poste et après ca marche pour tous.
Merci en tout cas Petoulachi pour ton debut de piste
 
 :hello:


Désolé j'avais oublié ce post :/
 
Je ne comprends pas ce que tu dis. Il faut en effet passer par les groupes restreints, mais normalement il suffit de le définir au niveau de la GPO de l'OU de ta société pour que cela soit répercuté automatiquement sur tous les postes/serveurs appartenant à cette OU.
Que veux-tu dire par "Effectivement, tu fais la manip la premiere fois sur un poste et après ca marche pour tous" ?

Reply

Marsh Posté le 19-10-2005 à 17:36:32    

Bah en fait, j'avais suivi ce tutoriel sur le labo microsoft :
 
http://www.laboratoire-microsoft.o [...] estreints/
 
Mais je ne le trouvais pas d'une très grande clarté, c'est pour ca que j'ai mis du temps à comprendre.
En effet, au final, il n'y a pas besoin de cette manip. J'ai l'impression qu'il s'est un peu compliqué la vie, mais je pense qu'il voulait montrer un cas particulier (notamment le groupe "power users" )
 
 :jap:

Reply

Marsh Posté le 08-11-2005 à 16:14:09    

jkley a écrit :

Bah en fait, j'avais suivi ce tutoriel sur le labo microsoft :
 
http://www.laboratoire-microsoft.o [...] estreints/
 
Mais je ne le trouvais pas d'une très grande clarté, c'est pour ca que j'ai mis du temps à comprendre.
En effet, au final, il n'y a pas besoin de cette manip. J'ai l'impression qu'il s'est un peu compliqué la vie, mais je pense qu'il voulait montrer un cas particulier (notamment le groupe "power users" )
 
 :jap:


 
salut,
 
hasard, pourrais tu donner une explication plus détailler, car ce tutoriel, je n'y comprend absolument rien....
 
merci d'avance

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed