Bonjour,
 
Voici le contexte de ma demande :
Nous souhaitons supprimer les droits administrateurs des utilisateurs sur leurs postes. A l'heure actuelle, ils sont administrateurs de leur poste.
Ce que nous envisageons, c'est de créer un compte AD à part, dédié à l'utilisateur. Ce compte sera administrateur du poste de l'utilisateur.
Il pourra lui permettre d'installer des logiciels depuis sa session utilisateur.
Jusque là, tout fonctionne.
 
Maintenant, je souhaiterais que le compte administrateur ne puisse pas ouvrir une session sur le PC.
Il doit juste permettre d'installer des logiciels depuis la session de l'utilisateur.
 
Comment est-ce réalisable ?
 
Merci d'avance pour vos retours.

L'utilisateur "administrateur" et le groupe des "administrateurs", ce n'est pas la même chose.
Donc tu places le compte AD de l'utilisateur dans le groupe "administrateurs" du poste client et tu changes le MDP ou tu désactives le compte "administrateur" du poste client.

tu crées des utilisateurs admins pour chaque utilisateur
tu met dans leur compte ad qu'ils peuvent se connecter que à la machine X
tu mets tous les utilisateurs dans un groupe AD genre "workstation admin"
tu crées une gpo qui contient un groupe restreint pour ajouter ce groupe ad aux builtin\administrators
 
c'est dégueu mais ça limite
mais oui tu pourras pas limiter le logon

Ou alors créer une multitude de comptes de service avec un deny sur le logon interactif et le logon RDP.
 
Mais ça reste bien crade ouais

Pas mieux que Je@nb, surtout qu'à la suite pas la peine de passer sur chaque poste.
Pour la création du groupe, une fois ton groupe AD crée, t'as plus qu'à te faire un fichier Excel (en csv à la suite) et passer sur du Powershell afin de faire à la chaîne tes comptes.
Avec une GPO machine pour ajouter ton groupe d'utilisateurs dans le groupe local des administrateurs de la machine