retirer des user du groupe local "administrateurs" par gpo ?

retirer des user du groupe local "administrateurs" par gpo ? - Poste de travail - Systèmes & Réseaux Pro

Marsh Posté le 04-10-2012 à 15:03:02    

Bonjour,
 
je cherche a nettoyer le groupe "administrateurs" de nos postes.
 
on a quelques postes sur lesquels des users sont dans ce groupe sans que ce soit utile.
 
j'ai bien pensé au groupe restreint, mais ça ne permet que d'ajouter des comptes a un groupe et non a les en sortir....
 
est ce qu'il y a une astuce pour faire cela via GPO?
 
merci!!!!


Message édité par rodrigo35 le 04-10-2012 à 15:03:31
Reply

Marsh Posté le 04-10-2012 à 15:03:02   

Reply

Marsh Posté le 04-10-2012 à 15:05:54    

Oui via GPP.

Reply

Marsh Posté le 04-10-2012 à 15:08:37    

Les groupes restreint n'ajoute pas un compte à un groupe,
mais remplace le contenu du groupe par celui de la GPO, a ne pas oublier de remettre les groupes par défaut existant.

Reply

Marsh Posté le 04-10-2012 à 18:38:32    

Effectivement l'utilisation d'une GPP est vraiment recommandée , ça t'évitera d'avoir des comptes admin local rajouté par des personnes peu scrupuleuses.
Par contre il faut la gérer avec un groupe AD qui contiendra les utilisateurs autorisaient à être admin local.  
Au démarrage de la machine le groupe est directement inséré en tant que membre du groupe local administrateur, tes utilisateurs eux sont gérés depuis l'AD et seront membres de ce groupe si tu veux qu'il soit admin local des postes.

Reply

Marsh Posté le 04-10-2012 à 19:09:15    

Je pense qu'une simple GPO est suffisant, attention à la version des postes ciblés en cas d'utililisation des préférences dans les GPO, selon l'os il faut installer un patch.
Je ne vois pas trop pourquoi passer par des GPP plutôt qu'une simple GPO.
 
Attention si tu utilise une GPo avec des groupes restreints pour faire un remplacement, il faut penser à mettre les groupes par défauts comme admin du domaines dans le groupe administrateurs.
 
Sinon un petit lien
http://blog.portail-mcse.net/index [...] -Directory

Reply

Marsh Posté le 04-10-2012 à 19:52:36    

phil255 a écrit :

Les groupes restreint n'ajoute pas un compte à un groupe,
mais remplace le contenu du groupe par celui de la GPO, a ne pas oublier de remettre les groupes par défaut existant.


 
Non, tu as 2 parties dans les groupes restreints.
La première où tu définies les membres du groupes ou le 2ème qui permet d'ajouter des membres.
 
Par exemple :
Tu crées Administrators et tu mets dans la partie haute "DOMAIN\Admins PDT" "DOMAIN\Admins de domaine" etc.
Ca écrasera le groupe admin avec ce que tu as mis.
 
SINON
Tu crées "DOMAIN\Admins PDT" et tu mets dans la partie basse "Administrators" et ça ajoutera le groupe Admins PDT au groupe local administrators en n'enlevant pas les autres.
 
Sinon pour la gestion des comptes admin, soit tu passes par des GPP, des scripts de startup, un service de gestion d'habilitation etc.

Reply

Marsh Posté le 04-10-2012 à 19:53:59    

Une GPP (de type remplacer) suffira, et à l'avantage d'être plus souple et moins destructive que passer par les groupes restreints.

Reply

Marsh Posté le 04-10-2012 à 20:26:55    

Je@nb a écrit :


 
Non, tu as 2 parties dans les groupes restreints.
La première où tu définies les membres du groupes ou le 2ème qui permet d'ajouter des membres.
 
Par exemple :
Tu crées Administrators et tu mets dans la partie haute "DOMAIN\Admins PDT" "DOMAIN\Admins de domaine" etc.
Ca écrasera le groupe admin avec ce que tu as mis.
 
SINON
Tu crées "DOMAIN\Admins PDT" et tu mets dans la partie basse "Administrators" et ça ajoutera le groupe Admins PDT au groupe local administrators en n'enlevant pas les autres.
 
Sinon pour la gestion des comptes admin, soit tu passes par des GPP, des scripts de startup, un service de gestion d'habilitation etc.


 
Oui, sais pas ce qui est expliqué dans le lien que j'ai mis.
Ben je reconnais que c'est pas très clair le premier post.

Reply

Marsh Posté le 04-10-2012 à 20:28:12    

phil255 a écrit :

Je pense qu'une simple GPO est suffisant, attention à la version des postes ciblés en cas d'utililisation des préférences dans les GPO, selon l'os il faut installer un patch.
Je ne vois pas trop pourquoi passer par des GPP plutôt qu'une simple GPO.

 

Le problème des groupes restreints c'est que tu peux pas mixer les 2 modes . Si tu dois gérer plusieurs postes avec des admins locaux différents , je te souhaite bon courage . Tu vas augmenter le nombre de GPO de façon exponentiel.
La maintenance risque d'être difficile .
Avec la GPP tu pourras utiliser les variables %computername% par exemple afin de simplement construire quelque chose de plus dynamique avec les groupes de ton AD . Ainsi tu n'auras pas de multiplication de GPO juste pour maintenir une liste d'admin locaux différents sur chaque poste .
Pour avoir mis ça en place pour nos chercheurs , y'a pas mieux comme solution de flexibilité. :lol:


Message édité par statoon54 le 04-10-2012 à 20:29:36
Reply

Marsh Posté le 04-10-2012 à 20:29:10    

nebulios a écrit :

Une GPP (de type remplacer) suffira, et à l'avantage d'être plus souple et moins destructive que passer par les groupes restreints.


 
T'as déjà réussi à détruire un serveur avec des groupes restreints ?  
Les GPP dépend de l'os client, selon le cas il faut installer la MAJ correspondante.
 
:-)

Reply

Marsh Posté le 04-10-2012 à 20:29:10   

Reply

Marsh Posté le 04-10-2012 à 20:36:02    

phil255 a écrit :

 

T'as déjà réussi à détruire un serveur avec des groupes restreints ?
Les GPP dépend de l'os client, selon le cas il faut installer la MAJ correspondante.

 

:-)

 

Oué enfin les GPPs ça existe depuis XP , et c'est même déployable via WSUS .
Alors honnêtement il y a aucun problème avec l'OS ,c'est même une "OBLIGATION DE LES AVOIR" pour manager son parc.
Et les groupes restreints c'est trop limiter point barre .

Message cité 1 fois
Message édité par statoon54 le 04-10-2012 à 20:36:39
Reply

Marsh Posté le 04-10-2012 à 20:36:30    

Le mieux c'est d'éviter surtout d'avoir des utilisateurs admins et d'utiliser des vrais produits pour faire de l'élévation de privilèges par process, selon conditions etc ou comprendre pourquoi l'appli a besoin de droits et comment passer outre (si c'est parce qu'un dossier a besoin de droits d'écriture bah tu les mets)
Appsense Application management, Beyond Trust, etc.

Reply

Marsh Posté le 04-10-2012 à 20:40:41    

Je@nb a écrit :

Le mieux c'est d'éviter surtout d'avoir des utilisateurs admins et d'utiliser des vrais produits pour faire de l'élévation de privilèges par process, selon conditions etc ou comprendre pourquoi l'appli a besoin de droits et comment passer outre (si c'est parce qu'un dossier a besoin de droits d'écriture bah tu les mets)
Appsense Application management, Beyond Trust, etc.


 
On est bien d'accord sur ce point, mais on sait très bien que pendant encore de longues années ce ne sera pas encore le cas . :whistle:  
 

Reply

Marsh Posté le 04-10-2012 à 20:45:30    

statoon54 a écrit :


 
On est bien d'accord sur ce point, mais on sait très bien que pendant encore de longues années ce ne sera pas encore le cas . :whistle:  
 


 
Ca dépend de la motivation des gens. Dans mon taf personne n'est admin de son poste, même pas moi. Ce qui en on besoin on un compte d'administration en supp correspondant au opération dont ils sont responsables. Cela marche très bien.
 

Reply

Marsh Posté le 04-10-2012 à 20:51:48    

statoon54 a écrit :


 
Oué enfin les GPPs ça existe depuis XP , et c'est même déployable via WSUS .  
Alors honnêtement il y a aucun problème avec l'OS ,c'est même une "OBLIGATION DE LES AVOIR" pour manager son parc.
Et les groupes restreints c'est trop limiter point barre .


Tu me vois désoler si j'ai du mal à te suivre. Ce n'est par ce qu'un truc sait faire plus qu'un autre que ce dernier n'est pas suffisant pour la demande.
 
Je ne vois pas en quoi mettre le patch pour les GPP et une obligation.
 
Je n'ai pas dit non plus qu'il y avait un problème avec l'OS pour mettre le patch.
 
C'est pas par ce que toi tu aime cette solution que tu dois croire que c'est la seul. Ne fais pas de tes caprices une loi universelle.
 

Reply

Marsh Posté le 04-10-2012 à 20:53:36    

phil255 a écrit :


 
Ca dépend de la motivation des gens. Dans mon taf personne n'est admin de son poste, même pas moi. Ce qui en on besoin on un compte d'administration en supp correspondant au opération dont ils sont responsables. Cela marche très bien.
 


 
Pareil pour moi pour une grande majorité d'utilisateur,  mais quand tu as une gamme d'utilisateurs qui ne peux faire autrement (installation d'applications spécifiques) , c'est la solution la moins complexe à mettre en oeuvre.
 
 
 
 

Reply

Marsh Posté le 04-10-2012 à 20:57:16    

phil255 a écrit :


 
T'as déjà réussi à détruire un serveur avec des groupes restreints ?  
Les GPP dépend de l'os client, selon le cas il faut installer la MAJ correspondante.
 
:-)


L'avantage des GPP c'est que tu peux (souvent) revenir en arrière, les groupes restreints moins  :D Faut être un peu plus prudent avec ces derniers, ils font le ménage facilement.

Reply

Marsh Posté le 04-10-2012 à 20:57:36    

statoon54 a écrit :


 
Pareil pour moi pour une grande majorité d'utilisateur,  mais quand tu as une gamme d'utilisateurs qui ne peux faire autrement (installation d'applications spécifiques) , c'est la solution la moins complexe à mettre en oeuvre.
 
 
 
 


 
Je te promets que dans mon domaine on a que du très spécifique et des éditeurs qui veulent des comptes en admin et pas d'UAC. Avec quelques petites recherches et des tools, il n'a pas été difficile de retrouver qu'elle droit sur les dossiers et registre il fallait mettre en place pour obtenir un résultat et compenser le manque d’effort de l'éditeur.

Reply

Marsh Posté le 04-10-2012 à 20:58:22    

phil255 a écrit :


Tu me vois désoler si j'ai du mal à te suivre. Ce n'est par ce qu'un truc sait faire plus qu'un autre que ce dernier n'est pas suffisant pour la demande.
 
Je ne vois pas en quoi mettre le patch pour les GPP et une obligation.
 
Je n'ai pas dit non plus qu'il y avait un problème avec l'OS pour mettre le patch.
 
C'est pas par ce que toi tu aime cette solution que tu dois croire que c'est la seul. Ne fais pas de tes caprices une loi universelle.
 


 
Justement je n'ai jamais dit que la solution des groupes restreints n'était pas viable , simplement elle est moins flexible que celle de la GPP  et c'est pas en te cachant derrière la version de ton OS que ça changera quelque chose.

Reply

Marsh Posté le 04-10-2012 à 20:59:25    

nebulios a écrit :


L'avantage des GPP c'est que tu peux (souvent) revenir en arrière, les groupes restreints moins  :D Faut être un peu plus prudent avec ces derniers, ils font le ménage facilement.


 
+1
La je suis d'accord avec cet argument.

Reply

Marsh Posté le 04-10-2012 à 21:12:36    

statoon54 a écrit :


 
On est bien d'accord sur ce point, mais on sait très bien que pendant encore de longues années ce ne sera pas encore le cas . :whistle:  
 


 
C'est un peu comme mon client actuel :
France 1300 admins sur 8000 users environ, US 50 admins pour 1500 users (dont 45 IT, les 5 autres étant des users spécifiques).
 
Dans un cas les droits d'admins sont donnés par facilité, dans l'autre ya une vrai demande justifiée :D

Reply

Marsh Posté le 04-10-2012 à 21:17:42    

nebulios a écrit :


L'avantage des GPP c'est que tu peux (souvent) revenir en arrière, les groupes restreints moins  :D Faut être un peu plus prudent avec ces derniers, ils font le ménage facilement.


 

Je@nb a écrit :


 
C'est un peu comme mon client actuel :
France 1300 admins sur 8000 users environ, US 50 admins pour 1500 users (dont 45 IT, les 5 autres étant des users spécifiques).
 
Dans un cas les droits d'admins sont donnés par facilité, dans l'autre ya une vrai demande justifiée :D


 
+1 :D  

Reply

Marsh Posté le 04-02-2013 à 20:09:35    

mais clair personne ne doit etre admin ( a part l'IT bien sur :o)... donc GPO, et les quelques exceptions c'est largement gérable meme a posteriori... suffit de creer une OU et de mettre les droits qui vont bien, un peu contraignant pour la mise en place (on va dire 5mn pour un user en plus) mais comme ça n'arrive quasi jamais, perso je procède comme cela.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed