Salut, petite question sur votre façon de procéder avec un parc sous Windows 10. Actuellement nous sommes sous Win7 avec un AD et le compte administrateur local est activé avec un mot de passe sur tous les pc.
L'UAC est activé donc ce compte sert à dépanner les users et surtout quand un pc sort du domaine.
 
Sous windows10, vous utilisez le vrai compte administrateur local ou un autre compte local qui a les droits admin?
 
Merci d'avance

bah si tu as un ad tu utilises un compte du domaine qui a les droits d'admin

Bonjour, oui mais quand tu sors le pc du domaine il te faut un compte pour pouvoir ouvrir une session en local.

on le sort pas du domaine et non on utilise jamais le compte builtin administrateur

Perso, le compte administrateur local est désactivé sur les postes clients.
 
Si le poste vient à sortir du domaine :
- soit c'est de mon fait et je le réactive ou j'en crée un autre temporaire avant de sortir le poste du domaine.
- soit c'est du fait de l'utilisateur. Il a merdé. Dans ce cas, je réactive le compte avec un live CD pour ouvrir une session locale et le remettre dans le domaine.

Salut, alors déjà notre système de déploiement fait qu'un pc n'est pas dans le domaine suite au déploiement de l'image donc il nous faut ce compte local admin. Ensuite il nous arrive que des pc pour je ne sais quelle raison se retrouve hors du domaine mais pas complétement, ce qui nécessite une réelle sortie du domaine pour le re-rentrer donc créer un compte temporaire local a chaque fois ca va être pénible.

Afin de joindre le domaine, tu peux ouvrir une session locale avec un compte membre du groupe des administrateurs sans pour autant utiliser le compte "administrateur".
Il faut mieux désactiver ce compte.
 
Concernant les postes qui sortent seuls du domaine, il faudrait investiguer sur la cause.

Oui en fait ma question c'était ça, vaut il mieux le vrai compte admin ou un compte qui a les droits admin.

Pour le problème des pc qui sortent du domaine, je suis bien d'accord mais tout est question de priorité et ça n'en n'est pas une actuellement

Merci

 
Même désactivé le compte administrateur (builtin) local reste actif/utilisable lorsque l'on démarre le pc en mode sans échec (le live cd est inutile).

Je me permets de poster ici,
 
Pour info pourquoi il ne faut pas utiliser le compte bultin administrateur?
 

le SID du compte est le même partout.
donc vecteur d'attaque simple

merci!

Dans le cas un clonage de machine (avec FOG par exemple).
 
Si je créé un compte dans le groupe admin, il aura aussi le meme SID sur toutes les machines clonées, donc le problème est le meme.

Tu peux faire une GPO qui désactive ton compte administrateur une fois le domaine joint, et qui créée un compte local, qui sera admin local de la machine.
Comme ça si tu sors du domaine tu as toujours ce compte.
Sinon quand tu as un problème de relation d'approbation, tu peux suivre l'assistant "identité sur le réseau" plutôt que de sortir le pc du domaine pour le remettre, ça t'évite un reboot.

Dans la vrai vie on fait pas ce genre de trucs

Fog ou le compte admin local?

ou les 2?

Les deux.

du coup dans la vraie vie on fait comment?

SCCM? pas le budget.

MDT, déja expérimenté, on a des logiciels scientifiques pesant pour certains plusieurs dizaine de gigas, avec des configurations précises c'est une usine à gaz.

 
+1  
nous on fait comme ça. chaque compte admin local à un mot de passe spécifique et on a un outil dispo aux admin qui donne le pass du pc en question.
c'est pratique

Bonjour je voudrai savoir quelles sont les spécificités de la GPO en question.
 
Merci

il faut utiliser LAPS

+1 mdt intègre au domaine et tu rajoutes une couche de LAPS.  
 
Si besoin, t’as un groupe ad/user admin local pour dépannage.  
 
Pour les softs scientifiques spécifiques.. tu déploies sur chaque machine ? Tu peux capturer une image pour tes  scientifiques  et une image pour tes secrétaires