Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Stratégie de groupe : droits administrateur pour des utilisateurs spécifiques sur des ordinateurs spécifiques

ayi

Je suis un programmeur coincé à essayer d’administrer une configuration Active Directory pour une petite entreprise. Le contrôleur de domaine exécute Windows Small Business Server 2008.
Nous avons du personnel de terrain utilisant des tablettes PC ; des problèmes de configuration avec le logiciel ThinkVantage des tablettes nécessitent que ces utilisateurs aient des droits administrateur lorsqu’ils utilisent les tablettes. C’est acceptable – c’est utile qu’ils aient des privilèges étendus quand je les guide par téléphone pour une correction, donc je ne cherche pas de solution de contournement ici.
J’aimerais utiliser la stratégie de groupe pour configurer le scénario suivant : Les utilisateurs d’un groupe de sécurité particulier (ou unité d’organisation) devraient être dans le groupe BUILTIN/Administrators lorsqu’ils sont connectés à des ordinateurs d’un certain groupe de sécurité (ou unité d’organisation). C’est acceptable si les ordinateurs doivent être dans une OU, mais je préférerais assigner les utilisateurs par groupe.
Bien sûr, les travailleurs de terrain ne devraient pas être administrateurs sur d’autres postes de travail, et le personnel de bureau standard ne devrait pas être administrateur sur les tablettes.
Actuellement, cela est géré localement sur chaque tablette, mais à mesure que nous ajoutons de nouveaux employés, cela devient plus contraignant.
J’ai l’impression que les groupes restreints sont la réponse ici, mais sans une bonne base en concepts et méthodes AD, j’ai du mal à y arriver.
Quelle est la technique appropriée pour cette tâche, et comment la mettre en oeuvre ?

ayi_2

Créez un groupe pour regrouper les utilisateurs (Local-Admins-Tablets) et ajoutez-les à ce groupe.
Créez une sous-OU de l’OU des postes de travail actuelle et placez-y les tablettes (Workstations\Tablets).
Créez une GPO (Local-Admins-Tablets-Policy) et liez-la à l’OU Workstations\Tablets.
Dans la GPO, configurez les éléments suivants :
<ul>
<li>
Comp Config - Policies - Windows Settings - Security Settings - Restricted Groups
</li>
<li>
Clic droit, Ajouter un groupe
</li>
<li>
« Administrators », OK
</li>
<li>
Membres de ce groupe : myDomain\Local-Admins-Tablets
</li>
</ul>
Redémarrez les PC, et c’est fait.
Gardez à l’esprit que configurer les groupes restreints écrasera la liste existante des administrateurs locaux des machines. Si vous avez d’autres utilisateurs/groupes déjà présents, vous devrez les ajouter aussi à cette stratégie. D’autres exemples seraient myDomain\Domain Admins, etc.
MODIFICATION : Oh, et modifiez le filtrage sur la GPO et ajoutez Domain Computers. La façon la plus simple de le faire est d’utiliser le composant logiciel enfichable MMC de gestion des stratégies de groupe (vous pouvez l’obtenir depuis les <a href="http://www.google.ca/search?hl=en&safe=off&rlz=1C1GGLS_enCA291CA303&q=remote+server+administration+tool&btnG=Search&meta=&aq=f&oq=">outils d’administration de serveur distant</a> de Microsoft).