Je cherche à créer un compte similaire à un Admin du domaine, mais sans accès aux contrôleurs de domaine. En d’autres termes, ce compte aura tous les droits d’administrateur sur n’importe quelle machine cliente du domaine, pourra ajouter des machines au domaine, mais n’aura que des droits utilisateur limités sur les serveurs.
Ce compte sera utilisé par une personne dans un rôle de support technique pour les utilisateurs finaux. Elle devrait avoir un accès complet aux machines clientes pour installer des pilotes, des applications, etc., mais je ne veux pas qu’elle ait accès aux serveurs.
Bien que je pourrais probablement bricoler quelque chose moi-même via les stratégies, ce sera probablement désordonné, alors j’ai pensé demander : quelle est la bonne façon de procéder ?
Nous faisons quelque chose de similaire dans nos bureaux distants. Premièrement, créez un groupe pour les pseudo-administrateurs dans le domaine. Dans AD, déléguez le contrôle aux UO qu’ils pourraient devoir gérer (créer/supprimer des comptes, ou peut-être simplement réinitialiser des mots de passe, ou rien du tout).
Ensuite, utilisez la stratégie de groupe pour ajouter votre groupe au groupe Administrateurs local sur les postes de travail et les serveurs en utilisant Ordinateur\Paramètres Windows\Paramètres de sécurité\Groupes restreints. Ne déployez pas cette stratégie sur l’UO des contrôleurs de domaine ni sur les UO contenant vos serveurs.
Cela dépend évidemment d’avoir un AD configuré de manière à séparer les systèmes clients des serveurs.