Pour les admins Active Directory : Question GPO
Pour les admins Active Directory : Question GPO - Win NT/2K/XP - Windows & Software
Marsh Posté le 17-09-2007 à 10:29:50
S'ils arrivent a faire ça c'est qu'ils sont admins de leurs postes, commence par corriger ça car tant que ce sera le cas tu pourras difficilement limiter quoi que ce soit de façon fiable.
Marsh Posté le 17-09-2007 à 10:31:06
Malheureusement ils ont besoin d'etre admin de leur poste.
Mais meme admins de leur poste, ce sont des comptes réseaux donc leurs droits seront sucrés une fois la GPO en place, meme en étant admin local.
Marsh Posté le 17-09-2007 à 11:13:15
| moi_antoine a écrit : Malheureusement ils ont besoin d'etre admin de leur poste. |
Demande toi tres tres fort si c'est vraiment le cas, car y'a vraiment de moins en moins de vraies bonnes raisons pour...
| Citation : Mais meme admins de leur poste, ce sont des comptes réseaux donc leurs droits seront sucrés une fois la GPO en place, meme en étant admin local. |
Mais ils auront toujours beaucoup plus de droits qu'un simple utilisateur sans GPO pour les brider, et si toi tu devrais penser a couvrir tous les angles possibles par GPO pour eviter les conneries, eux n'auront qu'a trouver un seul truc auquel tu n'auras pas penser.
Message édité par El Pollo Diablo le 17-09-2007 à 11:13:31
Marsh Posté le 17-09-2007 à 11:45:39
| El Pollo Diablo a écrit :
|
Lol. Me suis déja demandé très très fort, mais des applis métiers ont besoin d'accéder à des choses dans la base de registres, donc voilà!
En fouillant j'ai peut etre trouvé ma réponse ! A savoir :
- Aller dans "Configurations Utilisateur" -> "Modèles d'administration" -> "Composants Windows" -> "Microsoft Management Console" -> "Composants logiciels enfichables restreints/autorisés" puis Désactiver "Services". Cela aura pour effet d'empêcher de lancer "services.msc" à partir du menu "Démarrer -> exécuter"
- Aller dans "Configurations Utilisateur" -> "Modèles d'administration" -> "Composants Windows" -> "Explorateur windows" puis Activer "Masquer l'élément gérer du menu contextuel windows Explorer".
Cela aura pour effet l'impossibilité pour l'utilisateur d'accéder aux services en faisant un clique droit sur le poste de travail puis sur "Gérer".
Je pense que comme ça ca va se compliquer pour eux non?!
Message édité par moi_antoine le 17-09-2007 à 11:51:41
Marsh Posté le 17-09-2007 à 11:51:28
| moi_antoine a écrit : Lol. Me suis déja demandé très très fort, mais des applis métiers ont besoin d'accéder à des choses dans la base de registres, donc voilà! |
Donc voila, mets les droits dont tu as besoin pour les utilisateurs pour les clés de registre concernées, ça se fait tres simplement par GPO.
| Citation : En fouillant j'ai peut etre trouvé ma réponse ! A savoir : Je pense que comme ça ca va se compliquer pour eux non?! |
Bof.
demarrer, executer, net stop nomduservice
![[:spamafote]](https://forum-images.hardware.fr/images/perso/spamafote.gif "[:spamafote]")
Message édité par El Pollo Diablo le 17-09-2007 à 11:52:54
Marsh Posté le 17-09-2007 à 12:05:07
S'ils ont le pass du compte administrateur du poste, un petit coup de runas et le tour est joué 
Sujets relatifs:
- Question sur les clients légers
- Question réseau windows / mac
- Question sur une licence
- [internet] question bête
- question MS Project
- question dual boot vista / xp
- Virus or not virus ? That is the Question !
- Question désinstalation norton
- [AVAST] Accès aux pages Web impossible si le bouclier web est activé
Marsh Posté le 17-09-2007 à 10:17:43
Hello!
Voilà, je cherche je cherche mais je trouve pas!
Ma question :
Comment empêcher aux utilisateurs, via une GPO, de gérer les services sur leurs postes de travail ?
Ya des ptits malins qui en arrêtent etc et ca m'énerve!
Merci!