à tous

C'est simple, je crée un compte sur l'AD, je l'ajoute à un groupe administrateur, puis je me log sur un PC client XP pro avec ce compte là.

Résultat : Je suis reconnu en tant qu'utilisateur classic sur ce PC client .. avec toutes les restrictions qui vont avec (impossible d'ouvrir le gestionaire de périfs ect..)

J'ai fait un test en étant toujours loggé avec ce même compte, en essayant d'accéder à un dossier partagé sur le réseau (accessible uniquement par un groupe d'admin) là aucun problème, je suis reconnu comme admin et j'ai tous les droits sur ce dossier partagé.

Quelqu'un a une idée svp ?

J'ai testé plein de chose dont l'ajout de mes groupes administrateurs dans le paramètre "permettre l'ouverture de session localement", GPO ect.. mais rien n'y fait.
J'ai un autre compte administrateur sur un autre serveur 2003 (au quel je n'ai pas accès) et là quand j'ouvre une session avec mon compte admin, je suis vraiment admin de mon PC je peux tout faire.

help plz

tu ajoutes ton utilisateur au groupe admin de ton xp ? si non c'est normal que ça marche pas

Non du tout les manip sont faites sur l'AD sinon aucune utilité de serveur autrement

PS : J'ai édité mon premier post pour que ce soit plus claire

Bah si. L'AD ça sert à centraliser l'auth en premier.
Le groupe administrateur de ton xp est local au XP.
 
Par défaut seul l'utilisateur Administrateur local et les membre du groupe du domaine Domain Admins sont membre du groupe local Administrateurs.
 
Si tu veux rajouter/centraliser ça, faut configurer des GPOs

Même le groupe administrateurs du domaine et administrateurs de l'entreprise ??

Si j'ai bien compris, sur mon serveur si j'ajoute user1 par exemple au groupe "administrateurs"  il ne sera pas admin du PC sur lequel il se loggera ?

Ouvre ton XP et regarde qui est membre du groupe local administrateurs.
Normalement il y a l'utilisateur Administrateur, le groupe du domaine domain admins (et d'autres personnes si tu en as rajouté)

Effectivement j'ai ça, mais comment permettre (quel parametre GPO ) à mes utilisateurs d'être admin du PC surlequel il se logg ?

gpo ordinateur utilisateurs restreints

Oki, tu parlais des groupes restreint je suppose. J'avais déjà fait un tour par là avant.

J'ai pas compris le principe .. un groupe restreint n'est pas censé avoir tel ou tel doit, si j'ajoute mon groupe admin de l'entreprise dedans ca va le priver ou l'autoriser à être admin du PC ?

dans tous les cas j'ai créé une GPO, avec ou sans le group admin ca ne change rien sur le PC client.

J'ai bien sur fait un gpupdate à chaque modif c'est suffisant pour mettre à jour la stratégie ?

J'ai aussi pensé à désactiver la session caching, il doit surement reprendre le profil local précédemment créé peut être .. non ?

Tu restreins le groupe "untel" à avoir le droit d'être membre du groupe admin local.
Utile pour être sur que des utilisateurs pénibles ne s'ajouteront pas en administrateurs de la machine.

Fais gpresult pour voir quelles gpo sont appliquées.

Ca fonctionne de 2 façons :
- tu forces un groupe à être membre de tel groupe
- tu forces un groupe à contenir que tel groupe

du domaine ? de l'user ? du PC ?

Tu restreins le groupe local au PC ( administrateurs par exemple ) à ne contenir que certains comptes/groupes du domaine.

dac.
 
Pour ma question, c'était pa rapport au gpresult, lequel il te faut du domaine ? de l'user ? du PC ?

gpresult donne tous les résultats, exemple chez moi :

   Objets Stratégie de groupe appliqués
    -------------------------------------
        utilisation proxy
        Stratégie Utilisateurs de confiance
        Default Domain Policy

   Les objets stratégie de groupe n'ont pas été appliqués car ils ont été refusé
    ------------------------------------------------------------------------------
        Stratégie de groupe locale
            Filtrage :  Non appliqué (vide)

   L'utilisateur fait partie des groupes de sécurité suivants :
    ------------------------------------------------------------
        Utilisa. du domaine
        Tout le monde
        Proposer des applications d'assistance à distance
        Utilisateurs

D'ailleurs je viens de penser, peut-être que la stratégie locale de sécurité bloque un truc au niveau de ton client xp.

 
Pas obligatoirement, c'est un des modes

Alors, dans groupes restreint j'ai fait ajouter un groupe, j'ai selectionné "administrateurs de l'entreprise" :  
 
- Dans membres j'ai mis mon user HD1  
- Dans membres de j'ai mis "administrateurs de l'entreprise"
 
J'ai bon ?

euh non.
 
Qd on te demande le groupe au début tu met ton groupe où tu as ton user, et après dans "membre de" tu met "Administrateurs"

Pour te répondre zemuf les 2 os sont neuf et propre tout est par defaut .. c'est pour ca que ca m'étonne un peu que ca ne fontionne pas, si je devais faire autant de manip avec un parc de 1000 poste  

J'ai fait ce que tu m'as indiqué je@nB c'est toujours au même point ..  
 
J'ai envie d'être sur donc je ferai un test ce soir chez moi j'ai la même config, je pourrai en plus vous poster un screen (+ gpresult)

Et "comptes utilisateurs" du panneau de config, tu l'ouvres avec ton compte "admin" ?
Je dois faire cette manipulation plusieurs fois par jour, sur un domaine où ces options sont par défaut et ça passe. Je fais shit+clic-droit/runas domaine\admin et ça s'ouvre bien

ouép je fais aussi un runas et ca me l'ouvre que ce soit avec un compte admin local ou un compte admin du domain mais pas avec le compte actif (hd1 par exemple pourtant c'est un admin)

Yop Zemuf, voici un screen,

Mon user tec1 appartient au groupe Utilisateurs du domaine par defaut, je veux que les membre de ce groupe soient admin de leur poste.

Je crée donc une GPO puis je la link à l'OU où se trouve mon user tec1, je vais dans "groupe restreint" je crée un groupe "administrateurs"  puis :

where is the blem ?

C'est se compliquer pour peu, mais c'est bizarre. Pour tester, mon compte est membre du groupe administrateurs et ça passe très bien.

Ca me donne les droits d'admin uniquement sur le domaine/réseau mais pas sur une machine cliente .. j'ai  fait un gpresult /force (5mn) au lieu de 90mn d'après ce que j'ai lu et idem au même point..

Par contre si ca peut aider, quand je me log avec le compte admin de mon DC j'ai bien les droits d'admin sur n'importe quelle machine cliente. ..

Elle est pas bonne ta GPO...tu spécifies les deux champs "Membres de ce groupe" et "Ce groupe est membre de".
 
Il faut que tu crées une nouvelle entrée qui va s'appeler "tondomaine\groupe_admins_locaux". Et là, dans la zone "Ce groupe est membre de", tu mets "Administrateurs". Si jamais tu as des PC en anglais, il faudra aussi y ajouter "Administrators".

 
 
==> ça ressemble pas du tout à ce que je t'ai dis de faire mais bon. Je te dis :

 
==> Tu mets dans la première fenetre : domaine\Utilisateurs du domaine et après dans "membre de" (donc en bas ....) tu mets "Administrateurs". Suffit de lire ce que je te dis depuis le début.
 
Après tu fous ta GPO sur une OU où tu as tes utilisateurs alors que où se trouve les GPO de Groupes restreints ? dans "Configuration de l'ordinateur", je te laisse deviner pourquoi rien ne s'applique...
C'est des GPO basiques de chez basiques pour quiconque se documente un peu sur les GPO. Si c'est pour ton boulot je t'invite vraiment à suivre une formation parce que c'est pas en faisant les choses au hasard que comme par magie ça va marcher surtout si tu suis pas ce qu'on t'explique.
 
 
Quant à tes remarques en MP, c'est pas parce que je répond pas que je m'en fou, c'est juste que en tant que modo on reçoit 10 000 MP, je les ouvre mais je répond en batch plus tard qd j'ai assez de temps. Si t'es pressé, tu fais appel à un vrai support technique, alors tes remarques tu peux te les carrer où je pense.

Je vais reprendre à zéro et tout refaire en suivant vos indications.

Pour le HS, on dirait que monsieur le modo prend rapidement la mouche et ce pour de simples remarques sans le moindre manque de politesse de ma part   ... mon but étant simplement de résoudre mon problème par un pro en lui permettant un accès direct au problème que je rencontre... mais enfin désolé encore de t'avoir offensé, pour moi c'est évident j'ouvre un msg je réponds par un oui, un non .....ou si j'ai pas le temps bahhh.... j'ouvre pas et tout le monde est content  

J'oubliais, je n'ai envie que ce topic vire à une embrouille à 2 balle, moi par contre je te conseille de suivre une formation pour bien s'adresser aux gens, et d'y mettre le moins de sentiments possible dans tes messages car si on savait tout comme monsieur le modérateur on se serait pas fait ch*** à ouvrir un topic et à demander de l'aide. Ceci étant dit, le topic peut reprendre son cours, ceux qui sont là pour me filer un coup de main sont les bienvenue, les autres vous n'êtes pas obligé de rester ou de m'aider.