Bonjour tout le monde, je cherche à déléguer les droits local administrator, à un groupe specifique.
Je sais qu'on peut le faire de la machine cliente mais je doit faire ça sur 200 machine alors faire ça à la main pc par pc c'est un peu beaucoup de travail je suis sur qu'il y a moyen de déléguer les droits dans AD mais je ne trouve pas le bon paramètre.

Pas de délégation possible par l'AD, mais ce que tu veux faire est possible avec un script VBS appliqué par GPO machine :
 
 

 
 
 
 
Et une petite notice :
Cet outil permet de définir un groupe ou des utilisateurs en tant qu'administrateur local d'un ensemble de postes de travail ou de serveurs, stockés dans une OU.
 
* Mettre le fichier AddLocalAdmins.vbs dans le NETLOGON du contrôleur de domaine
* Créer une nouvelle stratégie MACHINE sur l'OU contenant les machines à impacter
* Ajouter un script de démarrage machine
* Pointer sur le script VBS en question
* Dans la zone Paramètres, lister le(s) groupe(s) et/ou nom(s) d'utilisateur(s) qui seront admin local des postes, sous la forme suivante : domaine.complet\nom.groupe (ex: mondomaine.local\Admin-Locaux).
* Si il y a plusieurs groupes ou utilisateurs, les lister en les séparant avec un ESPACE.
 
Un reboot des postes de travail ou serveurs sera nécessaire pour la répercution. Un simple GPUPDATE se suffit pas.

merci mais je ne pige pas bien ce qu'il faut modifier dans le vbs si tu pouvais m'aider ce serais super sympa ...

 
Et la stratégie Computer Configuration/Windows Settings/Security Settings/Restricted Groups ?

 
pluzun

J'avais que je me suis jamais penché sur la question