étendre les droits utilisateurs - Infrastructures serveurs - Systèmes & Réseaux Pro
Marsh Posté le 20-04-2009 à 13:46:06
Admin local ou utilisateur avec pouvoir peut être ....
Perso j'aime pas ca mais clair que certaines applications nous y obligent ..
Marsh Posté le 20-04-2009 à 14:07:29
ces groupes n'existent pas par défaut sous 2003 malheureusement.
J'aurais aimé savoir où sont stockées les stratégies par défaut sur le serveur ? Car lorsqu'on ajoute un utilisateur dans le groupe utilisateurs du domaine cet utilisateur applique des stratégies pré-établies par le serveur, de même lorsqu'on l'ajoute dans le groupe administrateur.
une idée ?
Marsh Posté le 20-04-2009 à 14:11:35
pas besoin qu'ils soient sous 2003, c'est sur les postes clients
Marsh Posté le 20-04-2009 à 14:21:09
Mes utilisateurs se connectent à leur poste via un compte de domaine sur le serveur 2003 et non à partir d'un compte local à leur poste, ce qui fait que je ne peux pas configurer leurs droits à partir de leur poste utilisateur enfin je crois (je trouve que çà n'aurait pas de sens, quel serait l'intérêt d'un contrôleur si ce n'est pas de centraliser la gestion des utilisateurs) ?
Marsh Posté le 20-04-2009 à 14:32:27
Là on est bien d'accord, n'empêche que tu peux placer un utilisateurs lambda du domaine comme étant administrateur d'un poste.
Sur le Pc client, tu vas dans la gestion des utilisateurs et tu ajoutes ton compte utilisateur du domaine dans le groupe "utilisateurs avec pouvoir" si ca ne suffit pas tu fais de même avec le groupe administrateur..
C'est moche mais ca marche.
Marsh Posté le 20-04-2009 à 14:41:59
OK merci pour l'astuce mais si je souhaite gérer cela d'une manière plus centralisé. Admettons que l'utilisateur change de poste informatique à mon insu. Il se retrouverait avec des droits restreints car j'aurais "réhaussé" ses droits utilisateurs que sur la machine sur laquelle il est censé travailler.
tu comprends ce que je veux dire boobaka ?
Marsh Posté le 20-04-2009 à 14:45:29
autant pour moi, j'ai compris ce que tu voulais dire. En fait j'ajoute dans le groupe administrateur local, le groupe "utilisateurs du domaine" (présent sur le serveur 2003) dans lequel fait partie mes utilisateurs.
Par contre, si je dois un jour restreindre sévèrement pour une raison lambda les comptes utilisateurs, il me faudrait repasser sur chaque machine pour enlever le groupe utilisateurs du domaine du groupe administrateur local. C'est pas très souple comme manip à vrai dire.
Marsh Posté le 20-04-2009 à 14:58:39
GPO, groupes restreints , si tu as un AD c'est bien pour s'en servir
Et mettre administrateur local l'ensemble des utilisateurs du domaine, hmm bof quoi
Marsh Posté le 20-04-2009 à 15:31:04
Merci pour ta réponse Je@nb, mais le problème c'est qu'en laissant mes utilisateurs dans le groupe utilisateurs du domaine, j'ai quelques applis qui ne se lance pas et c'est plutôt genant d'où ma question de savoir comment faire pour créer un groupe avec moins de restrictions.
Lorsque je vais voir la stratégie par défaut du domaine, toutes les options sont sur non configuré alors que pourtant en tant qu'utilisateur, je ne peux ni lancer le registre, ni modifier l'heure.
Où se trouve donc cette fichue stratégie appliqué au groupe "utilisateurs du domaine" ???
merci
Marsh Posté le 20-04-2009 à 15:41:22
L'heure ça se trouve dans paramètres ordinateurs\param windows\param de sécu\stratégies locales\attributions des droits des utilisateurs
Après regedit un utilisateur standard peut modifier mais pas la ruche ordinateurs ou des autres utilisateurs. Pour ça faut mettre les bonnes permissions sur les branches voulues. (ou déployer des templates de sécu avec secedit).
Perso je trouve ça hallucinant que les programmes demandent encore en 2009 des permissions administrateurs qd il s'agit d'applis standards
Marsh Posté le 20-04-2009 à 17:12:04
Quelqu'un sait où trouve l'option pour :
- avoir les propriétés restreintes du poste de travail (pas d'accès à la console de gestion utilisateurs, services, gestionnaire de périphériques, ...)
je voudrais appliquer cette restriction grâce à une GPO mais je ne les trouve nul part...
Marsh Posté le 20-04-2009 à 18:32:25
Je@nb a écrit : Perso je trouve ça hallucinant que les programmes demandent encore en 2009 des permissions administrateurs qd il s'agit d'applis standards |
Perso c'est encore l'inverse qui m'etonne des qu'on tape dans les applis métier et beaucoup d'ERP
Quand tu vois que meme pour beaucoup d'applis web faut installer 18 activex avec les droits d'admins et dans leurs procedures officielles des trucs comme "dans les parametre IE, ajouter les 13 DNS utilisés par le sites dans les sites de confiance, et mettez le niveau de sécu bas pour les sites de confiance"
Marsh Posté le 29-04-2009 à 21:07:35
facile..si une applique t'en medre, install l'applique en mettant l'utilisateur dans le groupe admin du domaine et surtout n'ouvre pas une session adminstrateur,sa peut poser problème pas la suite! Quand l'applique est installéé,tu remets l'utilisateur dans le groupe utilisateur! Et hop le tour est joué!! normalement c'est bon!l
Marsh Posté le 04-05-2009 à 17:00:07
pachy18 a écrit : facile..si une applique t'en medre, install l'applique en mettant l'utilisateur dans le groupe admin du domaine et surtout n'ouvre pas une session adminstrateur,sa peut poser problème pas la suite! Quand l'applique est installéé,tu remets l'utilisateur dans le groupe utilisateur! Et hop le tour est joué!! normalement c'est bon!l |
Sauf le respect que je vous dois, vous etes un peu 15 ans en arrières là
Marsh Posté le 20-04-2009 à 13:38:39
Bonjour,
Par défaut sous windows 2003 serveur, les utilisateurs crées possèdent des droits restreints. Preuve en est qu'ils ne peuvent accéder à l'éditeur du registre, aux propriétés de la connexion réseau, ... ce qui est pratique dans bien des cas.
Par contre, cette stratégie parfois trop restreinte empêche le lancement de certaines applications dans le systray.
Comment donner des droits d'administrateur à un utilisateur sans pour autant le mettre dans le groupe administrateur de domaine ?
merci