GPO – Gestion des Utilisateurs et Groupes Administrateurs Locaux des Postes Clients

Gérer les utilisateurs « Administrateur » locaux et le groupe de sécurité « Administrateurs » local de chaque poste à l’aide d’une stratégie de groupe.

Cela permet de définir un utilisateur « Administrateur local » de l’ensemble des machines,

Un utilisateur « Administrateur » des postes client ne doit pas pouvoir administrer les serveurs et les contrôleurs de domaine AD.

Dans ce tuto, nous allons désactiver les Utilisateurs « Administrateur et Invité », supprimer les Utilisateurs « Administrateur locaux » et configurer le Groupe local « Administrateurs »

Créer un groupe de sécurité Active Directory et ajouter le(s) utilisateur(s) qui doivent pouvoir administrer les postes clients (Ils ne doivent pas être « Admins du domaine » ou dans un groupe à haut privilège)

  • Pour l’exemple, je crée un groupe nommé « Admins PC Locaux« 

Créer une GPO au niveau de l’unité d’organisation (OU) qui contient les postes a contrôler

  • Configuration Ordinateur > Préférences > Paramètres du Panneau de Configuration > Utilisateurs et groupe locaux
    • Ajouter les Utilisateurs et le Groupe local « Administrateurs » (Details a la suite …)

Ajouter le compte « Administrateur (intégré) » en sélectionnant « Mettre a jour » et les cases a cocher ci-dessous

Ajouter le compte « Invité (intégré) » en sélectionnant « Mettre a jour » et les cases a cocher ci-dessous

Pour cet exemple, lors de l’installation de Windows j’ai utilisé le compte « Test » qui est Administrateur du PC client et grâce a cette GPO, je vais pouvoir le supprimer.

Ajouter l’utilisateur « Test » en tapant directement son Nom et sélectionner « Supprimer »

Ajouter le Groupe « Administrateurs (intégré) » en sélectionnant « Mettre a jour »

  • Cocher « Supprimer les Utilisateurs » et « Supprimer les Groupes » pour que le groupe « Administrateurs » soit géré uniquement par GPO (si un utilisateur ou un groupe est ajouté à la main sur un poste, il sera écrasé lorsque la GPO s’appliquera)

  • Ajouter l’utilisateur « Administrateur » en tapant directement son Nom (pour que le compte administrateur intégré par défaut à Windows reste membre de ce groupe)

  • Ajouter le Groupe « Admins du domaine » et le groupe « Admins PC Locaux« 

  • Facultatif : il est possible d’ajouter un Utilisateur du Domaine

Résultat sur un poste Client du Domaine

  • Gestion de L’ordinateur > Utilisateurs

  • Gestion de L’ordinateur > Groupes

 

Nombre de Vues : 207