Laboratoire Microsoft |  CertifExpress 
 Le Forum de Réfèrence sur les Technologies Microsoft - http://www.forum-microsoft.org

Changer Compte local des utilisateurs en utilisateu standard TOPIC_SOLVED

Modérateurs : Modérateurs, Modérateurs_Systèmes

Changer Compte local des utilisateurs en utilisateu standard

Message par LtR » Jeu 09 Juin 2016, 18:21

Bonjour,

Technicien d'une petite société de 150 PC environ, je souhaite passer tous les utilisateurs actuellement "administrateur" de leurs machines en "utilisateur".
J'ai 2 Serveur AD en 2008 et 1 en 2012
50% des utilisateurs sont à l'étranger et se connectent de temps en temps voir jamais à l' AD via le VPN.

Pour gérer les MAJ windows, Wsus étaient inefficace car il était dans mon LAN et les utilisateurs ne se connectent pas souvent au VPN.

J'ai donc une nouvelle appliance (en DMZ) pour gérer les MAJ Windows et les updates adobe, java....

Aussi, je souhaite à présent mettre les utilisateurs en "utilisateur" simple de leurs machines.
reste le problème de la hotline à distance en cas de dysfonctionnement.
Exemple : si le pc ne peux pas se connecter à distance car sa carte réseau est désactivé, impossible de faire faire la manip à distance à l'utilisateur si il n'est pas admin du pc.

J'ai donc pensé à mettre un compte AD de type "hotline" sur tous les pc et qui serait admin local de chaque machine.
En cas de problème, je donne le mot de passe du compte "hotline" à l'utilisateur pour qu'il réalise les manipulations.
Lorsque l'intervention est terminée, je change le mot de passe.

Pensez vous que c'est une bonne solution? Best practice?
Le compte "hotline" va t'il se synchroniser (synchronisation du nouveau mot de passe du compte "hotline") sur toutes les machines dès que celles-ci seront de nouveau connectées sur le vpn?

Je vous remercie par avance pour votre aide et vous souhaite une bonne soirée.
LtR
Full Member
Full Member
 
Message(s) : 219
Inscription : Dim 24 Oct 2004, 19:42
Localisation : ici

Re: Changer Compte local des utilisateurs en utilisateu stan

Message par 75karl » Jeu 09 Juin 2016, 19:14

Bonjour,
pour la gestion des groupes locaux, il y a les groupes restreints dans les gpo
il suffit de mettre dans le groupe
"administrateurs" le groupe de domaine de maintenance et le groupe admins-dom
et dans le groupe "utilisateurs" le groupe utilisateurs du domaine
75karl
Full Member
Full Member
 
Message(s) : 108
Inscription : Lun 21 Fév 2011, 23:14

Re: Changer Compte local des utilisateurs en utilisateu stan

Message par LtR » Ven 10 Juin 2016, 8:51

Bonjour 75karl et merci pour ta réponse.

Malheureusement je ne connais pas bien les groupes restreints donc je ne comprends pas bien ta réponse.
Je vais de ce pas regarder les groupes restreints sur google et je reviens pour te répondre.
LtR
Full Member
Full Member
 
Message(s) : 219
Inscription : Dim 24 Oct 2004, 19:42
Localisation : ici

Re: Changer Compte local des utilisateurs en utilisateu stan  TOPIC_SOLVED

Message par kazer » Ven 10 Juin 2016, 9:37

Exact groupe restreints ou bien la gestion de groupe pas les préférences

Tu aurais pu aussi mettre ton WSUS en DMZ...
Guillaume DESFARGES Image Image Image
MCPTS Windows Server 2008/Virtualisation - MCITP: Enterprise Desktop Win7
MVP Directory Services (2004)/Security (2005-07)/Setup&Dep: Architecture (2008-15)/Cloud and Datacenter Management, Windows and Devices IT (2016)
Profil MVP - Articles - Transcript (ID: 661703 Pass: Gdesfarges) - Bibliographie
Supinfo Promo 2001
Avatar de l’utilisateur
kazer
First Lord
First Lord
 
Message(s) : 45491
Inscription : Ven 26 Oct 2001, 21:39
Localisation : Dans la grisaille de l'ile de france

Re: Changer Compte local des utilisateurs en utilisateu stan

Message par kazer » Ven 10 Juin 2016, 9:38

Et surtout ne pas donner de droit d'admin à ton utilisateur, utilise l'assistance à distance pour faire des manipulations à l'utilisateur, ne jamais faire confiance à l'utilisateur...
Guillaume DESFARGES Image Image Image
MCPTS Windows Server 2008/Virtualisation - MCITP: Enterprise Desktop Win7
MVP Directory Services (2004)/Security (2005-07)/Setup&Dep: Architecture (2008-15)/Cloud and Datacenter Management, Windows and Devices IT (2016)
Profil MVP - Articles - Transcript (ID: 661703 Pass: Gdesfarges) - Bibliographie
Supinfo Promo 2001
Avatar de l’utilisateur
kazer
First Lord
First Lord
 
Message(s) : 45491
Inscription : Ven 26 Oct 2001, 21:39
Localisation : Dans la grisaille de l'ile de france

Re: Changer Compte local des utilisateurs en utilisateu stan

Message par LtR » Ven 10 Juin 2016, 14:02

Oui kazer, tes recommandations sont bonnes et même si je sais que tu as raison, il existe comme tout le monde le sait une différence entre les best practices et la realité.

Pour répondre à vos réponses :

@75karl :
- j'ai bien regardé et je te remercie pour ta réponse car cela correspond à la stratégie que je voulais faire mais sans bidouiller et en utilisant correctement les outils Windows.
Toute fois, Je persiste que cette solution n'est pas viable si l'utilisateur ne se connecte pas via le vpn et dans ce cas, les utilisateurs dans le groupe admin locaux de la machine ne seront aps à jour en cas de changement de password.

@kazer :
- Pour Wsus en DMZ tu as simplement raison !
- "ou bien la gestion de groupe pas les préférences". Je vais me renseigner aussi car je ne vois pas de quoi il s'agit
- Oui ne jamais faire confiance à l'utilisateur mais si problème de pc à distance sans connexion alors dans ce cas il n'y a aucun moyen d'aider l'utilisateur si il n'a pas des droits admin pour l'aider via le telephone par exemple.
A mon sens difficile d'être toujours catégorique dans nos choix, même en sécurité, il faut mettre le curseur au bon endroit entre sécurité et business.
Sinon, comme j'avais dis une fois dans une réunion avec mes responsables ( histoire réelle)
Mes responsables : Veuillez a sécuriser à 100% nos PC.
Ma réponse : (je débranche les cables réseau des pc) "voilà, mais maintenant vous ne pouvez plus échanger avec l'extérieur"
LtR
Full Member
Full Member
 
Message(s) : 219
Inscription : Dim 24 Oct 2004, 19:42
Localisation : ici

Re: Changer Compte local des utilisateurs en utilisateu stan

Message par LtR » Ven 10 Juin 2016, 17:49

Super kazer les préférences.

Je vais donc travailler tout cela.

Je vous remercie tous les deux pour vos réponses qui m'ont bien aidées :D
LtR
Full Member
Full Member
 
Message(s) : 219
Inscription : Dim 24 Oct 2004, 19:42
Localisation : ici


Retour vers Gestion des Utilisateurs (et autres objets AD)

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 6 invité(s)



Accueil | News | Articles | Tips | Outils | Certification | Easters Eggs
Essentiels | Glossaire | Vidos | Whitepapers | Essentiels | Bote Scripts
Conditions d'utilisation & Copyright | Respect de la vie prive