Vous êtes sur la page 1sur 15

07/05/2022 COURS – TUTORIELS  COURS IT ACTUALITÉS  EMPLOI BONS PLANS TESTS #LINKSOFTHEWEEK
     

Plate-forme de cours sur l’administration systèmes et


réseau pour les professionnels de l’informatique

IT-Connect » Cours - Tutoriels » Administration Systèmes » Windows Server » Stratégie de groupe » GPO : Définir un utilisateur « Administrateur local » de tous les PCs

report

Stratégie de groupe  

GPO : Définir un utilisateur «  Administrateur A la une

local » de tous les PCs


 22/01/2015 
Florian Burnel  14291 Views
 25 Commentaires  Active Directory, GPO

3 min read

Sommaire [-]

I. Présentation
Administration Réseau  
II. Organisation de l'Active Directory
III. Création de la stratégie de groupe
IV. Vérification côté client
Découverte de
l’interface de Wireshark

 06/05/2022 
Yohan  Aucun
 COURS – TUTORIELS  COURS IT ACTUALITÉS  EMPLOI BONS PLANS TESTS #LINKSOFTHEWEEK
I. Présentation commentaire 
8 min read

Dans ce tutoriel, nous allons découvrir


Dans un domaine, on gère nos machines et nos utilisateurs à coup de stratégies de groupe, l’interface de Wireshark : à quoi
elles simplifient grandement l'administration de l'ensemble. Aujourd'hui, nous allons voir servent les différents boutons et à
comment faire en sorte qu'un utilisateur du domaine soit administrateur local de toutes les quoi correspondent les zones de
l’interface ?
machines. Plutôt, nous définirons un groupe pour que ce soit plus souple à administrer par la
suite : il suffira d'ajouter un utilisateur au groupe en question dans l'Active Directory plutôt que
de réviser la GPO et d'attendre qu'elle se réplique.
Tor améliore ses
performances
Bien sûr cela peut être adapté, au lieu de mettre tous les ordinateurs du domaine, on pourra grâce au nouveau
appliquer uniquement sur un groupe en particulier cela dépendra de l'OU sur laquelle système
s'applique la GPO. Par ailleurs, dans ce cas précis il s'agit de mettre le groupe de l'annuaire en Congestion
Control
tant qu'Administrateurs local des machines, mais on pourrait cibler un autre groupe... Parmi
 06/05/2022  2 Commentaires 
2
ceux proposés dans Windows.
min read

Pour ma part, je vais créer un groupe contenant 4 utilisateurs qui doivent tous les quatre être
Firefox 100 est
administrateurs locaux, de l'ensemble des machines du domaine.
disponible !
Quelles sont les
nouveautés ?
 05/05/2022 

Aucun commentaire 
1 min read

French Days :
l’écran LG
UltraWide 29″ en
promo à 160
euros !
 05/05/2022  Aucun commentaire

1 min read

Thunderbird va –
enfin – bénéficier
Une déclinaison de ce tutoriel au format vidéo est désormais disponible, pour ceux qui d’une version
préfèrent : Android !
 05/05/2022 

1 Commentaire 
1 min read

GPO - Ajouter un utilisateur admin local des PCs du domaine

II. Organisation de l'Active Directory



Dans l'annuaire Active Directory, créez un groupe et nommez-le "Administrateurs locaux". Clic
 COURS – TUTORIELS 
droit - Nouveau - Groupe
COURS IT ACTUALITÉS  EMPLOI BONS PLANS TESTS #LINKSOFTHEWEEK

Nommez ce groupe comme je l'ai indiqué précédemment et validez.

Découvrez nos cours

Débuter avec

les stratégies

de groupe sous

Windows Server

Notions de

base de l’Active

Directory

Performance &

tunning tools
Une fois le groupe créé, accédez à ses propriétés (clic droit Propriétés), et dans l'onglet
"Membres" ajoutez tous les utilisateurs que vous souhaitez voir administrateur local des pour auditer un
postes. système Linux

Passons désormais à la création de la GPO.

III. Création de la stratégie de groupe


Soit vous modifiez une stratégie de groupe, ou alors, comme moi vous créez une nouvelle
stratégie de groupe uniquement pour cela (non recommandé - je le fais uniquement, car il
s'agit d'une démonstration - limitez le nombre de GPO).

 COURS – TUTORIELS  COURS IT ACTUALITÉS  EMPLOI BONS PLANS TESTS #LINKSOFTHEWEEK

Si vous créez une nouvelle GPO (qui peut ne pas servir qu'à ça...), effectuez un clic droit  à
l'endroit où vous souhaitez appliquer cette stratégie. Pour l'appliquer sur tout le domaine, on
effectue l'opération sur le nom de domaine directement (it-connect.fr dans cet exemple).
Cliquez sur "Créer un objet GPO dans ce domaine, et le lier ici...".

Nommez cet objet GPO, je le nomme "Administrateurs_locaux" pour ma part. Validez avec OK.

report

Lorsque l'objet est créé, effectuez un clic droit dessus puis "Modifier" pour commencer le
paramétrage.

Accédez au chemin suivant :

Configuration ordinateur, Stratégies, Paramètres Windows, Groupes restreints.

Dans la partie de droite, effectuez un clic droit et "Ajouter un groupe".

Un assistant s'ouvre, cliquez sur Parcourir pour ajouter notre groupe "Administrateurs locaux"
que nous avons créé dans l'Active Directory. Le fait de procéder via parcourir permet d'être sûr
que l'on ne se trompe pas dans l'orthographe du groupe. 
 COURS – TUTORIELS  COURS IT ACTUALITÉS  EMPLOI BONS PLANS TESTS #LINKSOFTHEWEEK

Ensuite, cliquez sur "Ajouter" au niveau de "Ce groupe est membre de" puisque l'on veut que
notre groupe soit membre de "Administrateurs". Justement, indiquez "Administrateurs" sans
passer par "Parcourir" (on ne fait pas référence à un groupe Active Directory !).

La stratégie de groupe est configurée, vous pouvez fermer le gestionnaire. La suite se passe
côté client.

IV. Vérification côté client


Sur une machine cliente, nous allons tester que cela fonctionne. Pour ma part, je prends un
serveur membre, je commence par réaliser une actualisation des GPO :

gpupdate /force


 COURS – TUTORIELS  COURS IT ACTUALITÉS  EMPLOI BONS PLANS TESTS #LINKSOFTHEWEEK

Redémarrez l'ordinateur, comme il s'agit d'une GPO ordinateur cela est nécessaire. Ensuite,
ouvrez une session et accédez à la gestion de l'ordinateur de cette façon : clic droit sur le
bouton "Démarrer" puis "Gestion de l'ordinateur". Sous "Outils système", cliquez sur "Utilisateurs
et groupes locaux", puis "Groupes" : vous allez trouver le groupe "Administrateurs".

Dans le groupe "Administrateurs", je remarque la présence du groupe "Administrateurs locaux".


La stratégie de groupe que nous venons de configurer fonctionne !

La présence de "IT-CONNECT" montre qu'il s'agit bien d'un groupe présent dans l'annuaire.

Partagez cet article





LE REGISTRAR GODADDY CONFÉRENCE MICROSOFT :


CORRIGE UNE LES 10 PLUS GROSSES
VULNÉRABILITÉ CSRF ! ANNONCES !


 COURS – TUTORIELS  COURS IT ACTUALITÉS  EMPLOI BONS PLANS TESTS #LINKSOFTHEWEEK

Florian Burnel
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud
and Datacenter Management". Je souhaite partager mon expérience et mes
découvertes au travers de mes articles. Généraliste avec une attirance
particulière pour les solutions Microsoft et le scripting. Bonne lecture.

 
florian has 3736 posts and counting.
See all posts by florian

 Vous pourrez aussi aimer

Configurer le RDP par Configurer le Mode IE


GPO : activer l’accès, port dans Edge (Chromium)
Copier et déployer un par défaut, règle de pare- par GPO
fond d’écran par GPO feu  07/12/2020  1
 21/03/2016  16  24/09/2021  4

25 thoughts on “GPO : Définir un utilisateur « Administrateur


local » de tous les PCs”

 Cascador
 22/01/2015 à 13:30
 Permalink

Hello,

Tu sors ton poste du domaine IT-CONNECT, on est d’accord que ça ne fonctionne plus ? C’est
évident mais c’est le gros souci de la méthode.

Ton poste est un pc portable sans connexion au domaine (mais enregistré dessus) et situé à
 COURS – TUTORIELS  COURS IT ACTUALITÉS  EMPLOI BONS PLANS
l’extérieur de l’entreprise (au domicile du salarié ou en réunion extérieure), tu peux te
TESTS #LINKSOFTHEWEEK

connecter dessus avec TeamViewer par exemple mais pas ouvrir une session avec ton compte
dans le groupe IT-CONNECT\Administrateurs locaux ?

Je trouve que la méthode que tu présentes est la plus pertinente niveau simplicité,
administration mais elle a des limitations qu’il est important de souligner.

Trois liens intéressants que j’ai trouvé proche de cette problématique de gestion des
Administrateurs locaux :

http://blogs.technet.com/b/askpfeplat/archive/2014/05/19/how-to-automate-changing-the-
local-administrator-password.aspx

http://www.grouppolicy.biz/2014/05/set-local-administrator-account-random-password/

https://code.msdn.microsoft.com/Solution-for-management-of-ae44e789

Vous faites du super boulot, bravo ! Continuez !

Tcho !

 Répondre

 Iceman
 04/02/2015 à 16:48
 Permalink

Merci pour le tuto, même si ce n’est pas ce que je cherchais car j’ai déjà une GPO dans le même
style, excepté que je gère mes users en tant que membres et non pas groupes.

Et je suis justement tombé sur votre site en tentant de trouver une solution à la problématique
exposée par Cascador.

Je pensais que c’était la solution qui était exposée ici mais non. 🙁

Je vais visiter un peu votre site, il a l’air sympa. 😉

 Répondre

 qashimodo
 21/02/2015 à 15:43
 Permalink

Comment faire pour qu’un compte « utilisateur du domaine » puisse installer des programmes
et faire des mises à jour sur sa machine sans avoir besoin de rentrer le login et mdp
administrateur.

Est-ce que, c’est ça la solution

Merci

 Répondre

 Florian Auteur de l’article


 22/02/2015 à 18:33
 Permalink

Bonjour,

Avec cette solution, oui le compte doit être mesure d’installer des programmes sur la
machine, car il faut être administrateur pour installer des programmes. C’est possible que 
l’UAC apparaisse toujours mais vous pourrez utiliser le compte ajouté au groupe
 COURS – TUTORIELS  COURS IT ACTUALITÉS 
administrateur. Pour valider, essayez sur une machine de test 🙂
EMPLOI BONS PLANS TESTS #LINKSOFTHEWEEK

Si le problème persiste, utilisez notre forum pour obtenir de l’aide 🙂

Florian

 Répondre

 Original
 12/05/2015 à 11:16
 Permalink

Salut,

N’est-il pas possible de faire cela avec directement un utilisateur plutôt qu’un groupe ?

Merci.

 Répondre

 kouros
 23/06/2015 à 11:53
 Permalink

Merci!

 Répondre

 KhadimFAYE
 04/01/2016 à 11:04
 Permalink

Merci. vous avez un bon site

 Répondre

 Joss
 29/01/2016 à 15:17
 Permalink

Cette opération est très dangereuse, parce que elle va rendre le groupe « Administrateurs
locaux » membre du groupe « Administrateurs » du serveur, et donc permettre à tous les
utilisateurs du domaine appartenant au groupe « Administrateurs locaux » de se connecter au
serveur comme Administrateur.

 Répondre

 kimlee
 02/02/2016 à 09:42
 Permalink

Exactement…

De plus dans la Default Domain Controllers Policy on ne peut pas retirer le groupe
« Administrateurs » du paramètre « Permettre l’ouverture d’une sessions locale »…

 Répondre

 Fab

 06/01/2017 à 11:57
 COURS – TUTORIELS  COURS IT
 Permalink
ACTUALITÉS  EMPLOI BONS PLANS TESTS #LINKSOFTHEWEEK

Il faut appliquer la GPO uniquement sur une OU qui contient seulement des PC clients c’est
certain!

 Répondre

 jmd
 15/04/2016 à 11:11
 Permalink

Bonjour,

un souci avec la procédure sur 2012 R2,

le groupe admin locaux deviens administrateurs/buit in c’est a dire que le groupe deviens
automatique administrateurs du domaine.

Groupe membre de: il y a utilisateurs du domaine et automatiquement (j’ai beau l’enlever ça


reviens) « administrateurs/buuilt in » du domaine

Je ne sais pas si c’est un bug ou la strategie qui change les droits du groupe

bonne journée

 Répondre

 Nord
 20/04/2016 à 14:24
 Permalink

Bonjour,

Suite à la mise à jour de Microsoft, il devient impossible de créer un utilisateur via GPO sur
l’ensemble des machines.

Avez-vous une démarche ?

Merci

 Répondre

 Maurice Aubry
 07/02/2018 à 22:53
 Permalink

D’ abord je dois vous dire que je suis quasi nul en informatique et j’espère bien que vous
puissiez quand même m’aider. // j’ai un compte utilisateur//

Tous mes logiciels de jeux ont été listés avec yahoo et pour une raison que j’ignore

d’un seul coup ils me sont tous apparus listés avec gmail .Donc tous mes mots de passe avec
yahoo ne sont plus utilisables et je dois leurs en donnés de nouveaux qui sont
automatiquement refusés par le système, je viens de lire un article qui mentionne qu’un
compte utilisateur (( peut s’affilier )) si je peut dire avec un compte administrateur et je crois
bien c’est ce qui est arrivé car lorsque je veux ouvrir un logiciel on me demande un mot de
passe administrateur pouvez vous m’indiquer comment créé ce compte svp

merci à l’avance

 Répondre 
 adminos
 COURS – TUTORIELS  COURS IT
 03/02/2019 à 10:51
ACTUALITÉS  EMPLOI BONS PLANS TESTS #LINKSOFTHEWEEK

 Permalink

Bonjour Florian,

Tout d’abord un grand Merci pour le formidable travail que vous faites.

Cet article sur les groupes restreints m’a beauoucp aidé. J’ai mis toute l’équipe IT en
administrateurs locaux des pc du parc, mon seul soucis maintenant est :

Ils ont du coup acsès au partage administratifs (Admin$, C$, D$, …) sur tous les PC!!!! et c’est
problématique.

y a t il un moyen pour les mettre en admin locaux des pc mais sans pouvoir accéder à distance
aux partages administratifs?????

Merci d’avance.

Cordialement.

 Répondre

 ali
 22/04/2020 à 09:46
 Permalink

Bonjour Adminos,

Avez-vous trouvé une solution « y a t il un moyen pour les mettre en admin locaux des pc
mais sans pouvoir accéder à distance aux partages administratifs????? »

 Répondre

 yann
 21/09/2019 à 09:16
 Permalink

Bonjour Florian,

J’ai suivi votre tutoriel. malheureusement, je ne peux plus me loguer en tant d’administrateur
sur mon serveur windows 2012. il m’affiche ce message : la méthode que vous tentez d’utiliser
n’est pas autorisé. pour plus d’information, contactez votre administrateur.

pourriez-vous m’aider svp?

merci d’avance

 Répondre

 Florian B. Auteur de l’article


 22/09/2019 à 07:45
 Permalink

Bonjour Yann,

Le nom « Administrateurs » est bien orthographié dans votre GPO ? Votre serveur est-il
contrôleur de domaine ?

Cordialement,

Florian

 Répondre

 GALVES
 COURS – TUTORIELS  COURS IT
 25/09/2019 à 15:58
ACTUALITÉS  EMPLOI BONS PLANS TESTS #LINKSOFTHEWEEK

 Permalink

Bonjour,

NE SUIVEZ SURTOUT PAS CE TUTO !!!

Il vous ajoutera le groupe dans le groupe ‘Administrateurs’ de votre serveur.

Ce n’est pas à cet endroit que cet opération doit être réalisée !

C’est dans USER CONFIGURATION > PREFERENCES > CONTROL PANEL SETTINGS > Local Users
and Groups

 Répondre

 Florian B. Auteur de l’article


 25/09/2019 à 20:22
 Permalink

Bonsoir Galves,

Les deux sont possibles, tu ne crois pas ?

Cordialement,

Florian

 Répondre

 Benoit
 28/11/2019 à 13:07
 Permalink

Non ce tuto est très bien, tu ne sais simplement pas l’appliquer. En effet, il ne faut
appliquer la GPO que sur l’OU ou se trouvent tes postes utilisateurs. Tes serveurs doivent
être dans une autre OU.

 Répondre

 Francois
 26/01/2020 à 11:00
 Permalink

Merci de cette réponse, mais une petite description de comment faire serait la bienvenue

 Répondre

 Damien
 24/03/2020 à 13:56
 Permalink

Il faut simplement placer les comptes ordinateurs dans une OU et les serveurs dans
une autre, puis appliquer la GPO « Admins locaux » sur l’OU « Ordinateurs »

Pour schematiser ça ressemble a ça :

DOMAINE

–OU Ordinateurs


–> GPO Admins locaux

 COURS – TUTORIELS 
–OU Serveurs
COURS IT ACTUALITÉS  EMPLOI BONS PLANS TESTS #LINKSOFTHEWEEK

 Répondre

 Armel Dabié
 10/01/2021 à 11:58
 Permalink

Bonjour merci pour ton tuto je suis débutant et j’ai suivi ton tuto bien . Et comment savoir si
l’utilisateur est administrateur ? si il est administrateur il doit pouvoir changer son adresse ip
sans soucis

 Répondre

 Djamel-eddine
 02/02/2021 à 11:29
 Permalink

bonjours florian

Merci pour le formidable travail que vos faites

mon problème c’est: esque y a-t-il un moyen pour modifier le mot de passe d’un compte
administrateur non standard ou le désactiver (compte utilisateur local avec privilège)

merci

 Répondre

 jp
 21/01/2022 à 18:50
 Permalink

Salut, aurais tu une idée pour que le compte local administrateur des Stations de Travail ne
subisse pas la veille au bout de 7M que subissent tous les utilisateurs du domaine quand
connecté en LAN?

cdlt,

 Répondre

Laisser un commentaire
Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Commentaire *

Nom *


 COURS – TUTORIELS  COURS IT ACTUALITÉS  EMPLOI BONS PLANS TESTS #LINKSOFTHEWEEK

E-mail *

Site web

Enregistrer mon nom, mon e-mail et mon site dans le navigateur pour mon prochain commentaire.

Je ne suis pas un robot


reCAPTCHA
Confidentialité - Conditions

  Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos
commentaires sont utilisées.

Vous cherchez quelque chose ? Découvrir IT- Espace personnel Recommandations


Connect
Inscription Blogmotion

Recherche Délibérata

A propos
Connexion Tech2tech

Comment contribuer sur IT- Générateur de mots de


 Flux des publications
passe
Connect ?

Contact

Espace annonceurs

L’Equipe

Offres d’emploi

Politique de confidentialité

Soutenir IT-Connect


 COURS – TUTORIELS  COURS IT ACTUALITÉS  EMPLOI BONS PLANS TESTS   
#LINKSOFTHEWEEK   

report this ad

IT-Connect - Copyright © 2022 | Creative Commons License BY-NC-ND 4.0

Vous aimerez peut-être aussi