GPO : Définir un utilisateur « Administrateur local » de tous les PCs

I. Présentation

Dans un domaine, on gère nos machines et nos utilisateurs à coup de stratégies de groupe, elles simplifient grandement l'administration de l'ensemble. Aujourd'hui, nous allons voir comment faire en sorte qu'un utilisateur du domaine soit administrateur local de toutes les machines. Plutôt, nous définirons un groupe pour que ce soit plus souple à administrer par la suite : il suffira d'ajouter un utilisateur au groupe en question dans l'Active Directory plutôt que de réviser la GPO et d'attendre qu'elle se réplique.

Bien sûr cela peut être adapté, au lieu de mettre tous les ordinateurs du domaine, on pourra appliquer uniquement sur un groupe en particulier cela dépendra de l'OU sur laquelle s'applique la GPO. Par ailleurs, dans ce cas précis il s'agit de mettre le groupe de l'annuaire en tant qu'Administrateurs local des machines, mais on pourrait cibler un autre groupe... Parmi ceux proposés dans Windows.

Pour ma part, je vais créer un groupe contenant 4 utilisateurs qui doivent tous les quatre être administrateurs locaux, de l'ensemble des machines du domaine.

adminlocal1

Une déclinaison de ce tutoriel au format vidéo est désormais disponible, pour ceux qui préfèrent :

II. Organisation de l'Active Directory

Dans l'annuaire Active Directory, créez un groupe et nommez-le "Administrateurs locaux". Clic droit - Nouveau - Groupe

 

adminlocal2

 

Nommez ce groupe comme je l'ai indiqué précédemment et validez.

adminlocal3

Une fois le groupe créé, accédez à ses propriétés (clic droit Propriétés), et dans l'onglet "Membres" ajoutez tous les utilisateurs que vous souhaitez voir administrateur local des postes.

adminlocal4

Passons désormais à la création de la GPO.

III. Création de la stratégie de groupe

Soit vous modifiez une stratégie de groupe, ou alors, comme moi vous créez une nouvelle stratégie de groupe uniquement pour cela (non recommandé - je le fais uniquement, car il s'agit d'une démonstration - limitez le nombre de GPO).

Si vous créez une nouvelle GPO (qui peut ne pas servir qu'à ça...), effectuez un clic droit  à l'endroit où vous souhaitez appliquer cette stratégie. Pour l'appliquer sur tout le domaine, on effectue l'opération sur le nom de domaine directement (it-connect.fr dans cet exemple). Cliquez sur "Créer un objet GPO dans ce domaine, et le lier ici...".

adminlocal3b

Nommez cet objet GPO, je le nomme "Administrateurs_locaux" pour ma part. Validez avec OK.

adminlocal5

Lorsque l'objet est créé, effectuez un clic droit dessus puis "Modifier" pour commencer le paramétrage.

adminlocal6

Accédez au chemin suivant :

Configuration ordinateur, Stratégies, Paramètres Windows, Groupes restreints.

Dans la partie de droite, effectuez un clic droit et "Ajouter un groupe".

adminlocal7

Un assistant s'ouvre, cliquez sur Parcourir pour ajouter notre groupe "Administrateurs locaux" que nous avons créé dans l'Active Directory. Le fait de procéder via parcourir permet d'être sûr que l'on ne se trompe pas dans l'orthographe du groupe.

adminlocal8

Ensuite, cliquez sur "Ajouter" au niveau de "Ce groupe est membre de" puisque l'on veut que notre groupe soit membre de "Administrateurs". Justement, indiquez "Administrateurs" sans passer par "Parcourir" (on ne fait pas référence à un groupe Active Directory !).

adminlocal9

La stratégie de groupe est configurée, vous pouvez fermer le gestionnaire. La suite se passe côté client.

IV. Vérification côté client

Sur une machine cliente, nous allons tester que cela fonctionne. Pour ma part, je prends un serveur membre, je commence par réaliser une actualisation des GPO :

gpupdate /force

adminlocal10

Redémarrez l'ordinateur, comme il s'agit d'une GPO ordinateur cela est nécessaire. Ensuite, ouvrez une session n'importe laquelle, tiens, administrateur local du serveur et dans le groupe "Administrateurs" je remarque la présence du groupe "Administrateurs locaux". La stratégie fonctionne !

adminlocal11

La présence de "IT-CONNECT" montre qu'il s'agit bien d'un groupe présent dans l'annuaire.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Co-Fondateur d’IT-Connect, je souhaite partager mes connaissances et expériences avec vous, et comme la veille techno’ est importante je partage aussi des actus.

florian a publié 1610 articles sur IT-Connect.See all posts by florian

12 réactions sur “GPO : Définir un utilisateur « Administrateur local » de tous les PCs

  • 22/01/2015 à 13:30
    Permalink

    Hello,

    Tu sors ton poste du domaine IT-CONNECT, on est d’accord que ça ne fonctionne plus ? C’est évident mais c’est le gros souci de la méthode.

    Ton poste est un pc portable sans connexion au domaine (mais enregistré dessus) et situé à l’extérieur de l’entreprise (au domicile du salarié ou en réunion extérieure), tu peux te connecter dessus avec TeamViewer par exemple mais pas ouvrir une session avec ton compte dans le groupe IT-CONNECT\Administrateurs locaux ?

    Je trouve que la méthode que tu présentes est la plus pertinente niveau simplicité, administration mais elle a des limitations qu’il est important de souligner.

    Trois liens intéressants que j’ai trouvé proche de cette problématique de gestion des Administrateurs locaux :
    http://blogs.technet.com/b/askpfeplat/archive/2014/05/19/how-to-automate-changing-the-local-administrator-password.aspx
    http://www.grouppolicy.biz/2014/05/set-local-administrator-account-random-password/
    https://code.msdn.microsoft.com/Solution-for-management-of-ae44e789

    Vous faites du super boulot, bravo ! Continuez !

    Tcho !

    Répondre
  • 04/02/2015 à 16:48
    Permalink

    Merci pour le tuto, même si ce n’est pas ce que je cherchais car j’ai déjà une GPO dans le même style, excepté que je gère mes users en tant que membres et non pas groupes.

    Et je suis justement tombé sur votre site en tentant de trouver une solution à la problématique exposée par Cascador.

    Je pensais que c’était la solution qui était exposée ici mais non. 🙁

    Je vais visiter un peu votre site, il a l’air sympa. 😉

    Répondre
  • 21/02/2015 à 15:43
    Permalink

    Comment faire pour qu’un compte « utilisateur du domaine » puisse installer des programmes et faire des mises à jour sur sa machine sans avoir besoin de rentrer le login et mdp administrateur.

    Est-ce que, c’est ça la solution

    Merci

    Répondre
    • 22/02/2015 à 18:33
      Permalink

      Bonjour,

      Avec cette solution, oui le compte doit être mesure d’installer des programmes sur la machine, car il faut être administrateur pour installer des programmes. C’est possible que l’UAC apparaisse toujours mais vous pourrez utiliser le compte ajouté au groupe administrateur. Pour valider, essayez sur une machine de test 🙂

      Si le problème persiste, utilisez notre forum pour obtenir de l’aide 🙂
      Florian

      Répondre
  • 12/05/2015 à 11:16
    Permalink

    Salut,

    N’est-il pas possible de faire cela avec directement un utilisateur plutôt qu’un groupe ?

    Merci.

    Répondre
  • 29/01/2016 à 15:17
    Permalink

    Cette opération est très dangereuse, parce que elle va rendre le groupe « Administrateurs locaux » membre du groupe « Administrateurs » du serveur, et donc permettre à tous les utilisateurs du domaine appartenant au groupe « Administrateurs locaux » de se connecter au serveur comme Administrateur.

    Répondre
    • 02/02/2016 à 09:42
      Permalink

      Exactement…
      De plus dans la Default Domain Controllers Policy on ne peut pas retirer le groupe « Administrateurs » du paramètre « Permettre l’ouverture d’une sessions locale »…

      Répondre
    • 06/01/2017 à 11:57
      Permalink

      Il faut appliquer la GPO uniquement sur une OU qui contient seulement des PC clients c’est certain!

      Répondre
  • 15/04/2016 à 11:11
    Permalink

    Bonjour,
    un souci avec la procédure sur 2012 R2,

    le groupe admin locaux deviens administrateurs/buit in c’est a dire que le groupe deviens automatique administrateurs du domaine.

    Groupe membre de: il y a utilisateurs du domaine et automatiquement (j’ai beau l’enlever ça reviens) « administrateurs/buuilt in » du domaine
    Je ne sais pas si c’est un bug ou la strategie qui change les droits du groupe
    bonne journée

    Répondre
  • 20/04/2016 à 14:24
    Permalink

    Bonjour,

    Suite à la mise à jour de Microsoft, il devient impossible de créer un utilisateur via GPO sur l’ensemble des machines.
    Avez-vous une démarche ?

    Merci

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *