GPO : Définir un utilisateur « Administrateur local » de tous les PCs

I. Présentation

Dans un domaine, on gère nos machines et nos utilisateurs à coup de stratégies de groupe, elles simplifient grandement l'administration de l'ensemble. Aujourd'hui, nous allons voir comment faire en sorte qu'un utilisateur du domaine soit administrateur local de toutes les machines. Plutôt, nous définirons un groupe pour que ce soit plus souple à administrer par la suite : il suffira d'ajouter un utilisateur au groupe en question dans l'Active Directory plutôt que de réviser la GPO et d'attendre qu'elle se réplique.

Bien sûr cela peut être adapté, au lieu de mettre tous les ordinateurs du domaine, on pourra appliquer uniquement sur un groupe en particulier cela dépendra de l'OU sur laquelle s'applique la GPO. Par ailleurs, dans ce cas précis il s'agit de mettre le groupe de l'annuaire en tant qu'Administrateurs local des machines, mais on pourrait cibler un autre groupe... Parmi ceux proposés dans Windows.

Pour ma part, je vais créer un groupe contenant 4 utilisateurs qui doivent tous les quatre être administrateurs locaux, de l'ensemble des machines du domaine.

adminlocal1

Une déclinaison de ce tutoriel au format vidéo est désormais disponible, pour ceux qui préfèrent :

II. Organisation de l'Active Directory

Dans l'annuaire Active Directory, créez un groupe et nommez-le "Administrateurs locaux". Clic droit - Nouveau - Groupe

 

adminlocal2

 

Nommez ce groupe comme je l'ai indiqué précédemment et validez.

adminlocal3

Une fois le groupe créé, accédez à ses propriétés (clic droit Propriétés), et dans l'onglet "Membres" ajoutez tous les utilisateurs que vous souhaitez voir administrateur local des postes.

adminlocal4

Passons désormais à la création de la GPO.

III. Création de la stratégie de groupe

Soit vous modifiez une stratégie de groupe, ou alors, comme moi vous créez une nouvelle stratégie de groupe uniquement pour cela (non recommandé - je le fais uniquement, car il s'agit d'une démonstration - limitez le nombre de GPO).

Si vous créez une nouvelle GPO (qui peut ne pas servir qu'à ça...), effectuez un clic droit  à l'endroit où vous souhaitez appliquer cette stratégie. Pour l'appliquer sur tout le domaine, on effectue l'opération sur le nom de domaine directement (it-connect.fr dans cet exemple). Cliquez sur "Créer un objet GPO dans ce domaine, et le lier ici...".

adminlocal3b

Nommez cet objet GPO, je le nomme "Administrateurs_locaux" pour ma part. Validez avec OK.

adminlocal5

Lorsque l'objet est créé, effectuez un clic droit dessus puis "Modifier" pour commencer le paramétrage.

adminlocal6

Accédez au chemin suivant :

Configuration ordinateur, Stratégies, Paramètres Windows, Groupes restreints.

Dans la partie de droite, effectuez un clic droit et "Ajouter un groupe".

adminlocal7

Un assistant s'ouvre, cliquez sur Parcourir pour ajouter notre groupe "Administrateurs locaux" que nous avons créé dans l'Active Directory. Le fait de procéder via parcourir permet d'être sûr que l'on ne se trompe pas dans l'orthographe du groupe.

adminlocal8

Ensuite, cliquez sur "Ajouter" au niveau de "Ce groupe est membre de" puisque l'on veut que notre groupe soit membre de "Administrateurs". Justement, indiquez "Administrateurs" sans passer par "Parcourir" (on ne fait pas référence à un groupe Active Directory !).

adminlocal9

La stratégie de groupe est configurée, vous pouvez fermer le gestionnaire. La suite se passe côté client.

IV. Vérification côté client

Sur une machine cliente, nous allons tester que cela fonctionne. Pour ma part, je prends un serveur membre, je commence par réaliser une actualisation des GPO :

gpupdate /force

adminlocal10

Redémarrez l'ordinateur, comme il s'agit d'une GPO ordinateur cela est nécessaire. Ensuite, ouvrez une session et accédez à la gestion de l'ordinateur de cette façon : clic droit sur le bouton "Démarrer" puis "Gestion de l'ordinateur". Sous "Outils système", cliquez sur "Utilisateurs et groupes locaux", puis "Groupes" : vous allez trouver le groupe "Administrateurs".

Dans le groupe "Administrateurs", je remarque la présence du groupe "Administrateurs locaux". La stratégie de groupe que nous venons de configurer fonctionne !

adminlocal11

La présence de "IT-CONNECT" montre qu'il s'agit bien d'un groupe présent dans l'annuaire.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3767 posts and counting.See all posts by florian

27 thoughts on “GPO : Définir un utilisateur « Administrateur local » de tous les PCs

  • Hello,

    Tu sors ton poste du domaine IT-CONNECT, on est d’accord que ça ne fonctionne plus ? C’est évident mais c’est le gros souci de la méthode.

    Ton poste est un pc portable sans connexion au domaine (mais enregistré dessus) et situé à l’extérieur de l’entreprise (au domicile du salarié ou en réunion extérieure), tu peux te connecter dessus avec TeamViewer par exemple mais pas ouvrir une session avec ton compte dans le groupe IT-CONNECT\Administrateurs locaux ?

    Je trouve que la méthode que tu présentes est la plus pertinente niveau simplicité, administration mais elle a des limitations qu’il est important de souligner.

    Trois liens intéressants que j’ai trouvé proche de cette problématique de gestion des Administrateurs locaux :
    http://blogs.technet.com/b/askpfeplat/archive/2014/05/19/how-to-automate-changing-the-local-administrator-password.aspx
    http://www.grouppolicy.biz/2014/05/set-local-administrator-account-random-password/
    https://code.msdn.microsoft.com/Solution-for-management-of-ae44e789

    Vous faites du super boulot, bravo ! Continuez !

    Tcho !

    Répondre
  • Merci pour le tuto, même si ce n’est pas ce que je cherchais car j’ai déjà une GPO dans le même style, excepté que je gère mes users en tant que membres et non pas groupes.

    Et je suis justement tombé sur votre site en tentant de trouver une solution à la problématique exposée par Cascador.

    Je pensais que c’était la solution qui était exposée ici mais non. 🙁

    Je vais visiter un peu votre site, il a l’air sympa. 😉

    Répondre
  • Comment faire pour qu’un compte « utilisateur du domaine » puisse installer des programmes et faire des mises à jour sur sa machine sans avoir besoin de rentrer le login et mdp administrateur.

    Est-ce que, c’est ça la solution

    Merci

    Répondre
    • Bonjour,

      Avec cette solution, oui le compte doit être mesure d’installer des programmes sur la machine, car il faut être administrateur pour installer des programmes. C’est possible que l’UAC apparaisse toujours mais vous pourrez utiliser le compte ajouté au groupe administrateur. Pour valider, essayez sur une machine de test 🙂

      Si le problème persiste, utilisez notre forum pour obtenir de l’aide 🙂
      Florian

      Répondre
  • Salut,

    N’est-il pas possible de faire cela avec directement un utilisateur plutôt qu’un groupe ?

    Merci.

    Répondre
  • Cette opération est très dangereuse, parce que elle va rendre le groupe « Administrateurs locaux » membre du groupe « Administrateurs » du serveur, et donc permettre à tous les utilisateurs du domaine appartenant au groupe « Administrateurs locaux » de se connecter au serveur comme Administrateur.

    Répondre
    • Exactement…
      De plus dans la Default Domain Controllers Policy on ne peut pas retirer le groupe « Administrateurs » du paramètre « Permettre l’ouverture d’une sessions locale »…

      Répondre
    • Il faut appliquer la GPO uniquement sur une OU qui contient seulement des PC clients c’est certain!

      Répondre
  • Bonjour,
    un souci avec la procédure sur 2012 R2,

    le groupe admin locaux deviens administrateurs/buit in c’est a dire que le groupe deviens automatique administrateurs du domaine.

    Groupe membre de: il y a utilisateurs du domaine et automatiquement (j’ai beau l’enlever ça reviens) « administrateurs/buuilt in » du domaine
    Je ne sais pas si c’est un bug ou la strategie qui change les droits du groupe
    bonne journée

    Répondre
  • Bonjour,

    Suite à la mise à jour de Microsoft, il devient impossible de créer un utilisateur via GPO sur l’ensemble des machines.
    Avez-vous une démarche ?

    Merci

    Répondre
  • D’ abord je dois vous dire que je suis quasi nul en informatique et j’espère bien que vous puissiez quand même m’aider. // j’ai un compte utilisateur//

    Tous mes logiciels de jeux ont été listés avec yahoo et pour une raison que j’ignore
    d’un seul coup ils me sont tous apparus listés avec gmail .Donc tous mes mots de passe avec yahoo ne sont plus utilisables et je dois leurs en donnés de nouveaux qui sont automatiquement refusés par le système, je viens de lire un article qui mentionne qu’un compte utilisateur (( peut s’affilier )) si je peut dire avec un compte administrateur et je crois bien c’est ce qui est arrivé car lorsque je veux ouvrir un logiciel on me demande un mot de passe administrateur pouvez vous m’indiquer comment créé ce compte svp
    merci à l’avance

    Répondre
  • Bonjour Florian,

    Tout d’abord un grand Merci pour le formidable travail que vous faites.

    Cet article sur les groupes restreints m’a beauoucp aidé. J’ai mis toute l’équipe IT en administrateurs locaux des pc du parc, mon seul soucis maintenant est :
    Ils ont du coup acsès au partage administratifs (Admin$, C$, D$, …) sur tous les PC!!!! et c’est problématique.

    y a t il un moyen pour les mettre en admin locaux des pc mais sans pouvoir accéder à distance aux partages administratifs?????

    Merci d’avance.

    Cordialement.

    Répondre
    • Bonjour Adminos,
      Avez-vous trouvé une solution « y a t il un moyen pour les mettre en admin locaux des pc mais sans pouvoir accéder à distance aux partages administratifs????? »

      Répondre
  • Bonjour Florian,

    J’ai suivi votre tutoriel. malheureusement, je ne peux plus me loguer en tant d’administrateur sur mon serveur windows 2012. il m’affiche ce message : la méthode que vous tentez d’utiliser n’est pas autorisé. pour plus d’information, contactez votre administrateur.
    pourriez-vous m’aider svp?
    merci d’avance

    Répondre
    • Bonjour Yann,

      Le nom « Administrateurs » est bien orthographié dans votre GPO ? Votre serveur est-il contrôleur de domaine ?

      Cordialement,
      Florian

      Répondre
  • Bonjour,

    NE SUIVEZ SURTOUT PAS CE TUTO !!!
    Il vous ajoutera le groupe dans le groupe ‘Administrateurs’ de votre serveur.
    Ce n’est pas à cet endroit que cet opération doit être réalisée !

    C’est dans USER CONFIGURATION > PREFERENCES > CONTROL PANEL SETTINGS > Local Users and Groups

    Répondre
    • Bonsoir Galves,

      Les deux sont possibles, tu ne crois pas ?

      Cordialement,
      Florian

      Répondre
    • Non ce tuto est très bien, tu ne sais simplement pas l’appliquer. En effet, il ne faut appliquer la GPO que sur l’OU ou se trouvent tes postes utilisateurs. Tes serveurs doivent être dans une autre OU.

      Répondre
      • Merci de cette réponse, mais une petite description de comment faire serait la bienvenue

        Répondre
        • Il faut simplement placer les comptes ordinateurs dans une OU et les serveurs dans une autre, puis appliquer la GPO « Admins locaux » sur l’OU « Ordinateurs »

          Pour schematiser ça ressemble a ça :
          DOMAINE
          –OU Ordinateurs
          –> GPO Admins locaux
          –OU Serveurs

          Répondre
  • Bonjour merci pour ton tuto je suis débutant et j’ai suivi ton tuto bien . Et comment savoir si l’utilisateur est administrateur ? si il est administrateur il doit pouvoir changer son adresse ip sans soucis

    Répondre
  • bonjours florian
    Merci pour le formidable travail que vos faites
    mon problème c’est: esque y a-t-il un moyen pour modifier le mot de passe d’un compte administrateur non standard ou le désactiver (compte utilisateur local avec privilège)
    merci

    Répondre
  • Salut, aurais tu une idée pour que le compte local administrateur des Stations de Travail ne subisse pas la veille au bout de 7M que subissent tous les utilisateurs du domaine quand connecté en LAN?

    cdlt,

    Répondre
  • Bonjour, et merci pour ce tuto que j’ai appliqué et qui fonctionne très bien.
    Par contre j’ai un message de warning sur mon serveur de supervision (Checkmk) qui pointe un problème avec ma GPO « Administrateurs locaux », voici le message:
    « SceCli Les stratégies de sécurité ont été propagées avec avertissement. 0x534 : Le mappage entre les noms de compte et les ID de sécurité n’a pas été effectué. L’Aide avancée pour ce problème est disponible sur https://support.microsoft.com. Recherchez « troubleshooting 1202 events ». L’erreur 0x534 se produit lorsqu’un compte utilisateur dans un ou plusieurs objets de stratégie de groupe (GPO) n’a pas pu être résolus en identifiant de sécurité. Cette erreur peut être causée par un compte utilisateur incorrect ou un compte utilisateur supprimé référencé soit dans les groupes Droits des Utilisateurs, soit dans une branche de groupes restreints GPO. Pour résoudre cet événement, contacter un administrateur dans le domaine pour effectuer les actions suivantes :
    1. Identifiez les comptes n’ayant pas pu être résolus en identifiant de sécurité : À partir de la ligne de commande, entrez : FIND /I « introuvable » %SYSTEMROOT%\Security\Logs\winlogon.log La chaîne précédant « introuvable » dans la sortie FIND identifie les noms de compte ayant un problème. Exemple : RosalieMignon introuvable. Dans ce cas, le SID pour le nom d’utilisateur « RosalieMignon » n’a pas pu être déterminé. Ceci se produit le plus souvent en raison d’un compte supprimé, renommé ou orthographié différemment (par exemple « RosaliMignon »).
    2. Utilisez RSoP pour identifier les Droits des Utilisateurs, les groupes restreints et les GPO source spécifiques contenant les comptes ayant un problème :
    a. Démarrer -> Exécuter -> RSoP.msc
    b. Consultez les résultats de Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment et Computer Configuration\Windows Settings\Security Settings\Local Policies\Restricted Groups pour toutes erreurs marquées d’un X rouge.
    c. Pour tout Droit utilisateur ou Groupe restreint marqué d’un X rouge , le GPO correspondant contenant les paramètres de stratégie du problème est listé sous la colonne nommé « GPO source ». Notez les Droits utilisateur spécifiques, les Groupes restreints et les sources GPO génératrices d’erreurs.
    3. Supprimez les comptes non résolus de la stratégie de groupe
    a. Démarrer -> Exécutez -> MMC.EXE
    b. À partir du menu fichier, sélectionnez « Ajouter/Supprimer un composant logiciel enfichable »
    c. À partir de la boîte de dialogue « Ajouter/Supprimer un composant logiciel enfichable » sélectionnez « Ajouter… »
    d. Dans la boîte de dialogue « Ajout d’un composant logiciel enfichable autonome » sélectionnez « Stratégie de groupe » et cliquez « Ajouter »
    e. Dans la boîte de dialogue « Sélectionner l’Objet stratégie de groupe » cliquez sur le bouton « Parcourir ».
    f. Dans la boîte de dialogue « Parcourir pour un Objet stratégie de groupe » choisissez l’onglet « Tout »
    g. Pour chaque GPO source identifiée lors de l’étape 2, corrigez les Droits utilisateur ou Groupes restreints marqués d’un X rouge lors de cette étape. Ces Droits utilisateur ou Groupes restreints peuvent être corrigés en supprimant ou corrigeant toutes références aux comptes ayant un problème, identifiés à l’étape 1. »
    Alors l’étape 1 ne me donne rien, car je n’ai pas de fichier Winlogon.log sur mes serveurs.
    C’est à l’étape 2 que je vois que c’est ma GPO « Administrateurs locaux » qui pose problème (croix rouge devant).
    Mais après je ne vois pas trop ce qu’il faut que je fasse.

    Répondre
    • Finalement, j’ai fini par trouver une solution à mon problème. Il ne fallait pas mettre la GPO à la racine du domaine comme le tuto l’indique, car elles s’appliquaient aussi à mes serveurs et ceux-ci n’ont pas de groupe local « Administrateurs », donc la GPO ne trouvait pas ce groupe pour mes serveurs, ce qui provoquait le warning. Il faut mettre la GPO dans les OU où se trouvent les postes clients seulement.

      Répondre

Répondre à Florian B. Annuler la réponse

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.