Serveurs

GPO : Rendre un utilisateur administrateur de son poste

Par Tutos-Info , le 24 novembre 2022 , mis à jour le 24 novembre 2022 - 4 minutes de lecture
5/5 - (4 votes)

Lorsque vous installez des postes dans votre parc informatique, on a l'habitude de ne pas attribuer les droits Administrateur à l'utilisateur sur son poste. Cette configuration permet d'éviter que l'utilisateur fasse n'importe quoi sur son ordinateur. Mais dans ce tutoriel nous allons mettre en place une GPO pour qu'un utilisateur soit administrateur de son poste.

Étape 1 - Création d'un groupe Administrateurs Locaux

Pour maîtriser les utilisateurs qui seront administrateurs de leur poste, nous allons tout d'abord créer un groupe Administrateurs Locaux dans l'Active Directory.

Dans ce groupe nous ajouterons les utilisateurs concernés.

création groupe active directory.
Création du groupe dans l'active directory.

Puis on nomme ce groupe Administrateurs Locaux

groupe administrateurs locaux
Le groupe Administrateurs Locaux

Puis on va ajouter les utilisateurs concernés , vous pouvez faire un clic droit puis propriété sur le groupe pour ajouter les utilisateurs.

ajout membre groupe ad

Étape 2:  Création de la GPO

Il faut maintenant définir une GPO , idéalement il faut modifier une GPO existante pour éviter de multiplier les stratégies. Vous pouvez dans d'autres cas créer une nouvelle stratégie.

Attention !
Il faut être vigilant au placement de la GPO dans l’arborescence de l’active directory puisque si vous l’ajouter en racine vous risquez d’ajouter le groupe Administrateur sur des serveurs !

Il faut ouvrir le gestionnaire de stratégie sur votre contrôleur de domaine puis créer une GPO dans une unité d'organisation propre aux ordinateurs (ici Ordinateurs)

Vous pouvez utiliser la combinaison de la touche Windows + R puis saisir "gpmc.msc" pour ouvrir le gestionnaire de stratégies.

creation gpo serveur
Création d'une GPO.

Nous allons nommer la GPO , par exemple Admin_Postes.

gpo admin poste

Une fois crée, il faut faire un clic droit puis modifier.

modifier gpo

Puis il faut naviguer dans Configuration ordinateur > Stratégie > Paramètres de sécurité > Groupes restreint

gpo groupe restreint

Puis faites un clic droit puis ajouter un groupe. Cliquer sur le bouton parcourir puis sélectionner le groupe Administrateurs Locaux.

ajout groupe restreint

Puis on ajouter le groupe.

ajout du groupe restreint

Dans la nouvelle fenêtre, il faut cliquer sur Ajouter pour le paramètre Ce groupe est membre de :

ce groupe est membre de

Puis saisir le groupe Administrateurs , il ne faut pas utiliser le bouton Parcourir, puisque nous ajouterons le groupe Administrateurs Locaux dans le groupe Administrateurs du poste local et non dans l'active directory.

Administrateurs local poste local

La GPO est correctement configurée.

Étape 3 : Vérification de la GPO

Pour vérifier la bonne application de votre GPO il faut se connecter sur un poste qui est positionné dans l'unité d'organisation où la GPO est appliquée. Dans notre exemple c'est l'UO "Ordinateurs".

Utilisez la touche Windows + R et saisir la commande suivante :

gpupdate /force

Cette commande permet de mettre à jour la stratégie du poste. Une fois la stratégie à jour, vous pouvez vérifier que le groupe Administrateurs Locaux apparaît dans le groupe Administrateurs de l'ordinateur.

Pour vérifier faîtes un clic droit sur le menu démarrer puis choisir Gestion de l'ordinateur

Windows gestion ordinateur

Puis dans le menu Utilisateurs et groupes, il faut cliquer sur Groupes et ouvrir le groupe Administrateurs.

groupe administrateurs sur ordinateur.
Le groupe Administrateurs Locaux est bien dans le groupe Administrateurs du poste.

Il ne vous reste plus qu'à ajouter des utilisateurs dans le groupe Administrateurs Locaux depuis l'Active Directory.

Quelques contraintes à prendre en compte

La GPO permet d'ajouter facilement les utilisateurs administrateurs de leur poste, mais il faut être vigilant à son application. En effet, comme le groupe est ajouté sur les postes de l'unité d'organisation , un utilisateur est donc administrateur de l'ensemble des postes de l'unité d'organisation.

Il faudra peut-être travailler les filtres pour autoriser seulement des ordinateurs spécifiques.

Tutos-Info

Fondateur de Tutos-Informatique, je suis Administrateur Systèmes et Réseaux. Je propose des tutoriels suite à mes interventions clients.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.