Définir un utilisateur de domaine en tant qu'administrateur local d'ordinateur
Comme indiqué dans le titre du billet, le but ici est d'ajouter des comptes utilisateurs du domaine en tant qu'admin local de nos ordinateurs client. Ce type de besoin est assez fréquent quand on reprend un parc d’ordinateurs pour lesquels les comptes administrateurs locaux ne sont pas identiques.
Voici les différentes étapes que nous aurons à réaliser :
1 - Créer un groupe de sécurité et y ajouter des comptes du domaine :
Depuis la console Active Directory Users and Computers, nous allons faire Action > New > Group
Vous êtes libres de nommer le groupe comme vous voulez. Ici je l’ai nommé : « Administrateurs locaux PC ».
Au groupe de sécurité, nous allons ajouter les utilisateurs du domaine qui seront Administrateurs locaux des machines :
2 - Créer une stratégie de groupe (GPO) qui va ajouter le groupe « Administrateurs locaux PC » en tant qu’administrateur local de nos ordinateurs.
Editer la GPO, une fois la GPO créée :
- Dérouler les paramètres de configuration ordinateur jusqu’à la partie : « Computer configuration\Policies\Windows Settings\Security Settings\Restricted Groups »
- En faisant un clic droit sur Restricted groups, cliquer sur Add group :
Cliquer sur Browse pour chercher le nom de votre groupe de sécurité de l’étape 1 :
- Après avoir cliqué sur OK, une nouvelle fenêtre apparaît.
- Dans la nouvelle fenêtre cliquer sur Add, Rechercher les groupes « Remote Desktop Users » et « Administrators », les ajouter et cliquer 2 fois sur le bouton OK :
3 - Dernière étape : Lier la GPO à l’unité d’organisation contenant les ordinateurs
Depuis la console « Group Policy Management », nous allons lier la GPO à l’unité d’organisation contenant les ordinateurs :
4 - Vérification
Une fois la GPO lié appliquée, faites un gpupdate /force sur les ordinateurs pour actualiser les stratégies de groupe. Vous pourrez constater que le groupe « Administrateurs Locaux PC » fait désormais partie des administrateurs locaux de votre ordinateur :