Discussion :

[reda_lulu]

Bonjour tous le monde ,

Je vous expose la situation , et merci d'avance pour votre lecture .

Je suis sur un environnement entreprise , donc avec un serveur et contrôleur de domaine et tout le tralala .

Le soucis se pose au niveau des droits de chaque utilisateur ( chaque utilisateur à son propre poste physique ) , ce que je souhaite ( mais je ne trouve pas comment ) , c'est de chaque utilisateur ait le droit de faire des modifs sur le poste ( genre changer l'heure , les paramètres internet , installer désinstaller des applications ) sauf que quand un utilisateur est connecté , le pop up suivant empêche cela


Ma question est donc , comment faire pour donner la possibilité aux utilisateurs non Admin de faire des changements sur les postes .

Merci.

[Christophe]

Tu peux créer un compte administrateur local, ou donner des droits plus fins aux utilisateurs du domaine.

Après c'est pas recommandé. L’Intérêt d'avoir un domaine, c'est de justement contrôler ce qui est fait sur les postes.

[sevyc64]

Sur chacun des postes, tu peux ajouter l'utilisateur (ou le groupe "Utilisateurs du domaine") dans le groupe Administrateurs local du poste. Ainsi, tes utilisateurs seront administrateur de leur poste mais resteront simple utilisateur au niveau du réseau et du domaine.
Çà se fait couramment même si la remarque de chrtophe.

Après, ça, ça peut se pousser par GPO au moment de la connexion de l'utilisateur, mais je serais bien incapable de te dire comment faire.


Mais malgré tout, même s'il n'aura plus à saisir de login/mot de passe, à partir des versions W7 et supérieures, l'utilisateur devra quand même valider une fenêtre popup.

[reda_lulu]

Effectivement , l'ajout des utilisateurs de domaine dans le groupe administrateur local du poste semble être la meilleur solution .

Merci @sevyc64 et @chrtophe

[Lekno]

Effectivement , l'ajout des utilisateurs de domaine dans le groupe administrateur local du poste semble être la meilleur solution .

Je complète ta phrase : Effectivement , l'ajout des utilisateurs de domaine dans le groupe administrateur local du poste semble être la meilleur solution pour se faire defoncer son domaine

[sevyc64]

Ne pas mélanger Administrateur local du poste, et Administrateur du domaine.

Sauf cas particulier que j'ai pu rencontré une ou deux fois, un administrateur du domaine est aussi "administrateur local" d'un poste rattaché au domaine.
L'inverse n'est pas vrai. Un utilisateur du domaine, même administrateur local, ne serait toujours que simple utilisateur du domaine pour tout ce qui touche le domaine. Ses droits d'administration se limite au poste local, et pour toute manipulation qui ne concerne que des ressources locales au poste.

Ex : monter un lecteur réseau : Il aura le droit de monter un lecteur réseau, en tant qu'administrateur local, mais n'aura pas forcément le droit de monter le lecteur réseau qu'il souhaite si, en tant qu'utilisateur du domaine, il n'a pas les droits d'accès à la ressource cible.

[Lekno]

Donner les droits admins local sur un poste rattaché à un domaine, c'est ouvrir une faille béante dans la sécurité d'un si peut importe la situation il existe forcement une autre solution. Mon message du dessus était assez ironique mais réaliste

Ex : monter un lecteur réseau

Non, echec, l'utilisateur n'a pas a devoir monter son lecteur réseau. Si le sys admin fait son job le lecteur est monté à l'ouverture de session ou autre. Aucune tache d'un utilisateur ne doit necessiter d'accorder les "full droits" sur un systèmes, c'est comme ouvrir un partage réseau à "tout le monde" en lecture/écriture, c'est la solution de facilité mais c'est echec critique pour la sécurité

[transgohan]

Non, echec, l'utilisateur n'a pas a devoir monter son lecteur réseau.

Je serai bien incapable de travailler dans ce cas.
Windows est limité en lettre de lecteur, et ma boite dispose de bien plus de serveurs que les lettres de l'alphabet...
Certes je ne suis pas amené à tous les utiliser, mais j'en ai tout de même 39... Dont certains qui ne me servent à rien les 3/4 du temps, donc pouvoir les monter uniquement quand le besoin s'en fait sentir est très utile.

[Lekno]

Monter un lecteur réseau avec une lettre de lecteur à une utilité bien précise, fournir une lettre de lecteur à un emplacement réseau peut être utile dans la mesure ou certaine application ne gère pas les emplacements réseaux par exemple, le fait de mapper via une lettre de lecteur comme un disque dur permet d'utiliser dans des scripts en faisant appel à la lettre de lecteur plutot que au chemin réseau :

Ex :
\\monpartage\compta ---> Z:

La personne qui développent des scripts peut alors utiliser Z: au lieux de \\x.x.x.x

si la lettre de lecteur change tout le temps et que vous n'avez pas assez de lettre pour gérer vos lecteurs la conception de votre serveur est à revoir puisque elle ne correspond pas au besoin des utilisateurs.

Pourquoi ne pas utiliser un emplacement réseau à la place ? Ca permet d'avoir des chemins réseaux sans lecteur et donc d'éviter les conflits de lettre de lecteur et éviter la chaise musicale
J'ajoute à cela que l'emplacement réseau ne se monte que lors de l'ouverture de celui-ci au contraire d'un lecteur réseau avec lettre qui vérifie la disponibilité du lecteur avant affichage (sous windows 7, je ne sais pas si ils ont changé pour 10) ce qui rendait les ouvertures de sessions interminable si vous aviez beaucoup de lecteur .... bref sauf cas bien déterminé toujours privilégié un emplacement réseau.
Si vous devez vous même configurer votre outil de travail vos admins ont mal déployé leur solution puisque au finale elle vous complique plus la vie que autre chose et vous donnez les droits de monter un lecteur réseau c'est simplement la solution la plus simple pour eux ca leur évite de revoir leur système au détriment de la sécurité (droit admin obligatoire pour monter un lecteur) ce qui est souvent le cas, il faut trouver un compromis entre sécurité et praticité, à voir avec votre service info

En faisant un clique droit sur "ce pc" dans votre explorateur windows(10 ou 7 la procédure est la même) vous verrez l'option "ajouter un emplacement réseau".

Sur cette capture d'écran sous Windows 10 on distingue le lecteur réseau mappé sur Z: et l’emplacement réseau "générique"
Pièce jointe 493485