Active directory : Groupes restreints

Je veux qu’un groupe d’utilisateurs soit administrateurs sur un groupe de machine.

1 / Dans l’OU où se trouve les machines, je crée un groupe et j’associe toutes les machines à ce groupe : gp_toto_computers.

2 / Dans l’OU où se trouve mes users, je crée un groupe et j’associe tous les users concerné à ce groupe : gp_toto_usersadmin.

3 / Je crée une nouvelle GPO : gpo_toto_localadmin. Je rattache cette GPO à mon OU de computer. Je spécifie comme filtre uniquement le groupe d’ordinateur : gp_toto_computers.

4 / J’édite la GPO. Computer Configuration > Windows Settings > Security settings > Restricted group. Je creer un nouveau groupe Administrators. Les membres de ce groupe sont les admins du domaines et mon groupe de user gp_toto_usersadmin, et ce groupe et membre du groupe administrators, le groupe des administrateurs locaux.

5 / Je force la GPO : gpupdate /force. Si cela ne suffit pas je redémarre la machine.

Et a présent, en faisant un gpresult on peut voir le résultat sur un ordinateurs du groupe ciblé.