cerhu > microsoft.* > microsoft.windows.server.active_directory

big (23/07/2004, 00h22)
Bonjour,

voila je souhaite ajouter un groupe global de securité crée sur mon
domaine en tant qu'administrateur local des machines (groupes builtin
"administrateurs" en d'autres termes),seulement je n'y arrive pas.

Appelons "Support" le groupe global de securité sur mon domaine et
Administrateurs le groupe d'administrateur local des machines.

Sur l'OU dans laquelle sont regroupées toutes mes machines,j'ai crée
un groupe restreint "Support" puis j'ai dit que "Support etait membre
du groupe Administrateurs" (Gropue builtin) (partie basse de la
fenetre de proprietes du groupe restreint).

Hélas ca ne fonctionne pas...
Dans mon winlogon.log j'ai une erreur disant "No system mapping was
found for DOMAINE\Support"
ou pour la version francais "mappage système introuvable pour..."

Voila,ca va faire une semaine que je cherche,je commence a desesperer.

En esperant que quelqu'un puisse me venir en aide ou me guider.
Merci
Philippe Bonatti (29/07/2004, 09h15)
Bonjour
ne faut-il pas créer un groupe restreint "Administrateurs" et y ajouter
le groupe "Support" ?

Salutations

Philippe

big a couché sur son écran :
[..]
big (29/07/2004, 17h38)
Oui c'est une autre solution mais le probleme de cette derniere est
que si je souhaite ajouter un utilisateur particulier administrateur
d'une machine particuliere ca ne sera pas possible car avec les
groupes restreints j'aurai défini que SEUL le groupe "Support" peut
etre admin,d'où mon gros probleme.

Philippe Bonatti <philippe_PASDESPAM> wrote in message news:1328
[..]
Philippe Bonatti (29/07/2004, 19h49)
Juste, sympa ton problème !
Bien ma foie, il faut que cette machine n'applique pas la GPO par
filtrage peut-être ...

Salutations

Philippe
--------

big avait prétendu :
[..]
Marc Lognoul (30/07/2004, 20h17)
Si j'ai bien compris le scenario, tu as, disons, 3 pc:
User A est admin de PC 1
User B est admin de PC 2
User C est admin de PC 3 etc...
Groupe Support est membre de admin sur tous les PC

Je n'utilise jamais de GPO pour appliquer ce type de sécurité. Par contre un
startup script ou un AT command pourrait faire l'affaire.

Par exemple, en utilisant l'attribut "managedBy" de AD, tu lies un Pc à un
utilisateur. Le script lit AD et ajoute auPc, lors du boot par ex, le user
repris dans l'attribut AD. tu peux également utiliser une DB type Access
avec 2 tables importer de AD et une 3ème qui les lie avec un JOIN de type
"one to many". Le script utilise alors MDAC pour ajouter les admins locaux.

Si tu penses que cela pourrait résoudre ton problème, je posterai un exemple
de script lundi (je ne l'ai pas sous la main, à côté du barbecue:))

Marc

"big" <trankil75> wrote in message
news:b109
[..]
big (31/07/2004, 16h41)
Alors je vais essayer d'etre plus clair, désolé car ce n'est pas
vraiment ce probleme ici.

J'ai un parc de 400 postes sous windows XP dans un domaine AD 2003.
Ce domaine est un sous-domaine d'un domaine d'entreprise.
Je suis l'admin de ce sous-domaine et je souhaite créer un groupe
"Support" dans lequel je rajouterai les techniciens,hotliners etc...
afin que ces derniers puissent etre administrateur local des machines
sur lesquelles ils pourraient intervenir (les 400 postes du
sous-domaine,contenues dans une UO)

Mon probleme est que je ne vais pas m'amuser a passer sur les 400
postes afin de rajouter manuellement chacun de mes
techniciens,hotliners etc...
Je ne peux pas non plus créer un groupe restreints "Administrateurs"
dans lequel je preciserai que ses membres seront le groupe Support et
Admin du domaine CAR certains des utilisateurs de mon domaine doivent
etre administrateur local de leur machine et a cause de la mise en
place de ce type de groupe restreint, ils se verront automatiquement
retirés du groupe "Administrateurs" de la machine à cause de ma
definiton du groupe restreint.

D'où mon idée de créer un groupe restreint "Support" (groupe definit
au niveau du domaine), et de dire que ce groupe est lui meme membres
du groupe "Administateurs".

Logiquement cela aurai du marcher mais ca ne fonctionne pas.(Sauf sur
un 2K SP4 lors de mes tests) sinon j'ai une erreur dans mon journal
des evenements de mes clients (Erreur 1202 SceCli puis 1085 UserEnv)

Voila j'espere avoir été plus clair cette fois ci.

De mon coté,je continue toujours à chercher une solution.
Merci

"Marc Lognoul" <nospam.lognoulm> wrote in message news:a592
[..]
Marc Lognoul (31/07/2004, 17h01)
OK je vois. Ton problème est que le fonctionnement des restricted group
n'est pas incrémental.
Si tu veux reproduire en production le résultat de tes tests, le SP4 est
nécessaire
([..]
000), pour XP, il faut un hotfix.

Marc

"big" <trankil75> wrote in message
news:a4c2
[..]
> Logiquement cela aurai du marcher mais ca ne fonctionne pas.(Sauf sur
> un 2K SP4 lors de mes tests) sinon j'ai une erreur dans mon journal
> des evenements de mes clients (Erreur 1202 SceCli puis 1085 UserEnv)
> Voila j'espere avoir été plus clair cette fois ci.
> De mon coté,je continue toujours à chercher une solution.
> Merci
> "Marc Lognoul" <nospam.lognoulm> wrote in message news:a592

contre un
[..]
Discussions similaires
Inserer Groupe utilisateurs AD dans groupe local

Incapable d'ajouter un compte de domaine au groupe Administrateurs (local)

Groupe Local de Domaine et/ou Groupe Local de Serveur

Ajoutez le groupe global Admins du domaine du domaine source au groupe local Administrateurs dans le domaine cible.


Fuseau horaire GMT +2. Il est actuellement 07h41. | Privacy Policy