GPO dans AD

[gizmo78]

yop,

bon je refais un poste propre car la c'est le bordel et je m'en sors pas xD

\-\ Ma problématique: je veux exécuter plusieurs script en tant qu'admin sans donner ces droits aux users.

\-\ Problèmes:
D’après les différents tests j'ai deux problèmes:
- ports pour psexec fermé dans le firewall des stations;
- ping bloque par le firewall

J'ai un script qui ouvre les ports 139 et 445 (donc le ping par la même occasion) qui est fonctionnel hors, il faut les droits d'admin pour le lancer.

J'ai donc créé une gpo ordinateur qui lance ce script au démarrage du poste mais ca ne fonctionne pas et ca bloque le boot du poste sur exécution des scripts de démarrage. L'OU sur laquelle j'ai appliqué cette gpo dedans j'avais mon user et le computer visé.

Sur le poste visé, si je fais un rsop.msc je vois bien la gpo appliquée et sur le serveur j'ai bien fais un gpupdate /force (le script est un .bat).

Une idée de comment faire ? car la ca va faire une semaine que je suis dessus et je désespère:/

[gizmo78]

en solution on s'est dit que l'on allait créer un group admin-service et que ce groupe on allait le rattaché au groupe Administrateurs et donc que les users de admin-service auraient les droits d'admin sur le poste et bien ca ne fonctionne pas :/ ils ont toujours des droits limités.

[kalistyan]

Suffit d'ajouter un script (GPO ordinateur)

Code : Tout sélectionner

@Echo off
cls
net localgroup administrateurs "admin-service " /add

[gizmo78]

ca ajoute le groupe admin-service dans le groupe Administrateurs c'est ca?

Si oui je l'ai fais à la main et l'héritage des droits ne ce fait pas :/

[kalistyan]

Oui, j'ai tjrs procédé comme ceci & jamais eu de problème.

Dans le groupe Administrateurs local tu devrais avoir ceci :

NOM-DU-DOMAINE\admin-service
NOM-DU-PC\Administrateur

[gizmo78]

donc avec ton script l'utilisateur va se retrouver - normalement - avec les droits admin?

[kalistyan]

Oui, c'est bien le but non ?

[gizmo78]

ouaip!!! bon bas je test ca!!

et pour le retirer le droit, y a juste à changer le /add nan?

[kalistyan]

Oui, rien de plus.

[gizmo78]

ca fonctionne pas....

les droits ne changent pas :/

[gizmo78]

le C/V a copié les 1, 2 etc....

[kalistyan]

Machine redémarrée ?
GPO appliquée ?

[gizmo78]

nan copié collé foireux...

car ....


CA FONCTIONNE!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

kali je t'aime [:mimie1421:5]

[kalistyan]

[:cupra]

[gizmo78]

tiens une autre question existentielle:

à force de faire des gpo de test, j'ai ouatemille dossiers de gpo qui sont vides et inutilisés, je peux les supprimer ?

[kalistyan]

Dossiers situés dans le partage sysvol ?

[gizmo78]

ouais sysvol\policies\

j'ai plein de dossiers vides

[kalistyan]

Si tu supprimes les GPO dans l'AD cela ne supprime pas les dossiers liés ?

Toi qui bouffe de la GPO en ce moment, te conseil : Console de gestion des stratégies de groupe (GPMC, Group Policy Management Console) ici & un article ici

[gizmo78]

merci je lis ca

bas nan pas l'impression oO

[gizmo78]

avec gpmc j'ai pu faire du ménage dans les gpo que j'avais créé et supprimé et les dossiers ont été supprimés avec, merci

[kalistyan]

[:archi]

[fighting_falcon]

juste un truc ... le gpupdate /force c'est sur le CLIENT que ça se lance ... pas le serveur

[gizmo78]

on ma toujours dis de le lancer sur le serveur pour forcer le rafraichissement des gpo qui se fait toute les 45mins un truc du genre

[kalistyan]

Si tu as plusieurs DC....

[gizmo78]

je fais ce que j'ai appris...