Déléguer l'administration d'un parc à un groupe d'utilisateurs via RSAT

Par défaut dans SE4 seul le compte admin est administrateur des postes du domaine. Il peut être utile d'élargir les personnes qui ont cette possibilité de gérer des machines d'un parc.

Ce tutoriel explique précisément comment déléguer ce droit "administrateur" à un groupe de SE4. Les membres de ce groupe en se connectant avec leurs comptes du domaine SambaEdu auront les droits "Administrateur".

Complément

Le principe pour réaliser cette délégation est de faire en sorte que le groupe à qui on délègue le droit soit dans le groupe "Administrateur" sur les machines du parc visé.

Remarque

Ce tutoriel s’appuie sur cette documentation en ligne.

ProcédureDélégation d'administration d'un parc via RSAT

  1. On va créer le groupe à qui ont délègue le droit.

    Cette action se fait comme toute création ou gestion de groupe via l'annuaire de l'interface web du SE4

  2. On va créer une nouvel GPO

    se positionner sur le bon parc.

    Pour le faire il faut ouvrir la console RSAT "gestion et stratégies de groupes" et aller dans le menu à gauche dans le sous-menu Computers et sélectionner le parc sur lequel effectuer la délégation.

    N.B.

    • Sur la capture c'est "salles_de_maths"

    • ne prendre en compte dans l'immédiat que le menu à gauche

    On va créer la GPO

    Faire un clic droit et sélectionner "Créer un objet GPO dans ce domaine et le lier ici..."

    N.B.

    • Sur la capture suivante le parc est "it-connect.fr"

    On va nommer la GPO

    Dans la fenêtre qui s'ouvre, il faut juste compléter le champ "Nom" en mettant quelque chose d'explicite.

    N.B.

    • Sur la capture d'écran il a été choisi "delegation admin STI" pour rappeler à quel groupe on délègue le droit.

    1. Attention

      On obtient ainsi dans l'affichage droit de la console pour le parc sélectionné un nouvel objet GPO.

      Remarquons que jusqu'ici on a crée une GPO pour le parc choisi mais on ne l'a pas relié au groupe et on n'a pas dit ce qu'elle devait faire.

      • Dans la capture une GPO du nom de "delagation admin STI" a été créée pour le parc "salle_a001"

  3. On va modifier la GPO

    Effectuer un clic droit dessus puis "Modifier" pour commencer le paramétrage.

    Dans la nouvelle fenêtre qui s'ouvre, accéder au chemin suivant :

    Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurités, Groupes restreints

    Dans la partie de droite, effectuez un clic droit sur "Groupes restreints" et "Ajouter un groupe".

    On va sélectionner des groupes

    Un assistant s'ouvre, cliquez sur Parcourir pour ajouter notre groupe.

    Dans la nouvelle fenêtre qui s'ouvre, écrire le nom du groupe à qui on veut déléguer le droit et cliquer sur "vérifier les noms" pour être sur qu'il n'y ait pas d'erreur.

    Dans la capture d'écran c'est "Admin_STI"

    On va ajouter ce groupe au groupe des "Administrateurs"

    Ensuite, cliquez sur "Ajouter" au niveau de "Ce groupe est membre de" puisque l'on veut que notre groupe soit membre de "Administrateurs".

    Indiquez "Administrateurs" sans passer par "Parcourir" (on ne fait pas référence à un groupe Active Directory !).

    Dans la capture d'écran c'est dans le deuxième champ (il n'est pas encore complété ici).

  4. Résultat

    La GPO est créé, configurée et active.

    De retour dans la console RSAT de de "Gestion et stratégie de groupe", sur le parc concerné, la GPO s'affiche dans la fenêtre de droite avec la GPO créée  :

    On peut faire afficher les détails

    Double cliquer sur cette GPO puis l'onglet "Paramètres". Ensuite on clique sur "afficher" de "Configuration ordinateur", et ainsi de suite pour atteindre vis les sous-rubriques jusqu'à "Groupes restreints". On peut voir alors comme dans cette capture d'écran les paramétrages éffectués :

    le groupe "Admin_STI " du domaine SAMBAEDU3 est bien membre du groupe des Administrateurs locaux des machines du parc.

Vérification du bon fonctionnement.

Sur une machine cliente du parc visé, nous peut tester que cela fonctionne.

On peut commencer par réaliser une actualisation des GPO avec la commande gpudate /force dans une console.

Redémarrer l'ordinateur, comme il s'agit d'une GPO ordinateur cela est nécessaire.

Ensuite, ouvrir une session et accéder à la gestion de l'ordinateur de cette façon :

  • clic droit sur le bouton "Démarrer"

  • puis "Gestion de l'ordinateur". Sous "Outils système",

  • cliquez sur "Utilisateurs et groupes locaux", puis "Groupes" : vous allez trouver le groupe "Administrateurs".

Dans le groupe "Administrateurs", on remarque la présence du groupe "Nom de domain\nom du groupe visé".

La stratégie de groupe mise en place fonctionne !