Ma journée commence avec quelques interrogations: L’entreprise où je travaille a des postes fixes, avec un compte admin, et des sessions dont les droits sont gérer via active directory. Classique me direz-vous.
Je suis chargé de configurer une flotte d’une dizaine de pc portables. J’établis donc une maquette, que je vais clôner avec une procédure ensuite pour changer les liscences win… Toujours classique.
Ces portables doivent fonctionner isolés, ou en réseau. Même isolé, l’utilisateur doit pouvoir ouvrir sa session avec les droits restreints. B)
Ma question est: comment que jpeux faire pour restreindre les droits utilisateurs pour qu’ils soient semblables a un compte restreint par AD? J’imagine une bidouille dans la base de registre… Quelqu’un a un mode d’emploi?
Tu peux nous la refaire moins stressé B)
Une gpo s’applique meme lorsque le pc n’est pas connecté au domaine.
les utilisateurs, vont bien utiliser leur profil du domaine pour ouvrir leur pc hors connexion du reseau ?
Je pense que tu dois parler des gpo ordinateurs ?
J’ai 2 gpo dans mon domaine
1 pour la config IE et le proxy etc
1 pour la securité du pc : panneau de config and co
sinon sur le pc en local tu as la meme chose : gpedit.msc
mais attention, c’est valable pour tout le monde les changements.
En fait mon idée était de jouer du regedit, gpedit, à partir du compte admin pour restreindre les droits de l’utilisateur (un laptop est attribué à un utilisateur). Si les modifs d’appliquent aussi à l’utilisateur admin c’est fichu B)
La solution de les intégrer dans le domaine pour leur appliquer une gpo « sécurité », la même qui permet de restreindre les droits sur un pc fixe est possible. Néanmoins, combien de temps dure la validité de l’ouverture de session si le pc n’est pas connecté au réseau (si par exemple un poste reste 2 ou 3 mois isolé) ?
yep je crois que c’est 90 jours sans reactivation.
Et attention, il y aussi une nombre limité d’ouverture de session sans connexion au controleur de domaine.
pour l’admin : fait un test, j’avoue ne jamais avoir testé en local, tjs lié à un domaine.
Regarde en changer un truc comme bloqué l’accés aux options d’affichage.
[quote=“silka, post:5, topic: 45864”]yep je crois que c’est 90 jours sans reactivation.
Et attention, il y aussi une nombre limité d’ouverture de session sans connexion au controleur de domaine.
pour l’admin : fait un test, j’avoue ne jamais avoir testé en local, tjs lié à un domaine.
Regarde en changer un truc comme bloqué l’accés aux options d’affichage.[/quote]
Erf, pas bon du tout ces 90 Jours et ce nombre d’ouverture de session… j’ai regardé un peu gpedit, on l’applique à l’ordinateur ou à l’utilisateur (comme sous AD quoi…) Par contre, on ne peut pas spécifier l’utilisateur apparement B)
Pour ce qui est de faire un test j’essaie de me renseigner à droite à gauche au maximum; la machine sur laquelle je doit appliquer les restrictions est une maquette qui prend un peu de temps à installer complètement B)
Il existe une solution made in microsoft apparement…cela s’appelle Microsoft Shared Computer, prévu pour les stations de travail disposant d’un compte public: cybercafé, écoles, etc.
Windows Steady States est un outil plutôt simpa et convivial à utiliser, qui convient surtout à mon sens aux particuliers. Il mérite d’être connu, mais pour ma part je lui en demande un peu trop. (Voir capture jointe pour ceux que cela intéresse)
D’autres suggestions? la seule solution est de le rentrer dans le domaine, et de le rebrancher au moins une fois par mois au réseau?
en finalité, en quoi restreindre tes utilisateurs sur leur machine ?
Surtout sur une longue periode.
Comment vont ils rajouter une imprimante, une appareil photo etc etc.
Je me pose la question, sur l’interet de brider leur pc, sachant qu’ils sont autonomes ont peut dire.
Surtout si ce sont des commerciaux.
il suffit de creer un autre compte , celui en local sur l’ordi avec les droits utilisateurs avec pouvoir.
si ils petent : tente de fournir un cd de restaure autobootable, tout preconfiguré.