Quand on administre un réseau avec Windows Server dans lequel se trouve un parc d’ordinateurs, il peut être intéressant d’avoir un compte utilisateur qui soit administrateur local sur chacun des PC. Cela facilite grandement vos interventions d’administration.
Mais comment faire pour que ce compte admin soit directement présent sur chacun des ordinateurs sans devoir l’ajouter manuellement ? Nous allons voir ensemble comment créer ce compte et comment le rendre administrateur sur toutes les machines du domaine.
Pour ce tutoriel, nous utiliserons Windows Server 2016 en version Datacenter.
Créer un groupe de sécurité dans l’Active Directory
La première étape consiste à créer un groupe de sécurité dans l’Active Directory du domaine. En effet, c’est ce groupe qui sera administrateur local sur les PC. Cela permettra ainsi de modifier les utilisateurs ayant les droits administrateurs sur les PC juste en les plaçant dans ce groupe.
Pour cela, lancez l’annuaire Active Directory sur un serveur contrôleur de domaine au sein de votre domaine.
Maintenant, il faut créer un groupe de sécurité. En effet, la gestion par groupe est plus simple car il suffit d’ajouter ou de supprimer un utilisateur du groupe pour lui donner l’accès Administrateur ou lui retirer sur tous les PC du domaine.
Faites un clic droit sur l’unité d’organisation dans laquelle vous souhaitez créer le groupe et sélectionnez Nouveau… puis Groupe.
Dans la fenêtre qui s’ouvre, entrez un nom pour le groupe, Administrateurs locaux sur postes par exemple. Choisissez ensuite Globale comme étendue de groupe puis Sécurité comme type de groupe. Ensuite validez avec OK.
Maintenant que notre groupe Administrateurs locaux sur postes est créé, il nous reste à lui ajouter des membres. Disons que les utilisateurs useradmin et amark sont habilités à être administrateurs locaux. Nous allons ainsi les ajouter dans le groupe.
Pour cela, double-cliquez sur le groupe puis dirigez-vous dans l’onglet Membres.
Cliquez ensuite sur Ajouter puis sur Parcourir afin d’ajouter les utilisateurs concernés.
Validez avec OK, Appliquer puis à nouveau OK sur la fenêtre du groupe.
Vous pouvez maintenant quitter l’Active Directory et ouvrir la console de Gestion des stratégies de groupe.
Créer une stratégie de groupe
Dans cette application, vous pouvez gérer, administrer et créer des GPO, abréviation de Group Policy Object, objet de stratégie de groupe en français.
Déplacez-vous dans votre forêt puis dans votre domaine et faîtes un clic droit dessus. Sélectionnez Créer un objet GPO dans ce domaine et le lier ici….
Nous allons alors créer notre GPO. Pour l’exemple, nous l’appellerons Admin local. Validez en cliquant sur OK.
Maintenant que la GPO est créée, effectuez un clic-droit dessus et choisissez Modifier. Vous voilà maintenant dans l’interface de configuration de la GPO.
Naviguez dans les menus suivants : Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Groupes restreints. Faîtes un clic droit dans la partie blanche de la fenêtre puis Ajouter un groupe…. Nommez le groupe Administrateurs. Attention, respectez bien ce nom car il s’agit du nom du groupe local sur les PC du domaine. N’oubliez pas non plus le pluriel. Validez en cliquant sur OK.
Double cliquez sur le groupe que vous venez de créer. Dans la fenêtre, sous Membres de ce groupe, cliquez sur Ajouter. Cliquez sur Parcourir dans la fenêtre qui vient de s’ouvrir. Entrez alors le nom du groupe qui contient les utilisateurs autorisés à être administrateurs locaux sur les postes : Administrateurs locaux sur postes dans notre exemple. Validez en cliquant deux fois sur OK dans les deux fenêtres.
Maintenant, le groupe Administrateurs locaux sur postes sera automatiquement ajouté au groupe des Administrateurs des ordinateurs du domaine lors de la connexion.
Il ne vous reste plus qu’à quitter la fenêtre de modification de la GPO ainsi que le Gestionnaire des stratégies de groupe.
Pour que vos PC prennent en compte cette configuration, il peut être nécessaire d’attendre leur redémarrage ainsi que la réplication de la nouvelle GPO au sein de tous les contrôleurs de domaine. Comptez pour cela quelques heures pour essayer votre compte admin local des PCs de votre domaine Windows Serveur.
Si vous souhaitez tester tout de suite votre GPO sur un PC client, lancez le cmd et entrez-y la commande suivante afin de mettre à jour les GPO appliquées sur ce dernier : gpupdate -force. Pour plus d’informations, lisez Comment voir quelles GPO sont appliquées à un ordinateur Windows ?
N’hésitez pas à nous poser des questions si vous avez besoin de précisions ou si vous souhaitez des conseils sur d’autres GPO et leur configuration.
Pouvez-vous être plus précis, qu’est-ce qui n’est plus possible avec la version 1803 ?
Plus possible avec Windows 10 depuis la version 1803