Question GPO et authentification

Bonjour à tous,

Voilà quelques jours que je me suis lancé dans powershell et j'avoue que votre forum m'est très utile...
J'ai deux problèmes qui sont liés.
On m'a demandé de réaliser un script qui lors de la connexion d'un utilisateur à sa session sur un poste, on créé un profil local de ce même utilisateur et on lui donne les droits administrateur. Pour le script pas de problème, il fonctionne correctement.
Mon problème vient que les scripts de démarrage de session sont déployés par GPO (serveur 2008 R2 et postes clients sous XP). Via les GPO, impossible de lancer mon script.
Je pourrais contourner le problème en passant par un batch. Le problème est que le batch lance une console PS avec l'utilisateur et que je ne peux pas créer de comptes car je n'ai pas les autorisations (connexion via [ADSI]\"WinNT://$machine\" puis un connexion.add - je précise que mon script fonctionne en lancement mannuel).
J'ai fouillé un peu partout et je ne trouve malheureusement pas comment exécuter une commande avec un compte administrateur sans avoir à demander le mot de passe à l'utilisateur (credential non applicable pour mon problème). Je pense que ce n'est pas jouable, mais je suis sûr que quelqu'un a déja été confronté à ce problème.

je vous remercie par avance pour votre aide.

++

Bonjour Fadaioli

Suis pas contre PowerShell, bien au contraire mais dans ce cas, je vois pas vraiment l'intérêt de PowerShell alors que tout peut être fait avec GPO et sans script ...

Le profil local sur le poste -> en faisant rien, c'est ce qui se passe ...

Intégrer le compte de l'utilisateur dnas le groupe admin Local du poste -> Groups restreint.

Ca fonctionne et la mises en place nécessite moins de 5 minutes ...

pourquoi faire compliqué quand on peut faire très simple ...

Ou bien j'ai rien compris et là, c'est moi qui aurait besoin d'un peu de lumière

Tout de bon et à +

Olivier D.
Virtual Business Card
Profile Linkedin

Merci pour ta réponse Olivier...

Je ne maîtrise pas les GPO, mais je vais creuser ta réponse. D'après ce que tu me dis, via les GPO, je peux créer un profil local de l'utilisateur en tant qu'administrateur.
(Mon souhait en plus clair... : quand un utilisateur de mon domaine se connecte, je lui créé un compte administrateur local. Ex : Toto se connecte sur mon domaine \"dom.com\". Je créé un admin local Machine\Toto)
Je serais par contre intéresser de savoir s'il est possible de lancer une commande powershell en tant qu'administrateur sans avoir à s'authentifier.

Merci encore pour la réponse

Après vérification, si je ne me suis pas trompé, on peut en effet créer, modifier, supprimer un utilisateur local et l'affecter également à un groupe. Mais le problème, et l'intérêt du script c'est que je ne connais pas le nom de l'utilisateur. Je ne le connais que lors de son authentification et la GPO me demande d'indiquer le nom du compte à créer...
On se comprend?<br><br>Message édité par: Fadaioli, à: 9/02/11 06:47

re

C'est bien l'intérêt des groupes, de toute façon tu va devoir créer un compte pour ton utilisateur sur ton DC !

Ensuite, tu l'attache à une OU

Après, tu lie un GPO \&quot;Groupe restreint\&quot; à cette OU et tous les utilisateur de cette OU seront administrateur de leur poste.

Si tu veux le faire par le compte \&quot;Non-Administrateur\&quot; avec un script PowerShell, tu devra utiliser les crédentials et les certificats pour signer tous tes scripts et là, si tu maitrise pas trop les GPO (Je t'en courage à bien les mairtiser ! c'est la base de l'admin server ...) tu va te perdre ! garanti !

Commence par simple et ensuite, essaie de creuser ... j'ai fais comme ça si tu a quelques mois à faire que ça, c'est garanti, tu va y arriver J'ai passé bien des mois à l'assurance et là, j'avais que ça à faire Si tu doit rendre ton travail dans les quelques jours qui viennent, oublie Powershell (pour ce cas bien précis !!) et utilise les groupes restreints !


Franchement, pas pour te décourager mais en passant par les groupes restreints tu peux le faire en justes quelques clics depuis ton DC ... vraiment très simple.

Autrement, si tu veux vraiment passer par PowerShell, je te conseil plusieurs jours entier à la lecture du livre de Arnaud et Robin car tu y trouvera de quoi faire ton script ... Si tu a du temps, beaucoup de temps de libre

Au plaisir et reviens si des questions sur les groupes restreints

Oublie pas qu'un utilisateur ne peux pas changer son appartenance à des groupe ou OU sans le crédential de l'admin (ou User qui en a les droits ...)

Bon courage

Olivier D.
Virtual Business Card
Profile Linkedin

PS 1 : Un tuto bien fait
PS 2 : Un GPO \&quot;Groupe restreint\&quot; s'applique à un ordinateur alors en aucun cas on va se soucier si on connaît ou pas le nom de l'utilisateur ...<br><br>Message édité par: Olivier, à: 9/02/11 11:09

Merci bien Olivier pour tes précieuses réponses, ça me permet d'en apprendre pas mal...

Par contre, ce n'est pas ce que je souhaite. Dans les groupes restreints, c'est le compte de l'utilisateur du domaine qui fait partie du groupe local. Moi je souhaite créer un compte local.
A quoi ça me sert? Les utilisateurs de mon entreprise auront toujours les mêmes droits au niveau de leur poste, par contre pour diverses raisons d'installation et autres, je souhaite leur créer un compte administrateur local.

Je persiste à chercher à lancer PS sur une session utilisateur mais en tat qu'administrateur. Je m'oriente vers les tâches planifiées combinées à un batch.

J'ai le bouquin sous les yeux et il m'a bien servi pour débuter! Je rappelle que mon script fonctionne correctement il ne me reste plus qu'à l'automatiser!!!

Je suis à l'écoute de toute autre proposition et te remercie encore pour les éclaircissements.<br><br>Message édité par: Fadaioli, à: 9/02/11 18:14

quand un utilisateur de mon domaine se connecte, je lui créé un compte administrateur local. Ex : Toto se connecte sur mon domaine \&quot;dom.com\&quot;. Je créé un admin local MachineToto

Je pense pas que tu va y arrvier de cette façon ...

Ce que je te propose, c'est de te loguer avec ton User sur le poste en question et ensuite, par GPO ou PowerShell, de définir le groupe de ton domaine \&quot;Utilisateurs du domain\&quot; comme faisant partie du groupe local de ta machine \&quot;BuiltIn\Administratuers\&quot;

Toi, tu va créer un user en te connectant et en recréer un deuxième qui sera admin de ta stations mais qui ne sera pas authentifié sur ton domaine ...

Mais tu peux aussi faire de cette façOn, simplement, pour ouvrir ta session avec ton utilisateur nouvellement crée \&quot;Admin local\&quot; il te faudra ouvrir une session en local et non pas sur ton tomaine car ton nouvel utilisateur ne pourra pas être authentifié sur ton domaine puisqu'il n'y existe pas ...

À moins que j'aie rien compris ...

Si le but c'est que les users aient les droits admin sur leurs stations, tu t'y prends pas de la meilleure façon et te complique bien les choses ...

Heuu tu parle de fichier batch à l'heure de PowerShell ? Je pense qu'aujourd'hui avec PowerShell, on peut se passer de fichier .bat ou .cmd ... mais bon, c'est peut-être qu'un avis perso

Haaaa lumière !! j'ai pigé ... Tu veux vraiment créer un user local sans qu'il soit authentifiable sur ton domaine .... ok mais alors là, est-ce que le fait d'utilsier le même utilisateur (de ton domaine) qui serait dans le groupe BuiltIn\Administrateurs (de ton poste) ne pourrait-il pas faire l'affaire ?

moi comprend vite quand on explique longtemps

Bref, au plaisir de tes nouvelles

Tout de bon et à +

Olivier D.
Virtual Business Card
Profile Linkedin <br><br>Message édité par: Olivier, à: 9/02/11 18:30