5 votes

Adrian avatar

Les droits d'administrateur de domaine Windows sont insuffisants ?

Demandé el 17 de Juillet, 2012
Quand la question a-t-elle été
8700 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai un environnement de laboratoire (ou presque) où je dispose d'un seul domaine dans une seule forêt. J'ai une image Windows 7 pour les clients qui m'a été donnée par mon organisation (je ne l'ai pas construite, je ne sais pas exactement qui l'a fait) et je constate qu'il y a un certain nombre d'éléments que les utilisateurs (même les utilisateurs administrateurs, même les utilisateurs administrateurs de domaine) ne peuvent pas modifier dans l'environnement Windows 7, y compris, mais sans s'y limiter, les sites de confiance dans IE, les options d'alimentation (en particulier, la configuration du moment où il faut verrouiller l'écran), etc. Ce sont les deux principaux éléments que je veux modifier, mais je reçois le message "certains paramètres sont contrôlés par votre administrateur " que j'ai vu dans un million de messages.

Ce que j'ai essayé jusqu'à présent - Politiques de groupe - Paramètres du registre - Politiques de sécurité locales - Déverrouiller l'administrateur "caché" et l'utiliser - Ajouter les utilisateurs au "groupe restreint".

Aucun d'entre eux ne semble avoir d'effet. Les stratégies de groupe sont appliquées, et GPResult montre ce à quoi je m'attendais. Par exemple, je vois un profil d'alimentation personnalisé que j'ai appliqué dans une GPO, et il définit même tous les paramètres tels que je les avais, sauf le paramètre "désactiver l'affichage", qui est toujours réglé sur ce qu'il était sans ma politique, et est toujours grisé pour empêcher toute modification.

Y a-t-il autre chose que je puisse envisager pour reprendre le contrôle de mes machines clientes ?

**** UPDATE **** Je ne l'ai pas signalé explicitement avant, mais j'ai déplacé l'ordinateur dans une nouvelle OU qui n'hérite pas de la GPO, et selon la suggestion, j'ai retiré la machine du domaine. Les paramètres sont restés en place. Lorsque cela a échoué, j'ai réactivé l'administrateur local et me suis connecté en tant que tel pour voir si cela résoudrait le problème, ce qui n'a pas été le cas. Je soupçonne depuis le début que le problème a été résolu au niveau de l'image, puisque toutes les stations de travail sont construites à partir de la même image et (comme démontré) il semble s'agir d'un paramètre qui n'est ni défini par le domaine ni ignorable via les stratégies de groupe (du moins pas par des moyens que je connais).

Demandé el 17 de Juillet, 2012 par Adrian

Réponses

Trop de publicités?

2voto

HopelessN00b avatar
HopelessN00b Points 53075

Les paramètres que vous "ne pouvez pas changer" qui vous donnent le some settings are controlled by your administrator sont des paramètres qui sont contrôlés par GPO.

"Corriger" cela implique d'empêcher les GPO qui imposent ces paramètres de s'appliquer à la machine en question. Vous mentionnez que vous avez des droits d'administrateur de domaine, donc...

(Si vous ne l'avez pas déjà fait, vous pouvez utiliser la fonction RSAT .]

Ce que vous devriez probablement faire, c'est créer un OU de test dans AD, en utilisant Active Directory Users and Computers (%SystemRoot% \system32\dsa.msc ), et déplacer cette machine dedans. Ensuite, en utilisant Group Policy Management (%SystemRoot% \system32\gpmc.msc ), vous voudrez bloquer l'héritage de ce OU. Puisque vous venez de la créer, il ne devrait pas y avoir de GPOs liées directement à elle. Exécutez gpupdate /force à partir d'une ligne de commande pour appliquer les nouvelles [absence de] GPO, et redémarrer. Vous serez alors libre de modifier les paramètres que vous souhaitez, ou de tester les GPO sur la machine comme bon vous semble (en les créant et en les liant dans cette OU que vous avez créée).

Alternativement, comme approche unique, vous pouvez toujours supprimer la machine du domaine, ce qui empêchera les GPO de lui être appliquées.

Je suppose que vous pourriez également modifier/supprimer les GPO en question, mais il s'agit d'un changement global qui ne s'appliquerait pas seulement à votre machine, alors soyez prudent. C'est aussi un excellent moyen d'énerver votre ou vos administrateurs AD, s'ils existent, ou de découvrir pourquoi vous devriez confier votre environnement AD à un administrateur professionnel, s'ils n'existent pas.

EDIT : Comme l'a souligné MDMarra, cela n'inversera pas par magie [la plupart] des paramètres appliqués par les GPO, mais vous permettra de les modifier comme vous le souhaitez. Pour les modifier, une fois que les GPO ne s'appliquent plus, il suffit d'utiliser la commande GPEdit.msc pour modifier les stratégies locales, ou en utilisant regedit pour supprimer les clés suivantes, comme suggéré ici :

[HKEY_CURRENT_USER\Software\Policies\Microsoft]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]

(Mes excuses, je me suis concentré sur la façon de "reprendre le contrôle" du domaine, et je n'ai pas pensé à inverser les GPOs appliquées).

Répondu el 17 de Juillet, 2012 par HopelessN00b (53075 Points )

2voto

MDMarra avatar
MDMarra Points 99815

Si les GPO de ces paramètres ne sont pas définis sur votre domaine, il y a de fortes chances qu'ils soient définis dans la stratégie locale de l'image.

Exécuter gpedit.msc depuis la machine locale et examinez les paramètres qui s'y trouvent, je parie que vous trouverez ce que vous cherchez.

Répondu el 18 de Juillet, 2012 par MDMarra (99815 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X