win2003 AD script ouverture session

win2003 AD script ouverture session - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 23-12-2010 à 16:04:42    

Bonjour,
 
j'essaye de faire lancer un script à l'ouverture de session des utilisateurs. Problème, celui-ci se lance avec les droits de l'utilisateur et non ceux d'admin.
 
Déjà voila comment j'ai fait pour appliquer un script à l'ouverture de session :
 
sur l'AD : gestion des utilisateurs du domaine -> clique droit propriétés sur l'icône du domaine (domaine.com) -> onglet stratégies de groupe -> modifier sur Default domain policy -> Dans configuration utilisateurs -> paramètres windows -> Scripts ouverture/fermeture de session
 
j'indique ma méthode car je ne sais pas si c'est comme ça qu'il faut faire. Mais en tout cas ça marche.
 
Question : comment faire pour que ce script s'exécute avec les droits administrateur ?
Et admettons que je veux que ce script ne s'exécute que pour les utilisateurs faisant parties du groupe X, comment faire ?
 
Merci.

Reply

Marsh Posté le 23-12-2010 à 16:04:42   

Reply

Marsh Posté le 23-12-2010 à 17:10:18    

Le script d'ouverture de session s'exécute comme dit dans le nom "à l'ouverture de session de l'utilisateur" donc normal que ça s'exécute dans le contexte de l'utilisateur et non celui de la machine ou d'un quelconque utilisateur administrateur. C'est by design. Si tu veux exécuter un script avec le compte machine c'est un script de démarrage qu'il faut faire.
 
Par ailleurs, il vaut mieux ne jamais toucher à la default domain policy (sauf pour la default password policy qui est unique au domaine donc dans la default domain policy) mais créer une autre GPO que tu identifies via un vrai nom ...
 
Pour targetter une GPO en fn d'un groupe il suffit d'assigner la permission "appliquer la gpo" sur le groupe uniquement (au lieu de utilisateurs authentifiés par défaut)

Reply

Marsh Posté le 24-12-2010 à 09:06:36    

Merci de ta réponse pertinente.
 
Dans ma boite, le groupe commun à tous les utilisateurs se situe dans "users" de l'AD, et sur ce "répertoire" (je ne me souvient plus du nom exacte) il n'est pas possible d'y appliquer une GPO. Est-ce que je peux par exemple créer un groupe (on va dire le groupe "Tous" ) dans le quel il y a comme membre le groupe "Utilisateurs de l'AD" ?

Reply

Marsh Posté le 24-12-2010 à 09:46:21    

Une GPO s'applique sur des objets utilisateurs ou ordinateurs pas sur des groupes.
 
Il faut que tu crées une OU et que tu déplaces tes utilisateurs dedans

Reply

Marsh Posté le 24-12-2010 à 11:49:49    

Merci.
 
Allé dernière question parce que ça commence à ne plus avoir trop de rapport avec le post original.
 
Comment faire en sorte que lorsqu'on crée un utilisateur, celui-ci soit par défaut membre d'un groupe (comme pour le groupe Utilisa. du domaine) ?

Reply

Marsh Posté le 24-12-2010 à 11:54:06    

tu peux pas, faut soit faire un script qui prend en entrée un certain nombre de param et qui te crées ton user "comme tu veux" ou sinon tu fais un user "exemple" et tu fais copier/coller de l'utilisateur et modifie les attribuets que tu veux (nom/prénom/mail etc.)

Reply

Marsh Posté le 24-12-2010 à 13:53:12    

Merci beaucoup Je@nb !
 
ça fait plaisir de tomber sur des personnes compétentes.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed