Bonjour à tous, me revoilà pour un nouveau post.
 
Je suis en train de créer les gpo des différents profils qui sont sur le domaine.
 
Je suis en phase de test, et je ne parviens pas à trouver l'endroit pour interdire à un simple profil utilisateur de ne pas accéder aux services de son poste.
 
Déja est ce possible ?
Si oui, ou allez ?  
 
 
Edit:  Je dois également empêcher les admins du domaine de créer des comptes locaux. Est ce possible ?
 
 
Merci d'avance aux connaisseurs d'Active Directory

Normalement même si je dois pas forcément poser cette question mais quel intérêt de bloquer l'accès aux services du poste vu que les utilisateurs sont non admin et ne peuvent donc pas faire de modifications dessus ?

Bonne question. Disons que je suis une SFD, où c'est marqué d'un utilisateur ne doit pas avoir accès aux services. Donc bon, je vais faire comme ça pour le moment. C'était une remarque bête que je ne m'étais pas posé...
 
Et empêcher les admins du domaine de créer des comptes locaux c'est possible ?
 
"net localgroup users "NT AUTHORITY\INTERACTIVE" /DELETE"  
 pourrais etre la solution. Mais comment faire pour revenir en arrière a la suite de se delete ?  

Bon j'ai la solution pour ceux qui serait intéressé. Il suffit de mettre l'utilisateur admins sur le domaine dans le groupe "administrateurs du domaine" mais également le mettre dans le groupe "utilisateur du domaine". Dès lors que j'ai mis cela, l'admin ne pouvais plus créer d'administrateur local. A noter que l'admin fait a pour groupe principal "utilisateur du domaine". Je ne sais pas si cela a un impact mais ça fonctionne.  
Merci pour l'aide Akizan,  toujours présent

suffit de jouer avec les restricted groups et virer Administrateurs du domaine du groupe admin.
 
pour les services, pas trop d'intéret surtout que tu peux toujours y accéder via cmd (commande sc) ou powershell (get-service)