bonjour,
 
petite question, est-ce que vos utilisateurs sont admin locaux des machines ?
 
Mon contexte : PME, ~130. Windows 7 SP1 partout.
80 fixes, 30 portables.
 
Jusqu'à présent, tous les utilisateurs "fixes" n'étaient pas admins locaux. Ceux qui avaient un pc portable oui.
Gros nettoyage d'hiver, j'ai retiré les droits le temps de finir d'avoir un parc clean. (évidemment, ça gueule).
 
Ce qui m'ennuie avec les gens : c'est que les gens qui sont admins locaux mettent ce qu'ils veulent et je n'ai plus de contrôle dessus. La politique des logiciels en entreprise ils s'en tamponnent et c'est ainsi qu'entre des winzip craqués et autres logiciels non utilisés (par exemple Acrobat reader alors que nous avons décidé d'une autre solution pour les PDF) je trouve des logiciels qui n'ont rien à voir avec l'entreprise (Steam/jeux vidéos par exemple). Ou bien 50 Go de films/séries télé (mais c'est pas un pb d'admin local j'avoue).
Ou des logiciels qui n'ont pas la bonne licence (ex. logiciels avec licence pour un usage non commercial exclusivement).
 
ce qui m'ennuie côté windows : le mdp admin demandé pour un oui ou pour un non (ex. ce matin, juste pour activer le bluetooth à la première utilisation du PC), pour mettre des polices d'écriture ou leur imprimante/scanner perso de chez eux.
 
Pour les polices d'écriture, j'ai créé un petit logiciel qui permet de le faire sans droit d'admin. ça marche, c'est ce qu'il me faut.
 
Mais pour l'install ...
je ne bosse pas à la banque de france, je ne veux pas d'une parano 100% mais responsabiliser les gens et leur dire d'au moins nous demander/signaler pour ces install...
Comment ça se passe chez vous ?

admin locaux = personnel du service informatique qualifié
personne d'autre, même pas le pdg
 
en cas de logiciel piraté sur un pc, c'est au responsable informatique qu'on va demander des comptes. Sauf décharge écrite du pdg, le SI est le seul admin local.
 
Tu verras rapidement que le temps perdu à installer 3 ou 4 soft de temps à autre sera gagné sur le temps à ne pas avoir a nettoyer les machines des soft pourris.
 
Pour les données stocké sur les postes. Ce sont les users qui en sont responsable.
A la différence des serveurs où c'est le SI
 

L'imprimante perso, c'est sur la machine perso.
La console des enfants, sur la machine perso
La machine pro est faite pour une utilisation pro...sinon tu vas te retrouver avec toutes les merdes du monde sur tes machines

+1 et au pire tu autorises l'install des imprimantes perso aux users mais pas besoin d'être admin pour ça

Merci pour vos réponses, ca va dans mon sens. Reu de la DSI demain pour aborder ce sujet.
 
Jean : il y a une manip pour les drivers? Ca m'interesse, je vais regarder.

ouais par gpo tu autorises l'install de drivers pour certaines classes de périph
 
Mais ouais faut éviter à tout prix les admins locaux sur les postes, même les it devraient travailler avec des comptes à faible privilèges sur leur pc pour les taches courantes.
 
Enfin si besoin de controles avancés, d'élévations de privilèges à la volée en fn du contexte etc. il y a des solutions logicielles qui viennent se greffer à windows (beyond trust, appsense app manager etc.)

Tout le monde sans droits admin locaux, sinon tu ne pourras pas t'en sortir.
 
Ca résoudra une partie des problèmes mais pas tout, il restera les softs qui s'installent sans droits admin.
Pour ça tu dois passer par Applocker ou des softs tiers.
 
Il faudra également verrouiller la partie BIOS/UEFI.

Salut,
nous (les IT) travaillons en tant que simple users.
 
Le pb c'est que c'était un acquis et retirer un acquis, ça va être difficile.
 
pour les softs sans install : les 2 principaux que j'ai rencontrés sont Chrome et Spotify. Il y en a moult autres, mais ce sont les 2 principaux qui m'ont posé pb. Chrome est devenu partie intégrante de la liste des logiciels sur mon parc et pour Spotify, je vais voir du côté de Kaspersky, je sais qu'il peut faire ce type de blocage. Le but n'est pas de frustrer les utilisateurs, mais de trouver un terrain d'entente.

Ce n'est pas aux users de décider de ça.
Pour faire bien comprendre les risques, il suffit d'agiter le drapeau du piratage de données sensibles de la boite (numéro de compte/carte, base client).
 
A l'époque XP, j'ai bossé dans une boite où tout le monde était admin. Les attaques virales (blaster, sasser...) ont fait pas mal de bordel.
Avec Windows 7, le strict minimum étant au moins d'avoir UAC actif.
 
Si le boss choisit de faire une cert ISO de la société, il faudra de toute manière y passer.
 
 

La dernière fois que j'ai abordé le sujet (ya 2 ans) la direction allait dans le sens des gens "c'est plus pratique", "pas de parano", "ce sont pas des stagiaires on a un minimum confiance".
 
là actuellement je viens de m'assurer que tous les laptops n'avaient plus d'admins locaux + la GPO suggérée par Je@nB:
http://theintegrity.co.uk/2010/08/ [...] up-policy/
 
d'ailleurs avec la liste des GUIDs j'en ai mis plus que les simples imprimantes, dès fois qu'on me casserait les bonbons pour une souris perso ou un disque dur USB :
http://msdn.microsoft.com/en-us/li [...] 85%29.aspx

bon, la GPO, bien qu'appliquée, ne semble pas passer partout ... Car les périphériques installent un logiciel qui englobe le driver

Evite les disques durs/clés usb, l'utilisateur pourra installer n'importe quoi dessus et s'en servir...

salut,
si je comprends bien la GPO, elle permet d'installer la clé USB dans la liste des périphériques, mais ça ne veut rien dire sur son contenu, si ?

bon, finalement cette GPO met le bazar, car les lecteurs CD ont tous disparu ...
 
j'ai trouvé la solution avec une clé de la BDR à retirer mais ça ne me plait pas trop