C'est sous cette exclamation que commence cet article, car pour avoir effectué le passage de "Tous les utilisateurs sont administrateurs locaux" à "Aucun utilisateur n'est administrateur local sauf cas de force majeur", je peux vous affirmer qu'un utilisateur non administrateur local, c'est un administrateur système heureux. C'est des tickets en moins, du temps de gagné, et de l’énergie à dépenser autrement! Si vous même devez faire ce type de transition dans la politique de gestion de votre parc, vous aurez droit à des huées, mais vous constaterez vite que les huées ne dureront pas lorsque tout tournera pour le mieux. Vous aurez de nouveau le contrôle sur les logiciels de votre parc, et vous aimerez voir votre temps se libérer pour autre chose que de l'assistance...
Cependant, il arrive aussi que certains logiciels demandent l'accès administrateur pour une mise à jour, et bien que tout ou partie de votre parc informatique soit régi par la politique du "C'est pas vous qui mettez à jour, c'est nous", vous tomberez bien souvent sur des cas où la mise à jour logicielle est à la fois obligatoire, intempestive et imprévisible. Comme les logiciels UPS, par exemple. Et lorsque plusieurs mises à jour à la suite se font, ou qu'une mise à jour prends un temps assez conséquent, je n'ai pas pour objectif de rester 30 minutes en prise de contrôle à distance à attendre que l'utilisateur termine sa mise à jour pour m'assurer que tout s'est bien passé et qu'il n'a plus besoin d'une élevation de droits.
Donc, comme dans les clones des machines j'ai autorisé les PSSESSIONS (les sessions distantes Powershell) pour les administrateurs du domaine, il me suffit de quelques commandes pour offrir des droits administrateur jusqu'au prochain reboot.
L'ordinateur se nommera : PC-TEST L'utilisateur porte le SAM : user01 Le domaine porte le nom : DomainTest
Enter-PSSession PC-TEST
$groupe = [adsi]"WinNT://localhost/Administrateurs,group"
$groupe.add("WinNT://DomainTest/user01,user")Ne sortez pas de la session Powershell tout de suite. L'utilisateur doit fermer sa session, la rouvrir, et aura les droits administrateurs. Pour lui retirer au prochain redémarrage / fermeture de session, il suffit de faire cette commande :
$groupe.remove("WinNT://DomainTest/user01,user")Ainsi, votre utilisateur sera temporairement administrateur, sans que vous n'ayez montré que vous lui attribuiez les droits, le tout se faisant depuis votre pc. Cette manipulation a le bénéfice d'être à la fois transparente et très rapide. Et si vous voulez activer via GPO la prise de controle via Powershell à distance, vous trouverez d'excellentes infos ici. La manipulation est un peu plus complexe si vous avez encore des PC sous Xp, mais nous sommes d'accord, plus personne n'utilise ce trou de sécurité qu'est Windows XP, hm? ;)