problème avec les comptes administrateurs locaux

[Grumlouze]

Bonjour,

je travaille dans une PME qui possède un domaine AD 2003 et je suis confronté au problème suivant :

Les comptes AD que je configure en tant qu'administrateurs locaux du poste ne restent pas administrateurs locaux ! C'est à dire que j'ai répété plusieurs fois la manip pour configurer le compte, et cela a fonctionné a chaque fois. Par contre, sur le même PC quelques jours plus tard, le compte n'apparait plus dans les comptes d'utilisateurs locaux, et n'est donc plus administrateur mais simple utilisateur du domaine.

Ce problème se retrouve aléatoirement sur une partie des PC nouvellement intégrés dans le domaine.

Cela est très dérangeant car la majorité des mes utilisateurs finals ont besoin de tels droits en local (installation de logiciels professionnels etc...). Je bloque totalement sur l'origine du problème... J'ai pensé a une GPO mal configurée mais personne n'en a créé et personne n'en a modifié avant que le problème n'apparaisse (un serveur OCS Inventory a été mis en place avec déploiement de l'agent vien GPO, mais le problème est apparu bien après ca)

Donc voilà, personnellement, à part un petit plaisantin qui s'amuse a virer les comptes admin locaux ou un virus dont on n'a pas perçu la présence je vois pas vraiment... Donc si vous pensez à quelque chose je suis preneur !!

Merci D'avance


Gautier Carillon.

[kazer]

Il n'y aurai pas une GPo de groupe restreints quelque part?

[Grumlouze]

à première vue, les GPO ne sont pas en cause. Aucune des GPO existante n'a cette fonction et aucune n'a de paramètre de sécurité Groupe Restreints. La seule qui peut éventuellement poser problème est une GPO de restriction logicielle (mise en place pour empêcher l'utilisation de Windows Live Messenger)

[bigstyle]

à première vue, les GPO ne sont pas en cause. Aucune des GPO existante n'a cette fonction et aucune n'a de paramètre de sécurité Groupe Restreints. La seule qui peut éventuellement poser problème est une GPO de restriction logicielle (mise en place pour empêcher l'utilisation de Windows Live Messenger)

Je rejoins également l'avis de Kazer sur l'utilisation de groupes restreints.

Tu peux faire un rsop.msc (ou gpresult) sur les postes à probleme afin de vérifier qu'une GPO n'est appliquée ?

[Grumlouze]

J'ai fait un gpresult sur un pc atteint.

http://img145.imageshack.us/my.php?imag ... ultlb1.jpg

d'après ce que je comprend la dessus, les GPO qui m'interressent sont appliquées, les autres semble être soit désactivées soit ignorées du fait qu'elles soient présentes mais vide.

Ce que je comprend pas c'est que je fouille depuis un moment dans les GPO en place et qu'aucune n'a l'effet décrit plus haut :/

[kazer]

As u regardé au moins une fois l'observateurs d'évennement?

[Grumlouze]

Arf j'ai honte...

non en effet je n'avais pas regardé et j'y ai trouvé ce petit soucis :

EventID : 15
Source : AutoEnrollment

erreur : L'inscription de certificats automatique pour DOMAINE\user n'a pas pu contacter Active Directory (0x80007o54b) Le domaine spécifié n'existe pas ou n'a pas pu être contacté.
L'inscription ne sera pas effectuée.

Maintenant que j'y pense, ces problèmes coïncident avec la mise en place du service Exchange sur le réseau de l'entreprise (avec serveur frontal et dorsal, le dorsal faisant office de DC secondaire). Est-ce que le problème peut venir de là ?
Rien n'empêche la machine cliente de communiquer avec le DC primaire (le DC ping sans problème, le DNS est sur le même serveur, de même que le DHCP) donc peut-il y avoir un conflit entre les deux DC ?