Accordez des droits d’administrateur local à grande échelle, sur tous les ordinateurs membres, sans intégrer les comptes aux groupes Domain Admins/Enterprise Admins ni déclencher l’exigence de smart card. Méthode éprouvée avec GPO, contrôles de sécurité et procédures d’audit.
Contexte et objectif
Dans de nombreux environnements Active Directory, l’adhésion aux groupes à privilèges élevés (Domain Admins, Enterprise Admins, Schema Admins, Built‑in Administrators) déclenche l’authentification forte (carte à puce) et augmente considérablement la surface d’attaque. Pourtant, des équipes de support ont besoin d’un accès administrateur local sur postes et serveurs pour assurer le MCO, déployer des correctifs, diagnostiquer et automatiser. La solution consiste à déléguer uniquement ce privilège local, de façon centralisée, traçable et réversible, sans conférer de droits sur l’annuaire lui‑même.
Principe de la solution avec GPO et Préférences
Nous utilisons une stratégie de groupe ciblant les ordinateurs membres du domaine. La préférence Local Users and Groups ajoute un groupe de sécurité de domaine au groupe Administrateurs local de chaque machine. En choisissant l’action Update, on ajoute le groupe voulu sans supprimer d’autres membres éventuels (MDM, outils EDR, comptes de dépannage).
Résultat attendu : le groupe AD désigné devient membre du groupe Administrateurs local de tous les ordinateurs ciblés. Les comptes bénéficient de privilèges locaux, sans appartenance à des groupes AD à privilèges élevés et donc sans contrainte de carte à puce dédiée à ces groupes.
Conception et prérequis
| Élément | Recommandation | Justification |
|---|---|---|
| Modèle de groupes | Adoptez AGDLP : Accounts → Global → Domain Local → Permission | Lisibilité, délégation fine, évolutivité par périmètre OU/site. |
| Groupes d’usage | Créer un groupe local de domaine DLG-AdminLocaux et y imbriquer un ou plusieurs groupes globaux (ex. GG-EquipeSupport) | Gestion des membres côté RH/équipes, sans toucher aux GPO. |
| Portée | Linker la GPO aux OU des ordinateurs cibles (postes, serveurs). Exclure les contrôleurs de domaine. | Sur un contrôleur de domaine, il n’existe pas de groupe local machine ; la notion d’Administrateurs « locaux » n’y est pas applicable. |
| Filtrage de sécurité | Si vous retirez Authenticated Users, ajoutez un groupe contenant uniquement des comptes ordinateurs (ex. GRP-Ordinateurs) avec Read + Apply Group Policy. | Sans droits de lecture pour les comptes ordinateurs, la GPO ne s’appliquera pas. |
| Version Windows | Windows supportant les Group Policy Preferences. | La CSE GPP applique l’élément Local Users and Groups. |
| Outils sécurité | Prévoir Windows LAPS pour le mot de passe du compte Administrateur local intégré. | Réduit les risques liés aux comptes locaux partagés ou non gérés. |
Mise en œuvre pas à pas
Création des groupes AD
- Créer un groupe local de domaine
DLG-AdminLocaux(nommage conseillé :DLG-AdminLocaux-[Scope]). - Créer un ou plusieurs groupes globaux (ex.
GG-EquipeSupport,GG-InfosecN2) contenant les comptes devant obtenir l’administration locale. - Imbriquer les groupes globaux dans
DLG-AdminLocaux. Évitez de mettre des utilisateurs directement dans le DLG pour garder la lisibilité.
Création et liaison de la GPO
- Créer une GPO (par exemple
GPO-AdminLocal-Postes) et la lier à l’OU qui contient vos ordinateurs cibles. Utilisez des GPO distinctes pour postes et serveurs si nécessaire. - Filtrage de sécurité : si vous souhaitez restreindre l’application, remplacez Authenticated Users par un groupe d’ordinateurs (ou Domain Computers) et cochez Read + Apply.
- Optionnel : ajoutez un filtre WMI pour ne cibler que les postes (ex.
SELECT * FROM Win32_OperatingSystem WHERE ProductType = 1) ou que les serveurs (ProductType = 3).
Configuration de la préférence Local Users and Groups
- Éditez la GPO : Computer Configuration → Preferences → Control Panel Settings → Local Users and Groups.
- Cliquez droit → New → Local Group.
- Paramétrez :
- Action : Update (indispensable pour ne pas écraser les autres membres).
- Group Name : Administrators (Built‑in).
- Add… → Name :
DLG-AdminLocaux→ OK.
- Optionnel : Common → Item‑level targeting pour cibler un sous-ensemble d’ordinateurs (par exemple par appartenance à un groupe d’ordinateurs, par site AD, OU, plage d’adresses IP).
Déploiement et application
- Attendez la réplication AD/SYSVOL, puis forcez un cycle de stratégies sur un échantillon de machines :
gpupdate /force. - Vérifiez l’appartenance locale :
net localgroup administratorsouGet-LocalGroupMember -Group "Administrators". - Validez avec
gpresult /r /scope computerque la GPO s’applique et notez la GPO precedence.
Pourquoi l’action Update est essentielle
Le mode Update ajoute le groupe cible au groupe Administrateurs local sans retirer les autres membres existants (par exemple un agent de gestion, un compte d’installation, un service). Le mode Replace imposerait une liste « blanche » stricte, plus sécurisée mais plus risquée si vous oubliez un membre nécessaire. Réservez Replace aux environnements très contrôlés après inventaire exhaustif.
Sécurité et conformité
- Principe du moindre privilège : l’utilisateur n’obtient que des droits locaux. Il ne peut ni modifier l’AD, ni gérer les GPO.
- Windows LAPS : déployez Microsoft Windows LAPS pour gérer le mot de passe du compte Administrateur local intégré, avec rotation automatique et sauvegarde chiffrée dans AD. Configurez une délégation d’accès en lecture des mots de passe pour les seules équipes habilitées.
- Comptes just‑in‑time : envisagez des groupes temporaires ou une appartenance à durée limitée (processus d’élévation contrôlé).
- Restriction de l’usage : interdisez la navigation Web et l’usage de messageries depuis des sessions locales administratives. Préférez des sauts d’administration dédiés (PAW) et des connexions RDP/WinRM sécurisées.
- Journaux et SIEM : collectez les événements liés aux ajouts/suppressions de membres dans les groupes locaux et aux activités d’élévation.
Événements utiles pour l’audit
| Événement | Contexte | Signification |
|---|---|---|
| 4732 | Journal Sécurité d’une machine membre | Ajout d’un membre à un groupe local de sécurité (incluant Administrateurs). |
| 4733 | Journal Sécurité d’une machine membre | Suppression d’un membre d’un groupe local de sécurité. |
| 4098 | Microsoft‑Windows‑GroupPolicy/Operational | Application d’un élément de préférence GPP (Local Users and Groups). |
Alternatives et quand les choisir
| Méthode | Avantages | Limites | Cas d’usage |
|---|---|---|---|
| GPP Local Users and Groups (recommandé) | Souple, granulaire, ciblage par ILT/WMI, non destructif en mode Update. | Dépend de la CSE GPP, pas de liste stricte par défaut. | Déploiement large et progressif, environnements mixtes. |
| Restricted Groups | Impose une liste « autorisée uniquement ». | Peut supprimer par inadvertance des membres nécessaires. | Environnements verrouillés, conformité forte. |
| Intune (Accounts local group membership) | Approche cloud, scénarios Azure AD/Hybrid. | Nécessite l’écosystème Intune/MDM. | Parcs modernes gérés MDM. |
| PowerShell DSC | Déclaratif, traçable dans GitOps. | Courbe d’apprentissage, infra DSC nécessaire. | Grandes organisations orientées infra‑as‑code. |
Validation et contrôle continu
Commandes utiles côté client
gpresult /r /scope computer
wevtutil qe Microsoft-Windows-GroupPolicy/Operational /q:"*[System[(EventID=4098)]]" /f:text /c:10
net localgroup administrators
Exemple de vérification PowerShell à distance
# Liste des ordinateurs cibles (exemple OU)
$computers = Get-ADComputer -Filter * -SearchBase "OU=Postes,DC=exemple,DC=local" | Select-Object -Expand Name
# Vérifie si DLG-AdminLocaux est membre des Administrateurs locaux
$report = foreach ($c in $computers) {
try {
$members = Invoke-Command -ComputerName $c -ScriptBlock {
(Get-LocalGroupMember -Group "Administrators").Name
}
[PSCustomObject]@{
Computer = $c
HasDLG = $members -like "*DLG-AdminLocaux*"
}
} catch {
[PSCustomObject]@{ Computer = $c; HasDLG = $false }
}
}
$report | Sort-Object HasDLG, Computer | Format-Table -Auto Segmentation fine et scénarios avancés
- Par rôle : créez
DLG-AdminLocaux-PostesetDLG-AdminLocaux-Serveurs, chacun alimenté par des groupes globaux dédiés. - Par zone : utilisez l’Item‑level targeting pour céder le droit d’admin local seulement sur un site, un pays, une BU.
- Par temps : mettez en place un processus d’adhésion temporaire (just‑in‑time) avec revue périodique.
- Par exception : si certaines machines doivent rester « sans admin local », gérez une GPO d’exclusion ou un groupe « Deny Apply ».
Dépannage
| Symptôme | Cause probable | Résolution |
|---|---|---|
| La GPO ne s’applique pas | Filtrage de sécurité mal configuré ; absence de Read/Apply pour les comptes ordinateurs ; filtrage WMI trop restrictif. | Vérifier Security Filtering, Delegation et le filtre WMI. Utiliser gpresult pour comprendre la non‑application. |
| Erreur 0x80070005 dans le journal GPP | Accès refusé, droits insuffisants pour lire la GPO | Donner Read + Apply au groupe d’ordinateurs. Contrôler les ACL sur l’objet GPO. |
| Le groupe DLG n’apparaît pas dans les Administrateurs locaux | Réplication AD incomplète ; nom mal saisi ; conflit avec une autre GPO en mode Replace | Attendre la réplication, corriger le nom, ajuster l’ordre des GPO ou aligner les modes d’action. |
| Conflit avec une solution MDM | Profil MDM qui impose une liste stricte des administrateurs locaux | Harmoniser la source d’autorité : GPO ou MDM, pas les deux pour la même règle. |
Bonnes pratiques de sécurité complémentaires
- Limiter la propagation de secrets : évitez de vous connecter en tant qu’admin local sur des machines non maîtrisées. Utilisez des postes d’administration dédiés (PAW).
- Contrôler l’usage RDP : autorisez RDP uniquement aux groupes requis et journalisez les connexions. Pensez à Credential Guard et Remote Credential Guard quand c’est possible.
- Bloquer l’exécution non autorisée : AppLocker ou Windows Defender Application Control pour limiter les bineries exécutables même en session admin locale.
- Supervision : intégrez les journaux Security, GroupPolicy/Operational et Microsoft‑Windows‑LAPS dans votre SIEM. Définissez des alertes sur 4732/4733.
- Révision périodique : auditez trimestriellement les membres de
DLG-AdminLocauxet des groupes globaux imbriqués. Rendez compte à la gouvernance sécurité.
Questions fréquentes
Cette méthode impose‑t‑elle la carte à puce ?
Non. L’exigence de smart card est généralement liée aux groupes AD à privilèges élevés. Devenir administrateur local via un groupe AD ajouté par GPO n’active pas cette contrainte.
Et les contrôleurs de domaine ?
Ils n’ont pas de comptes locaux ni de groupe Administrateurs local. Gérez leur administration via des groupes AD dédiés et des processus renforcés.
Puis‑je imposer une liste seule d’administrateurs locaux ?
Oui, avec Restricted Groups ou en utilisant l’action Replace dans GPP. Testez soigneusement pour éviter de supprimer des membres critiques.
Quid de l’inventaire des membres actuels ?
Collectez les membres des Administrateurs locaux via PowerShell à distance et comparez avec la cible souhaitée pour détecter les écarts.
Exemples d’automatisation
Création des groupes et préparation de la GPO
# Créer les groupes
New-ADGroup -Name "DLG-AdminLocaux" -GroupScope DomainLocal -GroupCategory Security
New-ADGroup -Name "GG-EquipeSupport" -GroupScope Global -GroupCategory Security
# Imbriquer le global dans le domain local
Add-ADGroupMember -Identity "DLG-AdminLocaux" -Members "GG-EquipeSupport"
# Créer et lier la GPO (la configuration de l'item GPP se fait ensuite en GUI)
New-GPO -Name "GPO-AdminLocal-Postes" | New-GPLink -Target "OU=Postes,DC=exemple,DC=local" Rapport GPO pour audit
# Export HTML pour audit/POC
Get-GPOReport -Name "GPO-AdminLocal-Postes" -ReportType Html -Path "C:\Temp\GPO-AdminLocal-Postes.html"
Checklist de mise en production
- Valider la nomenclature des groupes (
DLG-*,GG-*) et la correspondance des périmètres (OU/sites). - Créer/peupler les groupes globaux et imbriquer dans le
DLG-AdminLocaux. - Créer la GPO, configurer l’élément GPP Local Users and Groups en Update.
- Définir le filtrage de sécurité et, si besoin, le filtre WMI ou l’Item‑level targeting.
- Tester sur un lot pilote (postes + serveurs) et vérifier journaux 4098, 4732.
- Déployer progressivement par OU/site, surveiller le SIEM et la remontée LAPS.
- Documenter et mettre en place une revue périodique des membres.
Résumé exécutif
En utilisant une GPO avec la préférence Local Users and Groups en mode Update, vous accordez des droits d’administrateur local sur tous les ordinateurs membres d’un domaine, de manière centralisée, traçable et réversible, tout en évitant l’adhésion à des groupes AD très sensibles et l’obligation de carte à puce qui leur est associée. Ajoutez Windows LAPS, une gouvernance des groupes et un suivi SIEM pour une posture de sécurité robuste et conforme.
Procédure condensée
- Créer
DLG-AdminLocauxet y imbriquer vos groupes globaux d’équipes. - Créer une GPO et la lier aux OU d’ordinateurs cibles.
- Configurer Computer Configuration → Preferences → Local Users and Groups :
- Action : Update
- Group Name : Administrators (Built‑in)
- Add… Name :
DLG-AdminLocaux
- Répliquer,
gpupdate /force, vérifier avecnet localgroup administrators. - Activer Windows LAPS et intégrer les journaux au SIEM.
Avec cette approche, vous gérez efficacement les autorisations locales à grande échelle, tout en respectant le principe du moindre privilège et en évitant les risques opérationnels liés aux groupes d’administration du domaine.