Les ajouts d’applications sur un domaine Active Directory se font habituellement par le service informatique afin de mieux maitriser le parc et réduire les risques d’installation d’un logiciel malveillant. Néanmoins, vous pourriez souhaiter donner plus de droits à certains utilisateurs comme des techniciens ou des développeurs. Dans cet article, nous allons voir différentes solutions pour autoriser les utilisateurs d’un domaine Active Directory à installer des logiciels sur leur ordinateur grâce aux GPO.
Solution 1 : Installer un logiciel par GPO
La manière la plus sûre d’installer un logiciel par GPO et de pouvoir en gérer le déploiement des mises à jour et patchs est de paramétrer l’installation directement dans la GPO. Cette dernière se fera donc lors de l’ouverture de session par l’utilisateur.
Pour savoir comment installer un logiciel par GPO, vous pouvez suivre notre article dédié sur le sujet : Installer et mettre à jour un logiciel par GPO.
Si cette fonctionnalité à l’avantage d’être complètement automatique et de permettre une installation automatique sur tous les PC, elle n’en reste pas moins intrusive et fait perdre du temps lors du démarrage de l’ordinateur. Pour laisser à l’utilisateur la possibilité de choisir ce qu’il va installer, lisez la suite de cet article.
Solution 2 : Publier l’application dans les programmes Windows
Afin de donner la possibilité à vos utilisateurs d’installer certains logiciels, mais de garder la main sur les logiciels autorisés, il est possible de les déposer en mode publié par le biais d’une GPO. Les utilisateurs pourront alors choisir d’installer les logiciels que vous aurez publiés par le biais du menu d’ajout et suppression de programmes du Panneau de configuration.
Commençons par créer la GPO en ouvrant la console des GPO depuis un contrôleur de domaine. Faîtes un clic droit sur votre domaine et enfin choisissez Créer un objet GPO dans ce domaine, et le lier ici…
Suivez l’arborescence Configuration utilisateur > Stratégies > Paramètres du logiciel > Installation de logiciel. Faîtes un clic droit puis Nouveau et Package…
Après avoir sélectionné le package MSI situé dans un emplacement de fichiers partagé aux utilisateurs du domaine, validez. Dans le choix du type de déploiement, choisissez Publié et OK.
Solution 3 : Rendre un utilisateur administrateur local de son poste
Si vous voulez laisser plus de latitude à vos utilisateurs, il est possible de les habiliter en tant administrateur local de leur PC.
Pour cela, ouvrez une console de GPO, faites un clic droit sur votre domaine, puis cliquez sur Créer un objet GPO dans ce domaine, et le lier ici…
Nommez votre GPO, pour nous ce sera Utilisateur admin local.
Faites un clic droit sur la GPO nouvellement créée puis modifiez là. Suivez l’arborescence suivante : Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Groupes restreints.
Faîtes un clic droit dans le fenêtre puis Ajouter un groupe. Ensuite, cliquez sur Parcourir et entrez le groupe Utilisateurs du domaine avant de valider avec OK.
Maintenant, il faut ajouter ces utilisateurs au groupe des administrateurs du PC. Pour cela, ajoutez le groupe Administrateurs dans Ce groupe est membre de… Validez enfin avec OK.
Voilà, les utilisateurs du domaine deviennent donc administrateurs locaux sur les PC du domaine. Cela leur donne donc le droit de faire des installations.
