GPO - Gestion des groupes d'administrateurs locaux (groupe restreint par rapport aux utilisateurs et groupes locaux)

Je recherche les meilleures pratiques actuelles et je n'arrive pas à trouver une réponse définitive. Je cherche à gérer l'appartenance au groupe d'administrateurs local sur des ordinateurs Windows (clients). Dans le passé, nous utilisions des groupes restreints, mais je constate que les utilisateurs et les groupes locaux offrent plus de flexibilité et peuvent également effacer les utilisateurs et les groupes existants pour imiter ce que font les groupes restreints.

Toutes les recommandations sur pourquoi je choisirais l'un sur l'autre. Est-ce juste la préférence? Qu'est-ce que la plupart des administrateurs utilisent? Quelqu'un at-il un lien vers un doc Microsoft qui explique lequel doit être utilisé?

Merci!

Je dirais que c'est une préférence. Faisons un peu d'histoire pour expliquer pourquoi nous pouvons gérer l'appartenance à un groupe de deux manières différentes:

"Groupes restreints" (dans le nœud "Stratégies" de la console de gestion du GP) est arrivé en premier et vous permet de restreindre les membres d'un groupe (personne ne peut ajouter / supprimer un élément du groupe après l'avoir restreint).

Ensuite, une autre société (appelée "DesktopStandard") a créé ses propres extensions GP (PolicyMaker) afin de permettre aux administrateurs d’exécuter d’autres tâches avec des stratégies de groupe, telles que la création et la suppression de fichiers, dossiers, clés de registre, raccourcis, etc. gérer les utilisateurs et les groupes avec "Utilisateurs et groupes locaux". Microsoft a finalement acheté cette société et intégré ses outils dans le nœud "Préférences" de la console de gestion des stratégies de groupe (c'est pourquoi l'apparence est différente lorsque vous parcourez le nœud "Préférences" de votre objet de stratégie de groupe).

Et voilà, nous avons maintenant deux façons de gérer l'appartenance à des groupes: "Groupes restreints" est l'original, et "Utilisateurs et groupes locaux" est l'outil "verrouillé".

Si vous souhaitez simplement restreindre l'appartenance à un groupe, j'utiliserais personnellement "Groupe restreint", mais si vous souhaitez ajouter des membres sans effacer les anciens membres, et si vous souhaitez autoriser les utilisateurs à ajouter des membres par la suite, vous devez utiliser le " Utilisateurs et groupes locaux "dans" Préférences "