Un compte non interactif

Le
raph
Bonjour sur un AD 2003, j'ai créé un compte standard dans AD Pour
effectuer quelques requêtes LDAP. J'aimerais que ce compte ne soit
utilisé que pour cela et empêcher l'ouverture de session directe sur
tous les PC/Serveurs du domaine.

Des pistes pour faire cela rapidement ?

merci
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jonathan BISMUTH
Le #18623951
Bonjour Raph,

S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO sur
les OU ordinateurs à impacter et spécifier le compte à refuser dans les
paramètres :

- Refuser les ouvertures de session locales
- Interdire l'ouverture de session par les services Terminal Server

ces paramètres sont situés dans : Configuration Ordinateur > Paramètres
Windows > Paramètres de sécurité > Attribution des droits utilisateur

De manière plus corporate, tu peux empêcher les ouvertures de session locale
en donnant explicitement les noms des groupes utilisateurs pouvant
s'authentifier sur telle ou telle OU (ce qui refuse donc implicitement tous
les autres groupes) en modifiant plutôt le paramètres Ouvrir une session
localement (même emplacement).


Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net


"raph" ekTB$
Bonjour sur un AD 2003, j'ai créé un compte standard dans AD Pour
effectuer quelques requêtes LDAP. J'aimerais que ce compte ne soit utilisé
que pour cela et empêcher l'ouverture de session directe sur tous les
PC/Serveurs du domaine.

Des pistes pour faire cela rapidement ?

merci


raph
Le #18624651
Jonathan BISMUTH a écrit :
Bonjour Raph,

S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO sur
les OU ordinateurs à impacter et spécifier le compte à refuser dans les
paramètres :

- Refuser les ouvertures de session locales
- Interdire l'ouverture de session par les services Terminal Server

ces paramètres sont situés dans : Configuration Ordinateur > Paramètres
Windows > Paramètres de sécurité > Attribution des droits utilisateur

De manière plus corporate, tu peux empêcher les ouvertures de session locale
en donnant explicitement les noms des groupes utilisateurs pouvant
s'authentifier sur telle ou telle OU (ce qui refuse donc implicitement tous
les autres groupes) en modifiant plutôt le paramètres Ouvrir une session
localement (même emplacement).


Cordialement,



Bonjour,

merci pour la réponse rapide,

j'aurais préféré un paramètre utilisateur mais la GPO sur les Ou des
Postes me paraît satisfaisante..


cordialemnt.
Jonathan BISMUTH
Le #18625501
Re Raph,

je comprends ce que tu souhaite, et il est est vrai que d'un point de vue
logique, c'est le compte utilisateu rque tu souhaite interdire.

Mais d'un point de vue paramètrage traditionnel, c'est bien sur les postes
que l'on octroit ou refuse une ouverture de session, et non un compte que
l'on interdit d'autentification.

Différentes perceptions quoi ^_^:)
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net

"raph" %
Jonathan BISMUTH a écrit :
Bonjour Raph,

S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO sur
les OU ordinateurs à impacter et spécifier le compte à refuser dans les
paramètres :

- Refuser les ouvertures de session locales
- Interdire l'ouverture de session par les services Terminal Server

ces paramètres sont situés dans : Configuration Ordinateur > Paramètres
Windows > Paramètres de sécurité > Attribution des droits utilisateur

De manière plus corporate, tu peux empêcher les ouvertures de session
locale en donnant explicitement les noms des groupes utilisateurs pouvant
s'authentifier sur telle ou telle OU (ce qui refuse donc implicitement
tous les autres groupes) en modifiant plutôt le paramètres Ouvrir une
session localement (même emplacement).


Cordialement,



Bonjour,

merci pour la réponse rapide,

j'aurais préféré un paramètre utilisateur mais la GPO sur les Ou des
Postes me paraît satisfaisante..


cordialemnt.


Lognoul Marc [MVP]
Le #18631291
Bonjour,

Complémenter ce qu'à déjà bien expliqué Jonathan, le seul droit dont ce
compte doit disposer est "Access this computer from the network", et ce
appliqué sur les contrôleurs de domaine du domaine à énumérer uniquement.
Côté permissions, une vue "read only" sur la portion "domaine" de ton AD
(permission par défaut pour tous les utilisateurs authentifiés).

--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]

"Jonathan BISMUTH" news:
Re Raph,

je comprends ce que tu souhaite, et il est est vrai que d'un point de vue
logique, c'est le compte utilisateu rque tu souhaite interdire.

Mais d'un point de vue paramètrage traditionnel, c'est bien sur les postes
que l'on octroit ou refuse une ouverture de session, et non un compte que
l'on interdit d'autentification.

Différentes perceptions quoi ^_^:)
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net

"raph" %
Jonathan BISMUTH a écrit :
Bonjour Raph,

S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO
sur les OU ordinateurs à impacter et spécifier le compte à refuser dans
les paramètres :

- Refuser les ouvertures de session locales
- Interdire l'ouverture de session par les services Terminal Server

ces paramètres sont situés dans : Configuration Ordinateur > Paramètres
Windows > Paramètres de sécurité > Attribution des droits utilisateur

De manière plus corporate, tu peux empêcher les ouvertures de session
locale en donnant explicitement les noms des groupes utilisateurs
pouvant s'authentifier sur telle ou telle OU (ce qui refuse donc
implicitement tous les autres groupes) en modifiant plutôt le paramètres
Ouvrir une session localement (même emplacement).


Cordialement,



Bonjour,

merci pour la réponse rapide,

j'aurais préféré un paramètre utilisateur mais la GPO sur les Ou des
Postes me paraît satisfaisante..


cordialemnt.






Publicité
Poster une réponse
Anonyme