Bonjour sur un AD 2003, j'ai créé un compte standard dans AD Pour
effectuer quelques requêtes LDAP. J'aimerais que ce compte ne soit
utilisé que pour cela et empêcher l'ouverture de session directe sur
tous les PC/Serveurs du domaine.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jonathan BISMUTH
Bonjour Raph,
S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO sur les OU ordinateurs à impacter et spécifier le compte à refuser dans les paramètres :
- Refuser les ouvertures de session locales - Interdire l'ouverture de session par les services Terminal Server
ces paramètres sont situés dans : Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Attribution des droits utilisateur
De manière plus corporate, tu peux empêcher les ouvertures de session locale en donnant explicitement les noms des groupes utilisateurs pouvant s'authentifier sur telle ou telle OU (ce qui refuse donc implicitement tous les autres groupes) en modifiant plutôt le paramètres Ouvrir une session localement (même emplacement).
Cordialement, -- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000, Transcript (ID: 691839, code: MCSE2000) http://blog.portail-mcse.net
"raph" a écrit dans le message de news: ekTB$
Bonjour sur un AD 2003, j'ai créé un compte standard dans AD Pour effectuer quelques requêtes LDAP. J'aimerais que ce compte ne soit utilisé que pour cela et empêcher l'ouverture de session directe sur tous les PC/Serveurs du domaine.
Des pistes pour faire cela rapidement ?
merci
Bonjour Raph,
S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO sur
les OU ordinateurs à impacter et spécifier le compte à refuser dans les
paramètres :
- Refuser les ouvertures de session locales
- Interdire l'ouverture de session par les services Terminal Server
ces paramètres sont situés dans : Configuration Ordinateur > Paramètres
Windows > Paramètres de sécurité > Attribution des droits utilisateur
De manière plus corporate, tu peux empêcher les ouvertures de session locale
en donnant explicitement les noms des groupes utilisateurs pouvant
s'authentifier sur telle ou telle OU (ce qui refuse donc implicitement tous
les autres groupes) en modifiant plutôt le paramètres Ouvrir une session
localement (même emplacement).
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
"raph" <raph@popo.com> a écrit dans le message de news:
ekTB$LqiJHA.4604@TK2MSFTNGP02.phx.gbl...
Bonjour sur un AD 2003, j'ai créé un compte standard dans AD Pour
effectuer quelques requêtes LDAP. J'aimerais que ce compte ne soit utilisé
que pour cela et empêcher l'ouverture de session directe sur tous les
PC/Serveurs du domaine.
S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO sur les OU ordinateurs à impacter et spécifier le compte à refuser dans les paramètres :
- Refuser les ouvertures de session locales - Interdire l'ouverture de session par les services Terminal Server
ces paramètres sont situés dans : Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Attribution des droits utilisateur
De manière plus corporate, tu peux empêcher les ouvertures de session locale en donnant explicitement les noms des groupes utilisateurs pouvant s'authentifier sur telle ou telle OU (ce qui refuse donc implicitement tous les autres groupes) en modifiant plutôt le paramètres Ouvrir une session localement (même emplacement).
Cordialement, -- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000, Transcript (ID: 691839, code: MCSE2000) http://blog.portail-mcse.net
"raph" a écrit dans le message de news: ekTB$
Bonjour sur un AD 2003, j'ai créé un compte standard dans AD Pour effectuer quelques requêtes LDAP. J'aimerais que ce compte ne soit utilisé que pour cela et empêcher l'ouverture de session directe sur tous les PC/Serveurs du domaine.
Des pistes pour faire cela rapidement ?
merci
raph
Jonathan BISMUTH a écrit :
Bonjour Raph,
S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO sur les OU ordinateurs à impacter et spécifier le compte à refuser dans les paramètres :
- Refuser les ouvertures de session locales - Interdire l'ouverture de session par les services Terminal Server
ces paramètres sont situés dans : Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Attribution des droits utilisateur
De manière plus corporate, tu peux empêcher les ouvertures de session locale en donnant explicitement les noms des groupes utilisateurs pouvant s'authentifier sur telle ou telle OU (ce qui refuse donc implicitement tous les autres groupes) en modifiant plutôt le paramètres Ouvrir une session localement (même emplacement).
Cordialement,
Bonjour,
merci pour la réponse rapide,
j'aurais préféré un paramètre utilisateur mais la GPO sur les Ou des Postes me paraît satisfaisante..
cordialemnt.
Jonathan BISMUTH a écrit :
Bonjour Raph,
S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO sur
les OU ordinateurs à impacter et spécifier le compte à refuser dans les
paramètres :
- Refuser les ouvertures de session locales
- Interdire l'ouverture de session par les services Terminal Server
ces paramètres sont situés dans : Configuration Ordinateur > Paramètres
Windows > Paramètres de sécurité > Attribution des droits utilisateur
De manière plus corporate, tu peux empêcher les ouvertures de session locale
en donnant explicitement les noms des groupes utilisateurs pouvant
s'authentifier sur telle ou telle OU (ce qui refuse donc implicitement tous
les autres groupes) en modifiant plutôt le paramètres Ouvrir une session
localement (même emplacement).
Cordialement,
Bonjour,
merci pour la réponse rapide,
j'aurais préféré un paramètre utilisateur mais la GPO sur les Ou des
Postes me paraît satisfaisante..
S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO sur les OU ordinateurs à impacter et spécifier le compte à refuser dans les paramètres :
- Refuser les ouvertures de session locales - Interdire l'ouverture de session par les services Terminal Server
ces paramètres sont situés dans : Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Attribution des droits utilisateur
De manière plus corporate, tu peux empêcher les ouvertures de session locale en donnant explicitement les noms des groupes utilisateurs pouvant s'authentifier sur telle ou telle OU (ce qui refuse donc implicitement tous les autres groupes) en modifiant plutôt le paramètres Ouvrir une session localement (même emplacement).
Cordialement,
Bonjour,
merci pour la réponse rapide,
j'aurais préféré un paramètre utilisateur mais la GPO sur les Ou des Postes me paraît satisfaisante..
cordialemnt.
Jonathan BISMUTH
Re Raph,
je comprends ce que tu souhaite, et il est est vrai que d'un point de vue logique, c'est le compte utilisateu rque tu souhaite interdire.
Mais d'un point de vue paramètrage traditionnel, c'est bien sur les postes que l'on octroit ou refuse une ouverture de session, et non un compte que l'on interdit d'autentification.
Différentes perceptions quoi ^_^:) -- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000, Transcript (ID: 691839, code: MCSE2000) http://blog.portail-mcse.net
"raph" a écrit dans le message de news: %
Jonathan BISMUTH a écrit :
Bonjour Raph,
S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO sur les OU ordinateurs à impacter et spécifier le compte à refuser dans les paramètres :
- Refuser les ouvertures de session locales - Interdire l'ouverture de session par les services Terminal Server
ces paramètres sont situés dans : Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Attribution des droits utilisateur
De manière plus corporate, tu peux empêcher les ouvertures de session locale en donnant explicitement les noms des groupes utilisateurs pouvant s'authentifier sur telle ou telle OU (ce qui refuse donc implicitement tous les autres groupes) en modifiant plutôt le paramètres Ouvrir une session localement (même emplacement).
Cordialement,
Bonjour,
merci pour la réponse rapide,
j'aurais préféré un paramètre utilisateur mais la GPO sur les Ou des Postes me paraît satisfaisante..
cordialemnt.
Re Raph,
je comprends ce que tu souhaite, et il est est vrai que d'un point de vue
logique, c'est le compte utilisateu rque tu souhaite interdire.
Mais d'un point de vue paramètrage traditionnel, c'est bien sur les postes
que l'on octroit ou refuse une ouverture de session, et non un compte que
l'on interdit d'autentification.
Différentes perceptions quoi ^_^:)
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
"raph" <raph@popo.com> a écrit dans le message de news:
%233YXyKriJHA.3812@TK2MSFTNGP04.phx.gbl...
Jonathan BISMUTH a écrit :
Bonjour Raph,
S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO sur
les OU ordinateurs à impacter et spécifier le compte à refuser dans les
paramètres :
- Refuser les ouvertures de session locales
- Interdire l'ouverture de session par les services Terminal Server
ces paramètres sont situés dans : Configuration Ordinateur > Paramètres
Windows > Paramètres de sécurité > Attribution des droits utilisateur
De manière plus corporate, tu peux empêcher les ouvertures de session
locale en donnant explicitement les noms des groupes utilisateurs pouvant
s'authentifier sur telle ou telle OU (ce qui refuse donc implicitement
tous les autres groupes) en modifiant plutôt le paramètres Ouvrir une
session localement (même emplacement).
Cordialement,
Bonjour,
merci pour la réponse rapide,
j'aurais préféré un paramètre utilisateur mais la GPO sur les Ou des
Postes me paraît satisfaisante..
je comprends ce que tu souhaite, et il est est vrai que d'un point de vue logique, c'est le compte utilisateu rque tu souhaite interdire.
Mais d'un point de vue paramètrage traditionnel, c'est bien sur les postes que l'on octroit ou refuse une ouverture de session, et non un compte que l'on interdit d'autentification.
Différentes perceptions quoi ^_^:) -- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000, Transcript (ID: 691839, code: MCSE2000) http://blog.portail-mcse.net
"raph" a écrit dans le message de news: %
Jonathan BISMUTH a écrit :
Bonjour Raph,
S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO sur les OU ordinateurs à impacter et spécifier le compte à refuser dans les paramètres :
- Refuser les ouvertures de session locales - Interdire l'ouverture de session par les services Terminal Server
ces paramètres sont situés dans : Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Attribution des droits utilisateur
De manière plus corporate, tu peux empêcher les ouvertures de session locale en donnant explicitement les noms des groupes utilisateurs pouvant s'authentifier sur telle ou telle OU (ce qui refuse donc implicitement tous les autres groupes) en modifiant plutôt le paramètres Ouvrir une session localement (même emplacement).
Cordialement,
Bonjour,
merci pour la réponse rapide,
j'aurais préféré un paramètre utilisateur mais la GPO sur les Ou des Postes me paraît satisfaisante..
cordialemnt.
Lognoul Marc [MVP]
Bonjour,
Complémenter ce qu'à déjà bien expliqué Jonathan, le seul droit dont ce compte doit disposer est "Access this computer from the network", et ce appliqué sur les contrôleurs de domaine du domaine à énumérer uniquement. Côté permissions, une vue "read only" sur la portion "domaine" de ton AD (permission par défaut pour tous les utilisateurs authentifiés).
je comprends ce que tu souhaite, et il est est vrai que d'un point de vue logique, c'est le compte utilisateu rque tu souhaite interdire.
Mais d'un point de vue paramètrage traditionnel, c'est bien sur les postes que l'on octroit ou refuse une ouverture de session, et non un compte que l'on interdit d'autentification.
Différentes perceptions quoi ^_^:) -- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000, Transcript (ID: 691839, code: MCSE2000) http://blog.portail-mcse.net
"raph" a écrit dans le message de news: %
Jonathan BISMUTH a écrit :
Bonjour Raph,
S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO sur les OU ordinateurs à impacter et spécifier le compte à refuser dans les paramètres :
- Refuser les ouvertures de session locales - Interdire l'ouverture de session par les services Terminal Server
ces paramètres sont situés dans : Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Attribution des droits utilisateur
De manière plus corporate, tu peux empêcher les ouvertures de session locale en donnant explicitement les noms des groupes utilisateurs pouvant s'authentifier sur telle ou telle OU (ce qui refuse donc implicitement tous les autres groupes) en modifiant plutôt le paramètres Ouvrir une session localement (même emplacement).
Cordialement,
Bonjour,
merci pour la réponse rapide,
j'aurais préféré un paramètre utilisateur mais la GPO sur les Ou des Postes me paraît satisfaisante..
cordialemnt.
Bonjour,
Complémenter ce qu'à déjà bien expliqué Jonathan, le seul droit dont ce
compte doit disposer est "Access this computer from the network", et ce
appliqué sur les contrôleurs de domaine du domaine à énumérer uniquement.
Côté permissions, une vue "read only" sur la portion "domaine" de ton AD
(permission par défaut pour tous les utilisateurs authentifiés).
--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]
"Jonathan BISMUTH" <jonathan.bismuth.NOSPAM@gmail.com> wrote in message
news:ejB9xHsiJHA.956@TK2MSFTNGP05.phx.gbl...
Re Raph,
je comprends ce que tu souhaite, et il est est vrai que d'un point de vue
logique, c'est le compte utilisateu rque tu souhaite interdire.
Mais d'un point de vue paramètrage traditionnel, c'est bien sur les postes
que l'on octroit ou refuse une ouverture de session, et non un compte que
l'on interdit d'autentification.
Différentes perceptions quoi ^_^:)
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
"raph" <raph@popo.com> a écrit dans le message de news:
%233YXyKriJHA.3812@TK2MSFTNGP04.phx.gbl...
Jonathan BISMUTH a écrit :
Bonjour Raph,
S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO
sur les OU ordinateurs à impacter et spécifier le compte à refuser dans
les paramètres :
- Refuser les ouvertures de session locales
- Interdire l'ouverture de session par les services Terminal Server
ces paramètres sont situés dans : Configuration Ordinateur > Paramètres
Windows > Paramètres de sécurité > Attribution des droits utilisateur
De manière plus corporate, tu peux empêcher les ouvertures de session
locale en donnant explicitement les noms des groupes utilisateurs
pouvant s'authentifier sur telle ou telle OU (ce qui refuse donc
implicitement tous les autres groupes) en modifiant plutôt le paramètres
Ouvrir une session localement (même emplacement).
Cordialement,
Bonjour,
merci pour la réponse rapide,
j'aurais préféré un paramètre utilisateur mais la GPO sur les Ou des
Postes me paraît satisfaisante..
Complémenter ce qu'à déjà bien expliqué Jonathan, le seul droit dont ce compte doit disposer est "Access this computer from the network", et ce appliqué sur les contrôleurs de domaine du domaine à énumérer uniquement. Côté permissions, une vue "read only" sur la portion "domaine" de ton AD (permission par défaut pour tous les utilisateurs authentifiés).
je comprends ce que tu souhaite, et il est est vrai que d'un point de vue logique, c'est le compte utilisateu rque tu souhaite interdire.
Mais d'un point de vue paramètrage traditionnel, c'est bien sur les postes que l'on octroit ou refuse une ouverture de session, et non un compte que l'on interdit d'autentification.
Différentes perceptions quoi ^_^:) -- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000, Transcript (ID: 691839, code: MCSE2000) http://blog.portail-mcse.net
"raph" a écrit dans le message de news: %
Jonathan BISMUTH a écrit :
Bonjour Raph,
S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO sur les OU ordinateurs à impacter et spécifier le compte à refuser dans les paramètres :
- Refuser les ouvertures de session locales - Interdire l'ouverture de session par les services Terminal Server
ces paramètres sont situés dans : Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Attribution des droits utilisateur
De manière plus corporate, tu peux empêcher les ouvertures de session locale en donnant explicitement les noms des groupes utilisateurs pouvant s'authentifier sur telle ou telle OU (ce qui refuse donc implicitement tous les autres groupes) en modifiant plutôt le paramètres Ouvrir une session localement (même emplacement).
Cordialement,
Bonjour,
merci pour la réponse rapide,
j'aurais préféré un paramètre utilisateur mais la GPO sur les Ou des Postes me paraît satisfaisante..