Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Un compte non interactif

4 réponses
Avatar
raph
Bonjour sur un AD 2003, j'ai créé un compte standard dans AD Pour
effectuer quelques requêtes LDAP. J'aimerais que ce compte ne soit
utilisé que pour cela et empêcher l'ouverture de session directe sur
tous les PC/Serveurs du domaine.

Des pistes pour faire cela rapidement ?

merci

4 réponses

Avatar
Jonathan BISMUTH
Bonjour Raph,

S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO sur
les OU ordinateurs à impacter et spécifier le compte à refuser dans les
paramètres :

- Refuser les ouvertures de session locales
- Interdire l'ouverture de session par les services Terminal Server

ces paramètres sont situés dans : Configuration Ordinateur > Paramètres
Windows > Paramètres de sécurité > Attribution des droits utilisateur

De manière plus corporate, tu peux empêcher les ouvertures de session locale
en donnant explicitement les noms des groupes utilisateurs pouvant
s'authentifier sur telle ou telle OU (ce qui refuse donc implicitement tous
les autres groupes) en modifiant plutôt le paramètres Ouvrir une session
localement (même emplacement).


Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net


"raph" a écrit dans le message de news:
ekTB$
Bonjour sur un AD 2003, j'ai créé un compte standard dans AD Pour
effectuer quelques requêtes LDAP. J'aimerais que ce compte ne soit utilisé
que pour cela et empêcher l'ouverture de session directe sur tous les
PC/Serveurs du domaine.

Des pistes pour faire cela rapidement ?

merci


Avatar
raph
Jonathan BISMUTH a écrit :
Bonjour Raph,

S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO sur
les OU ordinateurs à impacter et spécifier le compte à refuser dans les
paramètres :

- Refuser les ouvertures de session locales
- Interdire l'ouverture de session par les services Terminal Server

ces paramètres sont situés dans : Configuration Ordinateur > Paramètres
Windows > Paramètres de sécurité > Attribution des droits utilisateur

De manière plus corporate, tu peux empêcher les ouvertures de session locale
en donnant explicitement les noms des groupes utilisateurs pouvant
s'authentifier sur telle ou telle OU (ce qui refuse donc implicitement tous
les autres groupes) en modifiant plutôt le paramètres Ouvrir une session
localement (même emplacement).


Cordialement,



Bonjour,

merci pour la réponse rapide,

j'aurais préféré un paramètre utilisateur mais la GPO sur les Ou des
Postes me paraît satisfaisante..


cordialemnt.
Avatar
Jonathan BISMUTH
Re Raph,

je comprends ce que tu souhaite, et il est est vrai que d'un point de vue
logique, c'est le compte utilisateu rque tu souhaite interdire.

Mais d'un point de vue paramètrage traditionnel, c'est bien sur les postes
que l'on octroit ou refuse une ouverture de session, et non un compte que
l'on interdit d'autentification.

Différentes perceptions quoi ^_^:)
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net

"raph" a écrit dans le message de news:
%
Jonathan BISMUTH a écrit :
Bonjour Raph,

S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO sur
les OU ordinateurs à impacter et spécifier le compte à refuser dans les
paramètres :

- Refuser les ouvertures de session locales
- Interdire l'ouverture de session par les services Terminal Server

ces paramètres sont situés dans : Configuration Ordinateur > Paramètres
Windows > Paramètres de sécurité > Attribution des droits utilisateur

De manière plus corporate, tu peux empêcher les ouvertures de session
locale en donnant explicitement les noms des groupes utilisateurs pouvant
s'authentifier sur telle ou telle OU (ce qui refuse donc implicitement
tous les autres groupes) en modifiant plutôt le paramètres Ouvrir une
session localement (même emplacement).


Cordialement,



Bonjour,

merci pour la réponse rapide,

j'aurais préféré un paramètre utilisateur mais la GPO sur les Ou des
Postes me paraît satisfaisante..


cordialemnt.


Avatar
Lognoul Marc [MVP]
Bonjour,

Complémenter ce qu'à déjà bien expliqué Jonathan, le seul droit dont ce
compte doit disposer est "Access this computer from the network", et ce
appliqué sur les contrôleurs de domaine du domaine à énumérer uniquement.
Côté permissions, une vue "read only" sur la portion "domaine" de ton AD
(permission par défaut pour tous les utilisateurs authentifiés).

--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]

"Jonathan BISMUTH" wrote in message
news:
Re Raph,

je comprends ce que tu souhaite, et il est est vrai que d'un point de vue
logique, c'est le compte utilisateu rque tu souhaite interdire.

Mais d'un point de vue paramètrage traditionnel, c'est bien sur les postes
que l'on octroit ou refuse une ouverture de session, et non un compte que
l'on interdit d'autentification.

Différentes perceptions quoi ^_^:)
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net

"raph" a écrit dans le message de news:
%
Jonathan BISMUTH a écrit :
Bonjour Raph,

S'il ne s'agit que d'un compte, tu peux simplement paramétrer une GPO
sur les OU ordinateurs à impacter et spécifier le compte à refuser dans
les paramètres :

- Refuser les ouvertures de session locales
- Interdire l'ouverture de session par les services Terminal Server

ces paramètres sont situés dans : Configuration Ordinateur > Paramètres
Windows > Paramètres de sécurité > Attribution des droits utilisateur

De manière plus corporate, tu peux empêcher les ouvertures de session
locale en donnant explicitement les noms des groupes utilisateurs
pouvant s'authentifier sur telle ou telle OU (ce qui refuse donc
implicitement tous les autres groupes) en modifiant plutôt le paramètres
Ouvrir une session localement (même emplacement).


Cordialement,



Bonjour,

merci pour la réponse rapide,

j'aurais préféré un paramètre utilisateur mais la GPO sur les Ou des
Postes me paraît satisfaisante..


cordialemnt.