TSE & Windows 2000 serveur : refuser l'Administrateur
4 réponses
Corsica
Bonjour à Tous
J'ai un serveur 2000 avec TSE. Je viens de permettre l'accès via
Internet à ce serveur, mais cela marche trop bien. En effet, je voudrais
ne pas permettre à l'administrateur (trop de pouvoir !!) de se connecter
en TSE via Internet, seulement des users avec droit restreint.
Est-ce possible ?
Je vosu remercie par avance et Bien le Bonjour de Corse
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Thierry MILLE [MVP]
"Corsica" wrote in message news:
Bonjour à Tous
J'ai un serveur 2000 avec TSE. Je viens de permettre l'accès via Internet à ce serveur, mais cela marche trop bien. En effet, je voudrais ne pas permettre à l'administrateur (trop de pouvoir !!) de se connecter en TSE via Internet, seulement des users avec droit restreint.
Est-ce possible ?
Le plus simple est de renommer le compte administrateur (son SID ne changera pas et se termine toujours par 500 : mais il faut pouvoir le trouver (délicat sur un serveur bien configuré, commencer par restictAnonymous, fermer tous les ports inutiles sur le pare feu et/ou utiliser des filtres IPSec)). Si vous êtes curieux : créez un compte nommé Administrateur (et/ou Administrator) avec des droits minimaux, désactivez ce compte et auditez les ouvertures de sessions (échouées) dessus.
Cordialement
-- Thierry MILLE www.lab-os.com
"Corsica" <ahmad.clement-virezmoi@wanadoo.fr> wrote in message
news:2klpquF41hffU1@uni-berlin.de...
Bonjour à Tous
J'ai un serveur 2000 avec TSE. Je viens de permettre l'accès via Internet
à ce serveur, mais cela marche trop bien. En effet, je voudrais ne pas
permettre à l'administrateur (trop de pouvoir !!) de se connecter en TSE
via Internet, seulement des users avec droit restreint.
Est-ce possible ?
Le plus simple est de renommer le compte administrateur (son SID ne changera
pas et se termine toujours par 500 : mais il faut pouvoir le trouver
(délicat sur un serveur bien configuré, commencer par restictAnonymous,
fermer tous les ports inutiles sur le pare feu et/ou utiliser des filtres
IPSec)). Si vous êtes curieux : créez un compte nommé Administrateur (et/ou
Administrator) avec des droits minimaux, désactivez ce compte et auditez les
ouvertures de sessions (échouées) dessus.
J'ai un serveur 2000 avec TSE. Je viens de permettre l'accès via Internet à ce serveur, mais cela marche trop bien. En effet, je voudrais ne pas permettre à l'administrateur (trop de pouvoir !!) de se connecter en TSE via Internet, seulement des users avec droit restreint.
Est-ce possible ?
Le plus simple est de renommer le compte administrateur (son SID ne changera pas et se termine toujours par 500 : mais il faut pouvoir le trouver (délicat sur un serveur bien configuré, commencer par restictAnonymous, fermer tous les ports inutiles sur le pare feu et/ou utiliser des filtres IPSec)). Si vous êtes curieux : créez un compte nommé Administrateur (et/ou Administrator) avec des droits minimaux, désactivez ce compte et auditez les ouvertures de sessions (échouées) dessus.
Cordialement
-- Thierry MILLE www.lab-os.com
Psu
Cela n'empêche pas de se connecter à terminal serveur avec ce compte même si il est plus difficile à trouver.
Tu peux aller dans les outils d'administrations trouver un outils qui s'appelle Configuration de terminal serveur Connexions RDP-tcp En double-cliquant sur les propriétés de RDP-tcp Va dans l'onglet permissions Enlève la permission à tes administrateurs et met la à tes utilisateurs qui pourront y accèder (le mieux : créer un groupe Termiel server à qui tu donnes l'autorisation de connexions et mettres les personnes autorisées dedans) Si tu veux être plus restritif met la permission de refus sur l'accès au groupe local Administrateurs (par exemple)
Par conte je ne l'ai pas testé, à bon entendeur ... :-)
-----Message d'origine----- "Corsica" wrote in message
news:
Bonjour à Tous
J'ai un serveur 2000 avec TSE. Je viens de permettre l'accès via Internet
à ce serveur, mais cela marche trop bien. En effet, je voudrais ne pas
permettre à l'administrateur (trop de pouvoir !!) de se connecter en TSE
via Internet, seulement des users avec droit restreint.
Est-ce possible ?
Le plus simple est de renommer le compte administrateur (son SID ne changera
pas et se termine toujours par 500 : mais il faut pouvoir le trouver
(délicat sur un serveur bien configuré, commencer par restictAnonymous,
fermer tous les ports inutiles sur le pare feu et/ou utiliser des filtres
IPSec)). Si vous êtes curieux : créez un compte nommé Administrateur (et/ou
Administrator) avec des droits minimaux, désactivez ce compte et auditez les
ouvertures de sessions (échouées) dessus.
Cordialement
-- Thierry MILLE www.lab-os.com
.
Cela n'empêche pas de se connecter à terminal serveur
avec ce compte même si il est plus difficile à trouver.
Tu peux aller dans les outils d'administrations trouver
un outils qui s'appelle Configuration de terminal serveur
Connexions RDP-tcp
En double-cliquant sur les propriétés de RDP-tcp
Va dans l'onglet permissions
Enlève la permission à tes administrateurs et met la à
tes utilisateurs qui pourront y accèder (le mieux : créer
un groupe Termiel server à qui tu donnes l'autorisation
de connexions et mettres les personnes autorisées dedans)
Si tu veux être plus restritif met la permission de refus
sur l'accès au groupe local Administrateurs (par exemple)
Par conte je ne l'ai pas testé, à bon entendeur ... :-)
-----Message d'origine-----
"Corsica" <ahmad.clement-virezmoi@wanadoo.fr> wrote in
message
news:2klpquF41hffU1@uni-berlin.de...
Bonjour à Tous
J'ai un serveur 2000 avec TSE. Je viens de permettre
l'accès via Internet
à ce serveur, mais cela marche trop bien. En effet, je
voudrais ne pas
permettre à l'administrateur (trop de pouvoir !!) de
se connecter en TSE
via Internet, seulement des users avec droit restreint.
Est-ce possible ?
Le plus simple est de renommer le compte administrateur
(son SID ne changera
pas et se termine toujours par 500 : mais il faut
pouvoir le trouver
(délicat sur un serveur bien configuré, commencer par
restictAnonymous,
fermer tous les ports inutiles sur le pare feu et/ou
utiliser des filtres
IPSec)). Si vous êtes curieux : créez un compte nommé
Administrateur (et/ou
Administrator) avec des droits minimaux, désactivez ce
compte et auditez les
Cela n'empêche pas de se connecter à terminal serveur avec ce compte même si il est plus difficile à trouver.
Tu peux aller dans les outils d'administrations trouver un outils qui s'appelle Configuration de terminal serveur Connexions RDP-tcp En double-cliquant sur les propriétés de RDP-tcp Va dans l'onglet permissions Enlève la permission à tes administrateurs et met la à tes utilisateurs qui pourront y accèder (le mieux : créer un groupe Termiel server à qui tu donnes l'autorisation de connexions et mettres les personnes autorisées dedans) Si tu veux être plus restritif met la permission de refus sur l'accès au groupe local Administrateurs (par exemple)
Par conte je ne l'ai pas testé, à bon entendeur ... :-)
-----Message d'origine----- "Corsica" wrote in message
news:
Bonjour à Tous
J'ai un serveur 2000 avec TSE. Je viens de permettre l'accès via Internet
à ce serveur, mais cela marche trop bien. En effet, je voudrais ne pas
permettre à l'administrateur (trop de pouvoir !!) de se connecter en TSE
via Internet, seulement des users avec droit restreint.
Est-ce possible ?
Le plus simple est de renommer le compte administrateur (son SID ne changera
pas et se termine toujours par 500 : mais il faut pouvoir le trouver
(délicat sur un serveur bien configuré, commencer par restictAnonymous,
fermer tous les ports inutiles sur le pare feu et/ou utiliser des filtres
IPSec)). Si vous êtes curieux : créez un compte nommé Administrateur (et/ou
Administrator) avec des droits minimaux, désactivez ce compte et auditez les
ouvertures de sessions (échouées) dessus.
Cordialement
-- Thierry MILLE www.lab-os.com
.
Eric PERROMAT [MVP]
Psu wrote: | Tu peux aller dans les outils d'administrations trouver | un outils qui s'appelle Configuration de terminal serveur | Connexions RDP-tcp | En double-cliquant sur les propriétés de RDP-tcp | Va dans l'onglet permissions | Enlève la permission à tes administrateurs et met la à | tes utilisateurs qui pourront y accèder (le mieux : créer | un groupe Termiel server à qui tu donnes l'autorisation | de connexions et mettres les personnes autorisées dedans) | Si tu veux être plus restritif met la permission de refus | sur l'accès au groupe local Administrateurs (par exemple) | | Par conte je ne l'ai pas testé, à bon entendeur ... :-)
Attention à cela !! car même en lan cela ne fonctionnera plus, il est déconseillé de bidouiller aux permissions RDP ...
-- Cordialement Eric PERROMAT [MVP Windows Server - Terminal Server] Visitez mon site : http://pameri.chez.tiscali.fr
*** Répondre au Newsgroup, Merci ***
Psu wrote:
| Tu peux aller dans les outils d'administrations trouver
| un outils qui s'appelle Configuration de terminal serveur
| Connexions RDP-tcp
| En double-cliquant sur les propriétés de RDP-tcp
| Va dans l'onglet permissions
| Enlève la permission à tes administrateurs et met la à
| tes utilisateurs qui pourront y accèder (le mieux : créer
| un groupe Termiel server à qui tu donnes l'autorisation
| de connexions et mettres les personnes autorisées dedans)
| Si tu veux être plus restritif met la permission de refus
| sur l'accès au groupe local Administrateurs (par exemple)
|
| Par conte je ne l'ai pas testé, à bon entendeur ... :-)
Attention à cela !! car même en lan cela ne fonctionnera plus, il est
déconseillé de bidouiller aux permissions RDP ...
--
Cordialement
Eric PERROMAT [MVP Windows Server - Terminal Server]
Visitez mon site :
http://pameri.chez.tiscali.fr
Psu wrote: | Tu peux aller dans les outils d'administrations trouver | un outils qui s'appelle Configuration de terminal serveur | Connexions RDP-tcp | En double-cliquant sur les propriétés de RDP-tcp | Va dans l'onglet permissions | Enlève la permission à tes administrateurs et met la à | tes utilisateurs qui pourront y accèder (le mieux : créer | un groupe Termiel server à qui tu donnes l'autorisation | de connexions et mettres les personnes autorisées dedans) | Si tu veux être plus restritif met la permission de refus | sur l'accès au groupe local Administrateurs (par exemple) | | Par conte je ne l'ai pas testé, à bon entendeur ... :-)
Attention à cela !! car même en lan cela ne fonctionnera plus, il est déconseillé de bidouiller aux permissions RDP ...
-- Cordialement Eric PERROMAT [MVP Windows Server - Terminal Server] Visitez mon site : http://pameri.chez.tiscali.fr
*** Répondre au Newsgroup, Merci ***
Thierry MILLE [MVP]
"Psu" wrote in message news:28f7c01c464f5$28ad2ee0$
Cela n'empêche pas de se connecter à terminal serveur avec ce compte même si il est plus difficile à trouver.
Mouais je vous proposerais bien d'essayer sur quelques IPs ... A mon avis dans 10 ans vous y êtes encore (en étant très optimiste) ... j'ai même quelques petites idées pour vous induire très facilement en erreur (aka : les faux espoirs).
Par conte je ne l'ai pas testé, à bon entendeur ... :-)
C'est justement le point le plus important du message. Essayez ... pour proposer des solutions éprouvées et non des bidouilles de magazine.
Avec cette préconisation, les administrateurs ne pourront plus ouvrir de session depuis le LAN. Ils ne pourront donc pas utiliser toutes les possibilités d'administration de Terminal Server (dommage pour un serveur qui est justement TSE).
Cordialement
-- Thierry MILLE www.lab-os.com
"Psu" <anonymous@discussions.microsoft.com> wrote in message
news:28f7c01c464f5$28ad2ee0$a501280a@phx.gbl...
Cela n'empêche pas de se connecter à terminal serveur
avec ce compte même si il est plus difficile à trouver.
Mouais je vous proposerais bien d'essayer sur quelques IPs ... A mon avis
dans 10 ans vous y êtes encore (en étant très optimiste) ... j'ai même
quelques petites idées pour vous induire très facilement en erreur (aka :
les faux espoirs).
Par conte je ne l'ai pas testé, à bon entendeur ... :-)
C'est justement le point le plus important du message. Essayez ... pour
proposer des solutions éprouvées et non des bidouilles de magazine.
Avec cette préconisation, les administrateurs ne pourront plus ouvrir de
session depuis le LAN. Ils ne pourront donc pas utiliser toutes les
possibilités d'administration de Terminal Server (dommage pour un serveur
qui est justement TSE).
"Psu" wrote in message news:28f7c01c464f5$28ad2ee0$
Cela n'empêche pas de se connecter à terminal serveur avec ce compte même si il est plus difficile à trouver.
Mouais je vous proposerais bien d'essayer sur quelques IPs ... A mon avis dans 10 ans vous y êtes encore (en étant très optimiste) ... j'ai même quelques petites idées pour vous induire très facilement en erreur (aka : les faux espoirs).
Par conte je ne l'ai pas testé, à bon entendeur ... :-)
C'est justement le point le plus important du message. Essayez ... pour proposer des solutions éprouvées et non des bidouilles de magazine.
Avec cette préconisation, les administrateurs ne pourront plus ouvrir de session depuis le LAN. Ils ne pourront donc pas utiliser toutes les possibilités d'administration de Terminal Server (dommage pour un serveur qui est justement TSE).