je sais il est preconisé de mettre le TSE sur serveur membre, seulement la pas le choix : je dois avoir le DC et TSE sur le meme serveur    
 
Comment faire car la jai installé le serveur membre avec tse mode appli puis dcpromo et la je n'arrive plus a me connecter avec un user lamda ... visiblement un pb de gpo mais ou tapper ?

une chtite idée ?

seul un admin peut prendre la main sur un DC

why ?

question de sécurité, t'as envie qu'un utilisateur lambda ne joue à péter ton AD, édites les GPO, passe con compte de user à admin?

Dans les whitepaper traitenat de TSE il faut donner le droit "allow login locally" à tes utilisateurs... sans celà pas de salut sur un serveur pour ces derniers.
 
En mode application de TSE ce droit doit être ajouté et fait partie du focntionnement normal, mode adminsitration il est clair que celà ne sert à rien à part baisser ta sécu.

euh faut aussi ajouter TSEuser ou un truc comme ça. J'savais pas que ça ne posait pas de problèmes en mode application. Remarque j'ai jamais essayé cette forme de TSE

 
C'est pas parcequ'il peut se loguer sur un CD qu'un user peut faire tout ca (l'inverse est aussi vrai, c'est pas parce qu'il ne peut pas se loguer sur le serveur qu'un user ne peut pas modifier tout ca), sur le DC ou pas, s'il n'est que user il ne pourra rien faire.
Par defaut effectivement y'a que les admins qui peuvent se connecter sur les DC, mais ca peut se modifier, regarde dans la gpo default domain controller policy qu'on trouve sur l'OU des DC, dans les attributions de droits tu en as un qui s'appelle "ouvrir une session localement", rajoute les users que tu souchaites a la liste.

 
je suis totalement d'accord avec toi Krapaud.
 
Mais la j'ai pas d'autre choix un seul serveur.
 
D'aprés vous cela est inmodifiable ? (DC = pas de connexion autres que adminstrateur ?)

ouais, mais ça sert à quoi d'ouvrir une session sans pouvoir rien faire? du coup, cas que j'ai déjà vvu, l'admin baisse la sécu du DC et l'utilisateur peut éditer dsa.msc si ça lui chante...

 
non, les les autres postes, c'est faisable mais bon moi ça ne me plait pas

 
ca ne marche pas; le droits "ouvrir une session localement" je l'ai mis sur la gpo du conteneur "Domain Controler", je l'ai mise aussi sur la gpo  du "domaine controleur local" (Stratégie du controleur de domaine local) et rien n'y fait; se connecter via une session RDP niet !!!
 
Par contre je peux me connecter si je me met directement sur le serveur DC + TSE !!!
 
truc bizarre !!

comment fais tu pour ouvrir cet accés ?
 
j'ai toujours le message : "stratégie local ..."
en clair c une strategie qui me bloque !!

 
Il peut pas rien faire, il peut faire ce qu'il a le droit. Si y'a word sur le DC, il pourra se servir de word et enregister dans ses dossiers etc... Par contre il ne pourra pas aller s'amuser a changer les mots de passe de ses petits copains ou aller fouiller ou il n'aurait pas eu le droit depuis sa station.

 
Tu leur a donné le droit de se connecter en TSE au moins a tes users dans leurs profils AD ?

 
Tu as la demande de login et ensuite seulement il te balance un message quand tu tente de te loguer ?

oui ds l'onglet du user (parametre Terminal services)
2003 est assez verrouillé ..en apparence !!

 
oui il me dit que la stratégie locale empéche ma connexion au serveur tse !!

Regarde du côté de cette page, elle regroupe les article sur TSE de 2003 :
http://support.microsoft.com/commo [...] &LCID=1036