Bonjour,
 
Je souhaite appliqué la GPO dans Composants Windows/Services Bureau à distance/Hôte de la session Bureau à distance/Sécurité
"Toujours demander le mot de passe à la connexion" sur Activé.
Pour que les utilisateurs ne puissent pas sauvegarder leur mot de passe quand ils se connectent à distance dessus.
Ca fonctionne bien mais ça me pose beaucoup de problème quand je peux me connecter pour intervenir car je ne peux pas sauvegarder les mots de passe aussi du coup...
 
Du coup je voudrais j'ai créer un nouveau objet GPO avec juste ce paramètre.
J'ai créé un nouveau filtre WMI, root\CIMv2 :
Select * FROM Win32_IP4RouteTable WHERE Destination != '191.168.1.211'
 
191.168.1.211 est mon IP.
 
En fait je veux que l'objet s'applique à tous les clients qui se connectent sauf moi.
J'ai mis ce filtre WMI sur l'objet GPO, mais ça fonctionne pas, l'objet s'applique dans tous les cas.
 
Je pense que le problème est le paramètre Destination qui correspond l'IP de l'hôte RDS mais quand je regarde la structure de Win32_IP4RouteTable je vois pas quel champ correspond à l'IP du client qui se connecte :
Name, NextHop ?
 
Est-ce que quelqu'un aurait une idée ?

Hum, ton paramètre de GPO n'empêchera pas les utilisateurs de stocker le mot de passe. C'est juste que ton serveur va juste toujours forcer l'affichage d'un prompt.
 
Si tu veux réellement interdire le stockage des mots de passe par tes clients (ce qui est plutôt une bonne idée du point de vue sécu) c'est ce paramètre qu'il faut appliquer, et ce sur les postes clients eux mêmes : https://docs.microsoft.com/fr-fr/wi [...] entication
 
Mais évidemment c'est plus contraignant pour tes utilisateurs à moins de leur mettre un KeePass ou autre à dispo.
 
J'ai pas non plus compris où se situe ton problème. Si tu es admin il faut encore moins que tu enregistres ton mot de passe quelque part.

En fait je veux juste que les utilisateurs soient obligés de resaisir leurs mots de passe. Par exemple s'ils sont à leur domicile et qu'ils prennent le contrôle de leur ordinateur qui reste allumé au bureau, si jamais leur enfant vient dessus, etc. Il y a une déconnexion automatique toutes les 15 minutes d'inactivité aussi et le mot de passe du VPN à saisir...
 
Mais le problème c'est que quand je dois intervenir sur leurs postes, je me connecte avec leurs identifiants et la GPO me force aussi resaisir le mot de passe à chaque fois alors que j'aimerai le sauvegarder pour les mettre dans un gestionnaire comme Royal TS.
Donc j'aimerai faire une exception pour moi à partir de mon adresse IP pour que l'hôte du bureau à distance n'oblige pas le mot de passe si c'est moi.
 
Je sais pas si c'est plus clair...

Déjà mon avis, c'est que tu ne devrais pas connaitre leurs mots de passe et encore moins les stocker (surtout que ces mots de passe doivent changer régulièrement), au minimum cela pose un problème d'éthique, au pire comment on sait que c'est pas toi qui a fait une connerie avec le compte de machin en cas de problème.
 
Lors d'une session d'aide tu ne fais pas d'assistance à distance ? C'est l'utilisateur qui devrait saisir son mdp à ce moment là lors de la session partagée.
 
Ensuite non un filtre WMI ne fonctionnera pas comme tu le souhaites. WMI opère sur les caractéristiques locales de la machine au moment où la GPO s'applique, pas sur celles d'un client potentiellement connecté à la machine ou pas à ce moment là. Une table de routage indique à la machine locale vers où envoyer ou ne pas envoyer ses paquets IP, tu ne peux pas l'utiliser pour "isoler" une IP particulière.
 
Plus généralement si tu veux filtrer un comportement depuis un PC ou un client particulier il faut que la GPO s'applique sur le PC ou le client spécifique et possède le filtre adéquat, pas sur la destination.

si tu veux pas que la gpo s'applique sur ton poste tu fais un deny sur le apply gpo plutôt que des filtres wmi dégueu