Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Shop Recherche
828 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  Windows 2012; accès administrateur restreint

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Windows 2012; accès administrateur restreint

n°136899
jujudu44
Prophète du CAC
Posté le 12-01-2016 à 13:51:20  profilanswer
 

Bonjour
 
Je voudrais savoir s'il est possible (notamment via GPO) de pouvoir restreindre l'accès aux comptes administrateurs (domaine et/ou local) à certaines machines ou groupes de machines bien identifiées.
 
L'idée est que seules des stations bien identifiées puissent se loguer en tant qu'admin sur un serveur. Les autres sont refusées.
 
J'imagine que cela est possible mais je voudrais avoir confirmation et surtout comment (via une OU, via les noms DNS des machines, etc)
 
Merci d'avance


---------------
Jujudu44
mood
Publicité
Posté le 12-01-2016 à 13:51:20  profilanswer
 

n°136908
Je@nb
Modérateur
Kindly give dime
Posté le 12-01-2016 à 15:08:05  profilanswer
 

Mise à part mettre de l'ipsec et des règles de fw qui vont bien j'ai pas d'autres idées

n°136918
snipereyes
Posté le 12-01-2016 à 18:00:09  profilanswer
 

salut,

 

une gpo appliquée sur un groupe d'ordi

Message cité 1 fois
Message édité par snipereyes le 12-01-2016 à 18:00:26
n°136919
Je@nb
Modérateur
Kindly give dime
Posté le 12-01-2016 à 18:15:11  profilanswer
 

va y explicite

n°136936
exmachina
Posté le 12-01-2016 à 22:23:35  profilanswer
 

+1 pour le firewall.

n°136942
splinter_f​ive0
Posté le 13-01-2016 à 08:47:46  profilanswer
 

snipereyes a écrit :

salut,
 
une gpo appliquée sur un groupe d'ordi


 
tu peux nous en dire plus ?  
 

n°136947
jujudu44
Prophète du CAC
Posté le 13-01-2016 à 14:27:36  profilanswer
 

Par rapport au FW je suis pas certain que ce soit la solution.

 

L'idée est de distinguer les acces user et les accès admin.

 

Un utilisateur doit pouvoir accéder au serveur. Un admin aussi, mais uniquement depuis des machines identifiées et connues.

 

A moins qu'on puisse lier les règles du FW Windows à des objets et des comptes de l'AD...?

 

PS : pour la GPO merci de préciser effectivement...

 

PS2 : si c'est pas possible comme imaginé est ce que l'on peut faire la chose suivante : 2 NIC sur le serveur. 1 NIC "tout ouvert"; 1 NIC restreinte aux seules possibilités d'identification d'un compte admin? Ca peut se gérer au niveau de la config du serveur?


Message édité par jujudu44 le 13-01-2016 à 14:30:10

---------------
Jujudu44
n°136949
Je@nb
Modérateur
Kindly give dime
Posté le 13-01-2016 à 15:06:36  profilanswer
 

je vois que l'utilisation d'ipsec et du firewall qui autorise les connexion sécurisées en ayant comme authentification le token kerberos soit de la machine soit de l'utilisateur (enfin l'admin)

n°136953
jujudu44
Prophète du CAC
Posté le 13-01-2016 à 16:13:43  profilanswer
 

Tu peux me préciser un peu stp; je suis pas un pro des serveurs Windows.
 
L'idée c'est que si qlq'un veut se connecter en mode admin, alors ça ne peut être que depuis une machine (ou groupe de machine) bien identifiée. Par contre cela ne doit pas empecher un utilisateur lambda de pouvoir y accéder.
 
Merci


---------------
Jujudu44
n°136954
Je@nb
Modérateur
Kindly give dime
Posté le 13-01-2016 à 18:37:51  profilanswer
 

un user y accède comment ?
un admin y accède comment ?

mood
Publicité
Posté le 13-01-2016 à 18:37:51  profilanswer
 

n°136963
snipereyes
Posté le 14-01-2016 à 07:35:45  profilanswer
 

ce que je ne comprend pas c'est comment un user choisi d'etre en admin ou non ?

n°136964
splinter_f​ive0
Posté le 14-01-2016 à 08:21:45  profilanswer
 

Et pourquoi ne pas simplement restreindre le bureau a distance de ton serveur aux seuls admins  ?
 
tu peux faire ça via le gestionnaire de serveur > onglet serveur local > menu bureau à distance > box clickable "selectionner des utilisateurs" .  
 
Parce que la à mon avis t'es en train de te prendre la tête pour pas grand chose, et de vouloir mettre en place une solution qui de toute évidence dépasse tes compétences ( c'est pas un reproche c'st un constat  ;) )

n°136977
snipereyes
Posté le 14-01-2016 à 17:36:11  profilanswer
 

splinter_five0 a écrit :

Et pourquoi ne pas simplement restreindre le bureau a distance de ton serveur aux seuls admins  ?

 

tu peux faire ça via le gestionnaire de serveur > onglet serveur local > menu bureau à distance > box clickable "selectionner des utilisateurs" .

 

Parce que la à mon avis t'es en train de te prendre la tête pour pas grand chose, et de vouloir mettre en place une solution qui de toute évidence dépasse tes compétences ( c'est pas un reproche c'st un constat  ;) )

 

pour le coup c'est typiquement a ca que je pensais

n°136992
jujudu44
Prophète du CAC
Posté le 15-01-2016 à 10:41:00  profilanswer
 

splinter_five0 a écrit :

Et pourquoi ne pas simplement restreindre le bureau a distance de ton serveur aux seuls admins  ?
 
tu peux faire ça via le gestionnaire de serveur > onglet serveur local > menu bureau à distance > box clickable "selectionner des utilisateurs" .  
 
Parce que la à mon avis t'es en train de te prendre la tête pour pas grand chose, et de vouloir mettre en place une solution qui de toute évidence dépasse tes compétences ( c'est pas un reproche c'st un constat  ;) )


 
Mon idée c'est de voir si on peut faire un réseau de management OOB.
 
Ca change rien de restreindre l'accès distant RDP aux seuls admins. N'importe qui peut ouvrir une session RDP sur le serveur et tenter une attaque brute force...


---------------
Jujudu44

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  Windows 2012; accès administrateur restreint

 

Sujets relatifs
Sécuriser un accès LAN ? . ( Voir schéma )Nas à accès limité, j'y pige rien !
Problèmes avec le Planificateur de taches de Windows 2008 R2Installer une app Windows Store sous W10 en entreprise.
RSAT Windows 10 et TS profile pathProbleme de connexion du windows avec serveur d'application
Plus d'antivirus sous Windows 10 ?GLPI 0.85 et l'accès pour utilisateur site distant
Migration Domaine 2008 vers 2012 R2 + exchange 2010[RESOLU] mettre un groupe administrateur de plusieurs domaines
Plus de sujets relatifs à : Windows 2012; accès administrateur restreint


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR