Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3050 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Restriction Bureau à distance sur WS 2016 avec AD

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Restriction Bureau à distance sur WS 2016 avec AD

n°161101
junaco
Posté le 07-03-2019 à 14:34:56  profilanswer
 

Bonjour à tous,
J'ai un petit problème de sécurité en interne dans ma société, tout le monde peux se connecter via le bureau à distance sur le serveur AD avec ces identifiants de connexion AD classique alors que je n'ai de stipuler comme utilisateur uniquement "administrateur" dans les paramètres de bureau à distance sous WS 2016.
 
Je pense que ça viens de ma GPO ou j'ai ajouté mes utilisateurs dans "Groupe restreints" en tant que membre du Groupe "Administrateurs", sauf que cette option est voulu pour permettre à tout les utilisateurs d'être admin de leur pc en local.
 
J'aimerais donc savoir comme faire pour éviter que mes utilisateurs puissent avoir accès au serveur via leur propre identifiant ?
 
Merci d'avance pour votre retour.
 

mood
Publicité
Posté le 07-03-2019 à 14:34:56  profilanswer
 

n°161104
matsu92
Be Water My Friend
Posté le 07-03-2019 à 14:50:35  profilanswer
 

Ta GPO doit s'appliquer à l'OU des ordinateurs de tes utilisateurs.
Pas à l'OU où se trouve ton AD.
Es-tu sur que tu as bien segmenté ton arborescence d'OU dans ton AD en mettant d'un côté tes postes de travail et d'un autre tes serveurs?

n°161144
nebulios
Posté le 07-03-2019 à 21:06:36  profilanswer
 

Vu que visiblement tu as rendu tes utilisateurs admin du domaine c'est normal. Ou alors ton dc est aussi tse. Dans tous les cas tu fais n'importe quoi, et la taille de secu...c'est toi :/

n°161154
Je@nb
Modérateur
Kindly give dime
Posté le 07-03-2019 à 23:41:08  profilanswer
 

on me l'avait jamais faite celle là :D

n°161156
ShonGail
En phase de calmitude ...
Posté le 08-03-2019 à 01:06:53  profilanswer
 

Si tu veux que les utilisateurs soient admins de leurs PCs, tu définis sur chaque PC le compte AD de l'utilisateur dans le groupe des administrateurs locaux.
 
Avec ta GPO, chaque utilisateur peut être admin de n'importe quel PC, et visiblement mal appliquée, des DC aussi :/
 
Au passage, il n'est pas recommandé que les utilisateurs soient admins de leurs PCs.
Au final, ce n'est peut-être donc pas à faire du tout.
Il faut se poser la question du "faut-il vraiment qu'ils soient admins de leurs PCs".

n°161179
matsu92
Be Water My Friend
Posté le 08-03-2019 à 14:18:42  profilanswer
 

ShonGail a écrit :

Si tu veux que les utilisateurs soient admins de leurs PCs, tu définis sur chaque PC le compte AD de l'utilisateur dans le groupe des administrateurs locaux.
 
Avec ta GPO, chaque utilisateur peut être admin de n'importe quel PC, et visiblement mal appliquée, des DC aussi :/
 
Au passage, il n'est pas recommandé que les utilisateurs soient admins de leurs PCs.
Au final, ce n'est peut-être donc pas à faire du tout.
Il faut se poser la question du "faut-il vraiment qu'ils soient admins de leurs PCs".


 
La réponse à cette dernière question : créer un compte AD différent de celui de l'utilisateur et le rendre admin uniquement du poste en question.

n°161325
Micko77666
Posté le 12-03-2019 à 17:52:13  profilanswer
 


Déjà mettre tous les users admin de leur poste..... rien que cette idée est horrible

n°161358
junaco
Posté le 13-03-2019 à 15:45:22  profilanswer
 

matsu92 a écrit :

Ta GPO doit s'appliquer à l'OU des ordinateurs de tes utilisateurs.
Pas à l'OU où se trouve ton AD.
Es-tu sur que tu as bien segmenté ton arborescence d'OU dans ton AD en mettant d'un côté tes postes de travail et d'un autre tes serveurs?


 

Citation :

Si tu veux que les utilisateurs soient admins de leurs PCs, tu définis sur chaque PC le compte AD de l'utilisateur dans le groupe des administrateurs locaux.  
 
Avec ta GPO, chaque utilisateur peut être admin de n'importe quel PC, et visiblement mal appliquée, des DC aussi :/


 
Ah oui, effectivement, le serveur AD reçoit aussi cette propagation de GPO vu que mes OU sont basé sur des utilisateurs et non des ordinateurs, merci je vais tester ça tout de suite.
 

Citation :

Au passage, il n'est pas recommandé que les utilisateurs soient admins de leurs PCs.  
Au final, ce n'est peut-être donc pas à faire du tout.  
Il faut se poser la question du "faut-il vraiment qu'ils soient admins de leurs PCs".


 
J'aimerais bien, mais ma direction est assez laxiste et chacun utilise sont pc portable pro pour le perso donc dès que ça bloque, ça gueule ...  :sarcastic:  
 

Citation :

Déjà mettre tous les users admin de leur poste..... rien que cette idée est horrible


Je suis bien d'accord  :pfff:

n°161384
clockover
That's the life
Posté le 14-03-2019 à 05:11:48  profilanswer
 

Micko77666 a écrit :


Déjà mettre tous les users admin de leur poste..... rien que cette idée est horrible


C'est très contextuel après.

n°161387
Micko77666
Posté le 14-03-2019 à 07:46:07  profilanswer
 


Bas si c'est une petite boîte avec des mecs qui bossent que sur du bas niveau (électronicien par exemple) oui certain soft pour compiler exigent d'être admin (J'ai eu ça dans un BE dans mon ancienne boîte).
 
Mais souvent ça reste un service ou deux, pas toute une société. Souvent c'est plus un besoin d'élever ses droits pour installer un soft de temps en temps.

mood
Publicité
Posté le 14-03-2019 à 07:46:07  profilanswer
 

n°161388
skoizer
tripoux et tête de veau
Posté le 14-03-2019 à 08:29:52  profilanswer
 

junaco : tu peux leur expliqué que c'est pour la sécurité.
La sécurité .... c'est des contraintes. Les virus se propagent trés bien quand l'utilisateur est administrateur :)
J'avais trouvé des plaquettes sur les bonnes méthodes argumenté sur l'anssi "Agence nationale de la sécurité des systèmes d'information".
https://www.ssi.gouv.fr/
Si tu explique calmement, ton point de vue sera entendu.  
 
Car taper un utilisateur avec son clavier ... ça ne fonctionne pas ! ;)


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°161414
junaco
Posté le 14-03-2019 à 18:36:13  profilanswer
 

Micko77666 a écrit :


Bas si c'est une petite boîte avec des mecs qui bossent que sur du bas niveau (électronicien par exemple) oui certain soft pour compiler exigent d'être admin (J'ai eu ça dans un BE dans mon ancienne boîte).
 
Mais souvent ça reste un service ou deux, pas toute une société. Souvent c'est plus un besoin d'élever ses droits pour installer un soft de temps en temps.


 
J'ai aussi ça, mes collègues automaticien installent souvent des logiciels de programmation pour chaque nouvel automate à configurer, donc quand ils sont en déplacement, c'est compliqué de faire un "gpupdate /force" (si je les switch de groupe) quand il n'ont pas de connexion interne chez le client à l'international.
 

skoizer a écrit :

junaco : tu peux leur expliqué que c'est pour la sécurité.
La sécurité .... c'est des contraintes. Les virus se propagent trés bien quand l'utilisateur est administrateur :)
J'avais trouvé des plaquettes sur les bonnes méthodes argumenté sur l'anssi "Agence nationale de la sécurité des systèmes d'information".
https://www.ssi.gouv.fr/
Si tu explique calmement, ton point de vue sera entendu.  
 
Car taper un utilisateur avec son clavier ... ça ne fonctionne pas ! ;)


 
Merci pour le lien, je vais récupérer quelques bonne pratique à divulguer et à afficher surtout.


Message édité par junaco le 14-03-2019 à 18:38:11

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Restriction Bureau à distance sur WS 2016 avec AD

 

Sujets relatifs
Changement mdp sur X pc dans un AD pro ?..Migrer AD 2008 R2 vers 2016
Problème script Powershell pour ADSamba 4 et syncronisation AD
Sauvegarde sur un NAS a distance pour une TPEproblème AD exchange 10
[Exchange 2016] Reservation de salles et temps de préparation[WS2012/2016]Réplication DFS bloquée
Migration Office 365 username AD et email différents 
Plus de sujets relatifs à : Restriction Bureau à distance sur WS 2016 avec AD


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR