6 votes

Garrett avatar

Empêcher les comptes de service de se connecter localement ou à distance

Demandé el 19 de Août, 2009
Quand la question a-t-elle été
16661 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous avons une société qui fait du développement pour nous en interne et qui a accès à plusieurs comptes de service. La société fait tourner le personnel et, au lieu de demander des comptes, les développeurs utilisent des comptes de service pour se connecter aux serveurs.

Quel est le meilleur moyen de verrouiller la possibilité d'utiliser ce compte sans affecter l'objectif d'un compte de service ?

Pouvons-nous sans risque cocher la case "Refuser à cet utilisateur l'autorisation de se connecter à tout serveur terminal" dans AD sous Profil des services terminaux ?

Si nous créons une politique de domaine pour empêcher la connexion pour ce OU, est-ce que ce serait une meilleure solution ?

Demandé el 19 de Août, 2009 par Garrett

Réponses

Trop de publicités?

7voto

Maximus Minimus avatar
Maximus Minimus Points 8917

Vous pouvez créer des paramètres dans votre stratégie de groupe locale (gpedit.msc) pour y parvenir. Regardez sous Computer Config | Windows Settings | Security Settings | Local Policies | User Rights Assignment. Les paramètres spécifiques que vous voulez sont Refuser l'ouverture de session en tant que travail par lot, Refuser l'ouverture de session localement et Refuser l'ouverture de session via Terminal Services.

Vous pouvez également régler certains des autres paramètres ici, tels que Accéder à cet ordinateur depuis le réseau, pour le renforcer davantage.

Cela va sans dire, mais effectuez ces changements un par un, et testez le bon fonctionnement de votre service après chacun d'eux avant de passer au suivant.

Répondu el 19 de Août, 2009 par Maximus Minimus (8917 Points )

0voto

James Fillmore avatar
James Fillmore Points 1

En fait, il existe un moyen beaucoup plus simple. En utilisant Active Directory, vous pouvez spécifier les machines sur lesquelles un utilisateur peut se connecter. Si vous ne voulez pas qu'un utilisateur spécifique puisse se connecter à n'importe quelle machine, autorisez-le simplement à se connecter à une machine qui n'existe pas dans votre réseau.

Par exemple, si vos ordinateurs sont DT001, DT002 et DT003, il suffit d'autoriser l'utilisateur à se connecter uniquement à DT000.

Répondu el 8 de Septembre, 2017 par James Fillmore (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X