6 votes

opticyclic avatar

Vérifier si un compte de service dispose de privilèges de connexion interactifs

Demandé el 20 de Avril, 2016
Quand la question a-t-elle été
22760 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je veux passer en revue tous les comptes de service de mon domaine et m'assurer que les gens ne peuvent pas se connecter au serveur en utilisant ce compte.

Comment puis-je vérifier si un compte de service dispose de privilèges de connexion interactive et/ou de droits de connexion à distance ?

Il ne s'agit pas de comptes de service gérés car ils sont utilisés comme comptes de service sur plusieurs serveurs.

J'ai essayé gpresult /s myservername /user myusername /h gpreport.html mais je ne comprends pas vraiment le rapport.

Il y avait une section avec :

Security Group Membership when Group Policy was applied

MYDOMAIN\Domain Users
Everyone
BUILTIN\Users
BUILTIN\Administrators
NT AUTHORITY\REMOTE INTERACTIVE LOGON
NT AUTHORITY\INTERACTIVE

Ces deux derniers éléments permettent-ils à l'utilisateur de se connecter au serveur ?

Ou existe-t-il une stratégie de groupe que je peux vérifier et rechercher à l'aide de la ligne de commande ?

Demandé el 20 de Avril, 2016 par opticyclic

Réponse

Trop de publicités?

3voto

HopelessN00b avatar
HopelessN00b Points 53075

Cela ne dépend pas du compte d'utilisateur, mais de la configuration de l'ordinateur ET du ou des comptes d'utilisateur.

Le moyen le plus simple de refuser aux comptes de service les privilèges de connexion interactive est d'utiliser un GPO.

Ouvrez le gestionnaire de stratégie de groupe et allez dans Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment .

Ajoutez vos comptes de service (ou, si vous l'avez prévu, un groupe de sécurité contenant vos comptes de service) à l'onglet Deny log on locally y Deny log on through Terminal Services (ou Deny Log on through Remote Desktop Services selon la version de Windows).

Appliquez cette GPO aux ordinateurs sur lesquels vous souhaitez qu'elle s'applique, et le tour est joué. (Les GPOs sont toujours assez pénibles à gérer par l'intermédiaire d'un CLI, je ne conseillerais donc pas cette approche, mais si vous êtes décidé à procéder de cette manière, c'est ce qu'il faut chercher, et où).

Répondu el 21 de Avril, 2016 par HopelessN00b (53075 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X