Restriction de connexions au domaine
Blocage de l’accès Administrateur du domaine sur PC01
Promouvoir MyAdmin au rang d’admin du domaine
Cliquer sur Admins (1)
Effectuer un clic-droit sur MyAdmin (2):
Cliquer sur “Ajouter à un groupe…”
Entrer “Admin” (1)
Cliquer sur “Vérifier les noms” (2):
Sélectionner “Admins du domaine” (1)
Presser “OK”:
Vérifier que le domaine à bien été trouvé, il sera souligné (1)
Cliquer sur “OK” (2):
Cliquer sur “OK” (1):
Effectuer un clic-droit sur “MyAdmin” (1)
Cliquer sur “Propriétés” (2):
Cliquer sur “Membre de” (1)
Cliquer sur “Admins du domaine” (2)
Cliquer sur “Définir le groupe principal” (3):
Cliquer sur “Utilisateurs du domaine” (1)
Cliquer sur “Supprimer” (2):
Cliquer sur “Oui” (1):
Cliquer sur “OK” pour valider:
Dans les étapes qui suivent, l’architecture des OU a été modifiée. ici
Mise en place de la restriction
Créer un nouvelle GPO en effectuant un clic-droit sur “Objets de stratégie de groupe” (1)
Cliquer sur “Nouveau” (2):
Entrer le nom de la nouvelle GPO, ici “Admins denied computer access”
Cliquer sur “OK” pour valider la création
Effectuer un clic-droit sur la GPO nouvellement créée (1)
Cliquer sur “Modifier” (2):
Cliquer sur “Configuration ordinateur” (1)
Cliquer sur “Statégies” (2)
Cliquer sur “Paramètres Windows” (3)
Cliquer sur “Paramètres de sécurité” (4)
Cliquer sur “Stratégies locales” (5)
Cliquer sur “Attribution des droits utilisateur” (5)
Double-Cliquer sur “Interdire l’accès à cette ordinateur à partir du réseau” (7):
Cocher “Définir ces paramètres de stratégie :” (1)
Cliquer sur “Ajouter un utilisateur ou un groupe…” (2):
Cliquer sur “Parcourir” (1) pour renseigner le groupe souhaité:
Entrer “Admins du domaine” (1)
Cliquer sur “OK” pour valider (2):
Cliquer sur “OK” pour valider (1):
Cliquer sur “Appliquer” (1)
Cliquer sur “OK” (2) pour valider la modification du paramètre:
Double-cliquer sur “Interdire l’ouverture d’une session locale” (1):
Cocher “Définir ces paramètres de stratégie :” (1)
Cliquer sur “Ajouter un utilisateur ou un groupe…” (2):
Cliquer sur “Parcourir” (1) pour renseigner le groupe souhaité:
Entrer “Admins du domaine” (1)
Cliquer sur “OK” pour valider (2):
Cliquer sur “OK” pour valider (1):
Cliquer sur “Appliquer” (1)
Cliquer sur “OK” (2) pour valider la modification du paramètre:
Double-cliquer sur “Interdire l’ouverture de session en tant que service” (1):
Cocher “Définir ces paramètres de stratégie :” (1)
Cliquer sur “Ajouter un utilisateur ou un groupe…” (2):
Cliquer sur “Parcourir” (1) pour renseigner le groupe souhaité:
Entrer “Admins du domaine” (1)
Cliquer sur “OK” pour valider (2):
Cliquer sur “OK” pour valider (1):
Cliquer sur “Appliquer” (1)
Cliquer sur “OK” (2) pour valider la modification du paramètre:
Double-cliquer sur “Interdire l’ouverture de session en tant que tâche” (1):
Cocher “Définir ces paramètres de stratégie :” (1)
Cliquer sur “Ajouter un utilisateur ou un groupe…” (2):
Cliquer sur “Parcourir” (1) pour renseigner le groupe souhaité:
Entrer “Admins du domaine” (1)
Cliquer sur “OK” pour valider (2):
Cliquer sur “OK” pour valider (1):
Cliquer sur “Appliquer” (1)
Cliquer sur “OK” (2) pour valider la modification du paramètre:
Les services de Bureau à distance ne sont pas actifs sur l’Active directory actuel, mais il est préférable de quand même vérouiller cette possibilité par anticipation, pour éviter qu’un Admins du domaine ne l’utilise pour se connecter à PC01.
Double-Cliquer sur “Interdire l’ouverture de session par les services Bureau à distance” (7):
Cocher “Définir ces paramètres de stratégie :” (1)
Cliquer sur “Ajouter un utilisateur ou un groupe…” (2):
Cliquer sur “Parcourir” (1) pour renseigner le groupe souhaité:
Entrer “Admins du domaine” (1)
Cliquer sur “OK” pour valider (2):
Cliquer sur “OK” pour valider (1):
Cliquer sur “Appliquer” (1)
Cliquer sur “OK” (2) pour valider la modification du paramètre:
Effectuer un clic-droit sur “Utilisateurs” (1)
Sélectionner “Lier un objet de stratégie de groupe existant…” (2):
Sélectionner la GPO précédemment créée, “Admins denied computer access” (1)
Cliquer sur “OK” pour valider la modification (2):
Tests de la restriction de connexion locale
Démarrer ou Redémarrer une machine du domaine sur laquelle la GPO précédemment créée s’applique, ici PC01.
Identifier un compte Admins du domaine, ici MyAdmin.
Un message d’erreur apparaît indiquant que l’utilisateur n’est pas autorisé sur cette machine:
Tests de la restriction de connexion à partir du réseau
Démarrer ou Redémarrer une machine du domaine sur laquelle la GPO précédemment créée ne s’applique pas, ici ADM01.
Identifier un compte Admins du domaine, ici MyAdmin (1).
Entrer “cmd” dans la barre de recherche Windows (1)
Cliquer sur “Invite de commandes” (2)
Cliquer sur “Exécuter en tant qu’administrateur” (3):
Cliquer sur “OK” pour confirmer l’ouverture avec les droits administrateur (1):
Entrer dans l’Invite de commandes “\\PC01\c” (1) pour vous connecter à PC01 via le réseau
Un message apparaît indiquant que l’utilisateur (MyAdmin) ne bénéficie pas du type d’ouverture de session demandé sur cet ordinateur (PC01) (2):
Blocage de l’accès Utilisateur du domaine sur ADM01
Créer un nouvelle GPO en effectuant un clic-droit sur “Objets de stratégie de groupe” (1)
Cliquer sur “Nouveau” (2):
Entrer le nom de la nouvelle GPO, ici “Users denied computer access” (1)
Cliquer sur “OK” (2) pour valider la création:
Effectuer un clic-droit sur la GPO nouvellement créée (1)
Cliquer sur “Modifier” (2):
Cliquer sur “Configuration ordinateur” (1)
Cliquer sur “Statégies” (2)
Cliquer sur “Paramètres Windows” (3)
Cliquer sur “Paramètres de sécurité” (4)
Cliquer sur “Stratégies locales” (5)
Cliquer sur “Attribution des droits utilisateur” (5)
Double-Cliquer sur “Interdire l’accès à cette ordinateur à partir du réseau” (7):
Cocher “Définir ces paramètres de stratégie :” (1)
Cliquer sur “Ajouter un utilisateur ou un groupe…” (2):
Cliquer sur “Parcourir” (1) pour renseigner le groupe souhaité:
Entrer “Utilisateurs du domaine” (1)
Cliquer sur “OK” pour valider (2):
Cliquer sur “OK” pour valider (1):
Cliquer sur “Appliquer” (1)
Cliquer sur “OK” (2) pour valider la modification du paramètre:
Double-cliquer sur “Interdire l’ouverture d’une session locale” (1):
Cocher “Définir ces paramètres de stratégie :” (1)
Cliquer sur “Ajouter un utilisateur ou un groupe…” (2):
Cliquer sur “Parcourir” (1) pour renseigner le groupe souhaité:
Entrer “Utilisateurs du domaine” (1)
Cliquer sur “OK” pour valider (2):
Cliquer sur “OK” pour valider (1):
Cliquer sur “Appliquer” (1)
Cliquer sur “OK” (2) pour valider la modification du paramètre:
Double-cliquer sur “Interdire l’ouverture de session en tant que service” (1):
Cocher “Définir ces paramètres de stratégie :” (1)
Cliquer sur “Ajouter un utilisateur ou un groupe…” (2):
Cliquer sur “Parcourir” (1) pour renseigner le groupe souhaité:
Entrer “Utilisateurs du domaine” (1)
Cliquer sur “OK” pour valider (2):
Cliquer sur “OK” pour valider (1):
Cliquer sur “Appliquer” (1)
Cliquer sur “OK” (2) pour valider la modification du paramètre:
Double-cliquer sur “Interdire l’ouverture de session en tant que tâche” (1):
Cocher “Définir ces paramètres de stratégie :” (1)
Cliquer sur “Ajouter un utilisateur ou un groupe…” (2):
Cliquer sur “Parcourir” (1) pour renseigner le groupe souhaité:
Entrer “Utilisateurs du domaine” (1)
Cliquer sur “OK” pour valider (2):
Cliquer sur “OK” pour valider (1):
Cliquer sur “Appliquer” (1)
Cliquer sur “OK” (2) pour valider la modification du paramètre:
Les services de Bureau à distance ne sont pas actifs sur l’Active directory actuel, mais il est préférable de quand même vérouiller cette possibilité par anticipation, pour éviter qu’un Utilisateurs du domaine ne l’utilise pour se connecter à ADM01.
Double-Cliquer sur “Interdire l’ouverture de session par les services Bureau à distance” (7):
Cocher “Définir ces paramètres de stratégie :” (1)
Cliquer sur “Ajouter un utilisateur ou un groupe…” (2):
Cliquer sur “Parcourir” (1) pour renseigner le groupe souhaité:
Entrer “Utilisateurs du domaine” (1)
Cliquer sur “OK” pour valider (2):
Cliquer sur “OK” pour valider (1):
Cliquer sur “Appliquer” (1)
Cliquer sur “OK” (2) pour valider la modification du paramètre:
Effectuer un clic-droit sur “Administrateurs” (1)
Sélectionner “Lier un objet de stratégie de groupe existant…” (2):
Sélectionner la GPO précédemment créée, “Users denied computer access” (1)
Cliquer sur “OK” pour valider la modification (2):
Tests de la restriction de connexion locale
Démarrer ou Redémarrer une machine du domaine sur laquelle la GPO précédemment créée s’applique, ici ADM01.
Identifier un compte Utilisateurs du domaine, ici Hugo (1).
Un message d’erreur apparaît indiquant que l’utilisateur n’est pas autorisé sur cette machine:
