Forum Clubic

Forcer un ordi à se connecter sur active Directory sinon pas d'accès aux applica

Bonjour;
Comment forcer un ordinateur dans active directory à se connecter forcement avec le nom du domaine? sinon qu’il n’accède pas aux application de sa machine?

Tu peux donner des droits à ces applis uniquement aux membres du domaine.
Il y a sinon peut etre une GPO pour cela mais je ne suis pas assez calé en Windows pour t’aider.

Bonsoir,

Est-ce que tu pourrais décrire un peu plus en détail ce que tu souhaites obtenir?

Qu’est-ce qui doit fonctionner dans quel cas de figure, qu’est-ce qui ne le doit pas…

Je suppose que si tu as ce besoin c’est parce que tu as constaté quelque chose que tu veux éviter, de quoi s’agit il?

Il y a plein de chose que l’on peut faire mais certaines ne le peuvent que sous certaines conditions.
Donc plus tu pourra nous fournir d’informations* plus nous serons en mesure de t’aider à trouver la solution la plus adaptée.

N’hésite pas également à préciser les OS concerné de ton environnement (DC, postes de travail).

Je suppose qu’il s’agit avant tout de portable mais je peux me tromper.

Koin-Koin.

*sans pour autant nous dévoiler de détails qui relèvent de la confidentialité bien sur :ane:
Edité le 13/01/2010 à 14:05

bonjour;
Au faite, c’est pour avoir le contrôle des machines, la sécurité, éviter une personne hors de l’entreprise à pouvoir se connecter à la machine (cas d’un ordinateur portable) en déplacement. Donc je voudrais un système qui force tout utilisateur à passer obligatoirement par le contrôleur de domaine tournant sous windows server 2003. Je pense avoir été précis?
Merci

Je n’ai peut être pas compris exactement ce que tu veux faire; est-ce:
1 - empêcher des personnes ne faisant pas partie de l’entreprise d’utiliser des portables volés ou
2 - empêcher qu’un utilisateur légitime n’utilise son profil en local sans se connecter (VPN) au réseau de l’entreprise avant?

Exactement, je parle des deux. ( 1 et 2)

1 - empêcher des personnes ne faisant pas partie de l’entreprise d’utiliser des portables volés ou
2 - empêcher qu’un utilisateur légitime n’utilise son profil en local sans se connecter (VPN) au réseau de l’entreprise avant?

Pour le cas 1:

La sécurité va se situer à plusieurs niveau:

  • s’assurer que l’on en peux pas facilement utiliser des comptes locaux
  • changer le nom du compte administrateur local
  • utiliser un mot de passe complexe et faire le nécessaire pour que les utilisateurs ne le connaissent pas
  • s’assurer que les autres comptes n’aient que le niveau de droit minimum (entre autres les utilisateurs)
  • n’utiliser que des comptes de domaines (pour les utilisateurs et les comptes de services)
  • forcer la complexité des mots de passe (comptes locaux et domaines)

Bien évidemment cette liste n’est pas exhaustive mais c’est un bon début.

Pour le cas 2:

Je ne suis pas persuadé que cela soit réalisable nativement, maintenant je n’aurais pas la prétention de tout savoir de Windows.

Il faut bien garder à l’esprit que ce cas de figure cela veux dire qu’un utilisateur sans accès internet ne sera pas en mesure d’utiliser l’ordinateur du tout.
Je ne remet pas en cause ce genre de choix par contre il faut que ce soit une véritable politique d’entreprise parce que c’est le genre de chose assez difficile à faire accepter aux utilisateurs.

La solution se trouve peut-être au travers de ton client VPN qui permettrait d’empêcher une ouverture de session sans connexion.

Je vais essayer d’approfondir le sujet mais sans garantie de solution.

Je prend note pour les deux cas;
En tout cas merci beaucoup pour votre dévouement, je vous tiendrai informer par ce que j’adapterai comme solution.
Merci

De rien.

Merci à toi de suivre les réponses et de nous tenir au courant de tes résultats.

J’ai peut-être trouvé quelque chose qui pourrais correspondre à tes besoins.
interdire ouverture de session si domaine introuvable

Si l’on va plus loin ici, il est envisageable qu’en paramétrant à 0 le nombre de session utilisant le cache cela empêche toutes connexion avec un profil de domaine sans authentification avec un DC.

Il faudra bien évidemment tester tout ceci avant un éventuelle mise en fonction.

Si effectivement cela fonctionne de la manière voulue, je te conseille toutefois de restreindre ce réglage aux machines susceptible de se retrouver à l’extérieure de l’entreprise.

Bonjour Koin Koin ;
Intéressent ce lien. Et je suis tout à fait d’accord qu’en paramétrant à 0 le nombre de session utilisant le cache cela empêche toutes connexions avec un profil local ce qui m’intéresse. Mais là, vu le nombre de machine dans la parc, il va falloir faire un script qui va s’exécuter sur les ordinateurs afin de pouvoir changer automatiquement:

“Ouverture de session interactive : Nécessite l’authentification par le contrôleur de domaine pour le déverrouillage de la station de travail”

Trop cool. Ma réflexion s’oriente maintenant vers ce script qu’on va utiliser à partir du GPO.
Merci

Le but des GPO est justement de ne pas avoir à utiliser de script.

En créant une GPO incluant ce paramètre avec la valeur voulue, il te faudra l’appliquer sur une OU dans laquelle tu auras mis les comptes des machines ciblées.

Effectivement c’est une OU que je voulais dire. Ben bon je suis sur la recherche de ce fameux script .

Je pense que j’ai une solution. Depuis un contrôleur domaine, ouvrir la MMC “Paramètres de sécurité du domaine par défaut”
(dompol.msc), puis sélectionner dans stratégie locale, l’option de sécurité afin de changer “Ouverture de session interactive: nécessite l’authentification par le contrôleur de domaine pour le déverrouillage de la station de travail”.