Bonjour à tous,


Je me pose une petite question sur les " meilleures pratiques " à implémenter lorsqu'on fait de la gestion des droits d'accès. Le problème est le suivant :


J'ai actuellement une OU / services dans mon annuaire LDAP. Chaque OU contient l'ensemble de postes de travail du service en question.

En parallèle, un groupe " utilisateurs_[nom du service] " est automatiquement poussé via GPO dans le groupe " utilisateurs " local des postes.

J'aimerais limiter les personnes du service x à se connecter sur les ressources présentes dans l'OU x. Le problème, c'est que le groupe " utilisateurs du domaine " est automatiquement ajouté dans le groupe local " utilisateurs ", ce qui permet à n'importe quel compte de se connecter sur une ressource d'un domaine.

Etant donné que ce groupe est automatiquement ajouté, je ne peux pas créer une GPO supplémentaire pour l'enlever. Et je souhaite, bien sur, une gestion simple et automatique des droits.


La question est donc la suivante : comment limiter l'accès aux postes des seules personnes qui sont autorisées à se connecter dessus, automatiquement (via GPO, pas de gestion local des droits). Est-il possible / conseillé de supprimer le groupe " utilisateurs du domaine " du groupe " utilisateurs " de chaque poste ?


PS : Je ne suis pas certain d'avoir la bonne approche, je me laisse donc guider

Bonjour,

je ne suis pas sûr d'avoir tout compris...

N'importe quel utilisateur d'un domaine peut se connecter sur n'importe quel poste du domaine, c'est le comportement par défaut. Quel serait l'utilité recherchée de bloquer l'accès de certains utilisateurs a certains postes ?

Si après c'est un(e) service/application du domaine dans ce cas là n'autorise pas tous les utilisateurs du domaine a se connecter à ce service ?

-
Edité par 1nsan3 24 juillet 2022 à 17:01:24

Désolé de ne pas être très clair.

J'ai bien conscience qu'il s'agit du comportement par défaut d'Active Directory.

Pour faire simple, j'aurais souhaité limiter la possibilité de connexion des utilisateurs aux seules ressources de leur service.

Donc : Membre du service RH > uniquement sur le poste du service RH.

Est-ce possible ? Ou est-ce que je fais fausse route et qu'il n'est pas possible de limiter des ouvertures de session d'un compte standard AD ?

Salut,

Voici un lien en anglais qui résume les deux possibilités :

https://social.technet.microsoft.com/Forums/Lync/en-US/998cca5b-544f-4e3e-b800-4090f7253800/how-to-restrict-a-computer-to-specific-user-login-?forum=winserverDS#:~:text=Open%20the%20user's%20account%20Properties,user%20to%2C%20and%20click%20Add.

Cependant :

Cas 1 : fastidieux a mettre en place et maintenir, et empêchera uniquement la première connexion, si un utilisateur s'est déjà connecté il ne pourra pas se log via le réseau mais en hors ligne oui.

Cas 2 : faut être sur que les gpos soient correctement répliqués.

J'espère qu'aucun de tes utilisateurs n'est administrateur de son poste (sinon ils peuvent très bien se créer des comptes locaux.)

Si aucun utilisateur n'est administrateur de son poste, a moins d'avoir un utilisateur avancé qui trouve une faille type EoP(Elevation of Privilege), l'intérêt reste limité (mais restreindre les accès est une très bonne pratique ZT(NA)=Zero Trust(Network Accès)), mais si jamais tu as un poste qui tombe en panne la personne ne pourra pas utiliser un poste aléatoire sans intervention de l'équipe support sur l'AD.

Mais bon, tu  éviteras jamais le cas du post-it sur l'écran avec les identifiants (ou écrit dans un carnet dans le premier tiroir du bureau)

-
Edité par 1nsan3 4 août 2022 à 17:47:42