Discussion :

[ced600]

Bonjour,

Je souhaiterais que tous les utilisateurs d'une UO précise ne puisse se connecter qu'à une seule machine du réseau.
Je souhaiterais configurer cela via GPO appliqué à l'UO.

Pensez vous que c'est possible ?
Comment puis je créer une tel GPO ? Sur quel modèle me baser ?

Pour l'instant je n'ai pas encore les droits de modifier les UO (en cours d'application) donc je ne peux pas définir une nouvelle GPO pour une UO précise. J'ai donc essayer de définir une GPO en statégie locale pour voir comment réaliser la GPO que je désire. Mais je n'arrive pas à trouver le modèle adéquat et je ne sais pas trop si j'aurais les mêmes possibilités en le faisant directement sur l'UO de l'AD.
Auriez vous des conseil pour créer localement la GPO et que je puisse la tester tant que je n'ai pas les droits de modifier les UO sur l'AD ?

Merci par avance pour votre aide.

Cédric.

[neuneu1]

Bonjour,
Pourquoi tu te montes pas une Vm en serveur et un client , au moins tu retrouve le meme type d environement.

a+

[ced600]

Merci pour ta réponse.
Entre temps j'ai eu les droits de modifier les UO.

J'ai trouvé une GPO simple qui interdis l'ouverture d'une session sur un pc, mais comme elle est appliqué à une UO tous les ordinateurs de cette UO seront affecté par la régle.
Comme mon but est d'appliquer cette interdiction aux utilisateurs d'une UO fille mais pour tous les PC des UOs de notre forêt, je vais mettre ces utilisateurs dans un groupe, et appliquer la GPO à l'UO de premier niveau de la forêt avec un filtre sur le groupe.

[neuneu1]

re,
il me semble que tu peux, dans la console AD, connecter un user a un pc'se connecter a'.
je ne peux verifier car pas de domaine chez moi.

a+

[ced600]

Tout à fais, c'est la première solution choisis pour les tests.
Le problème de cette solution est que si tu sors l'utilisateur de l'UO où ce type d'utilisateur est regroupé et que tu le met dans une UO "moins restrictive", l'admin AD doit penser à remettre à se connecter à tous les utilisateurs.

Afin d'éviter tout oublis et une surcharge de travail par accumulation de tache à l'admin AD qui n'est pas qu'Admin AD, nous souhaitons dans mon entreprise rendre transparent cette modification de droit en l'applicant à une UO.
Bien qu'en écrivant ceci, je suis entrain de me dire que de toutes manières l'admin sera obligé d'enlever du groupe le user pour que la stratégie ne soit plus appliqué

Bref j'ai l'impression que pour faire ce que nous souhaitons faire, il faut une stratégie sur l'utilisateur pour interdire l'ouverture d'une session, mais je ne vois ce genre de stratégie que sur l'ordinateur après une après midi de recherche sur google et sur les consoles mmc.

Sinon va falloir que je fasse cela par script à l'ouverture de session pour provoquer un logoff si l'utilisateur ne fait pas partis du bon groupe.
Mais c'est moyen car il y a des possibilités de contournement de la stratégie car la session sera ouverte le temps d'exécution du script, ce qui peut être suffisement long pour le script.

Bref pas terrible tout cela.

Sinon mettre en place le paramétrage du compte et faire un script qui fasse la migration de l'OU en question vers une autre OU en modifiant le paramètre du user ?
Hum ... Peut être une solution.

[neuneu1]

re,
et un script au loggon du pc et non du user qui listerais les user d une uo autorisé a se connecter.

ca peut etre une solution aussi.
a+

[suchiwa]

Merci pour ta réponse.
Entre temps j'ai eu les droits de modifier les UO.

J'ai trouvé une GPO simple qui interdis l'ouverture d'une session sur un pc, mais comme elle est appliqué à une UO tous les ordinateurs de cette UO seront affecté par la régle.
Comme mon but est d'appliquer cette interdiction aux utilisateurs d'une UO fille mais pour tous les PC des UOs de notre forêt, je vais mettre ces utilisateurs dans un groupe, et appliquer la GPO à l'UO de premier niveau de la forêt avec un filtre sur le groupe.

Bonjour,

Sous Windows 2008 R2, les filtres wmi permettent d'affiner l'application de la GPO...

Vincent

[ced600]

Merci.

Piste à appronfondir de mon coté.