Autoriser acces à un seul PC pour une UO [Résolu]

ced600 · 31/03/2011, 16h17

Bonjour,

Je souhaiterais que tous les utilisateurs d'une UO précise ne puisse se connecter qu'à une seule machine du réseau.
Je souhaiterais configurer cela via GPO appliqué à l'UO.

Pensez vous que c'est possible ?
Comment puis je créer une tel GPO ? Sur quel modèle me baser ?

Pour l'instant je n'ai pas encore les droits de modifier les UO (en cours d'application) donc je ne peux pas définir une nouvelle GPO pour une UO précise. J'ai donc essayer de définir une GPO en statégie locale pour voir comment réaliser la GPO que je désire. Mais je n'arrive pas à trouver le modèle adéquat et je ne sais pas trop si j'aurais les mêmes possibilités en le faisant directement sur l'UO de l'AD.
Auriez vous des conseil pour créer localement la GPO et que je puisse la tester tant que je n'ai pas les droits de modifier les UO sur l'AD ?

Merci par avance pour votre aide.

Cédric.

neuneu1 · 02/04/2011, 15h19

Bonjour,
Pourquoi tu te montes pas une Vm en serveur et un client , au moins tu retrouve le meme type d environement.

a+

ced600 · 04/04/2011, 14h11

Merci pour ta réponse.
Entre temps j'ai eu les droits de modifier les UO.

J'ai trouvé une GPO simple qui interdis l'ouverture d'une session sur un pc, mais comme elle est appliqué à une UO tous les ordinateurs de cette UO seront affecté par la régle.
Comme mon but est d'appliquer cette interdiction aux utilisateurs d'une UO fille mais pour tous les PC des UOs de notre forêt, je vais mettre ces utilisateurs dans un groupe, et appliquer la GPO à l'UO de premier niveau de la forêt avec un filtre sur le groupe.

neuneu1 · 04/04/2011, 15h44

re,
il me semble que tu peux, dans la console AD, connecter un user a un pc'se connecter a'.
je ne peux verifier car pas de domaine chez moi.

a+

ced600 · 04/04/2011, 17h41

Tout à fais, c'est la première solution choisis pour les tests.
Le problème de cette solution est que si tu sors l'utilisateur de l'UO où ce type d'utilisateur est regroupé et que tu le met dans une UO "moins restrictive", l'admin AD doit penser à remettre à se connecter à tous les utilisateurs.

Afin d'éviter tout oublis et une surcharge de travail par accumulation de tache à l'admin AD qui n'est pas qu'Admin AD, nous souhaitons dans mon entreprise rendre transparent cette modification de droit en l'applicant à une UO.
Bien qu'en écrivant ceci, je suis entrain de me dire que de toutes manières l'admin sera obligé d'enlever du groupe le user pour que la stratégie ne soit plus appliqué

Bref j'ai l'impression que pour faire ce que nous souhaitons faire, il faut une stratégie sur l'utilisateur pour interdire l'ouverture d'une session, mais je ne vois ce genre de stratégie que sur l'ordinateur après une après midi de recherche sur google et sur les consoles mmc.

Sinon va falloir que je fasse cela par script à l'ouverture de session pour provoquer un logoff si l'utilisateur ne fait pas partis du bon groupe.
Mais c'est moyen car il y a des possibilités de contournement de la stratégie car la session sera ouverte le temps d'exécution du script, ce qui peut être suffisement long pour

le script.

Bref pas terrible tout cela.

Sinon mettre en place le paramétrage du compte et faire un script qui fasse la migration de l'OU en question vers une autre OU en modifiant le paramètre du user ?
Hum ... Peut être une solution.

neuneu1 · 04/04/2011, 17h47

re,
et un script au loggon du pc et non du user qui listerais les user d une uo autorisé a se connecter.

ca peut etre une solution aussi.
a+

suchiwa · 04/04/2011, 17h48

Citation:

Envoyé par ced600

Merci pour ta réponse.
Entre temps j'ai eu les droits de modifier les UO.

J'ai trouvé une GPO simple qui interdis l'ouverture d'une session sur un pc, mais comme elle est appliqué à une UO tous les ordinateurs de cette UO seront affecté par la régle.
Comme mon but est d'appliquer cette interdiction aux utilisateurs d'une UO fille mais pour tous les PC des UOs de notre forêt, je vais mettre ces utilisateurs dans un groupe, et appliquer la GPO à l'UO de premier niveau de la forêt avec un filtre sur le groupe.

Bonjour,

Sous Windows 2008 R2, les filtres wmi permettent d'affiner l'application de la GPO...

Vincent

ced600 · 04/04/2011, 18h15

Merci.

Piste à appronfondir de mon coté.

31/03/2011, 16h17	#1
ced600 Expert Confirmé Sénior Cédric Développeur .NET Inscription : août 2006 Messages : 3 364 Détails du profil Informations personnelles : Nom : Cédric Âge : 30 Localisation : France Informations professionnelles : Activité : Développeur .NET Informations forums : Inscription : août 2006 Messages : 3 364 Points : 4 033 Points : 4 033	Autoriser acces à un seul PC pour une UO Bonjour, Je souhaiterais que tous les utilisateurs d'une UO précise ne puisse se connecter qu'à une seule machine du réseau. Je souhaiterais configurer cela via GPO appliqué à l'UO. Pensez vous que c'est possible ? Comment puis je créer une tel GPO ? Sur quel modèle me baser ? Pour l'instant je n'ai pas encore les droits de modifier les UO (en cours d'application) donc je ne peux pas définir une nouvelle GPO pour une UO précise. J'ai donc essayer de définir une GPO en statégie locale pour voir comment réaliser la GPO que je désire. Mais je n'arrive pas à trouver le modèle adéquat et je ne sais pas trop si j'aurais les mêmes possibilités en le faisant directement sur l'UO de l'AD. Auriez vous des conseil pour créer localement la GPO et que je puisse la tester tant que je n'ai pas les droits de modifier les UO sur l'AD ? Merci par avance pour votre aide. Cédric. __________________ Pourquoi faire compliqué lorsque l'on peut faire encore plus compliqué.
	00

02/04/2011, 15h19	#2
neuneu1 Membre émérite Inscription : avril 2007 Messages : 1 702 Détails du profil Informations personnelles : Localisation : France Informations forums : Inscription : avril 2007 Messages : 1 702 Points : 813 Points : 813	Bonjour, Pourquoi tu te montes pas une Vm en serveur et un client , au moins tu retrouve le meme type d environement. a+ __________________ Une porte peut -etre ouverte ou....rouge!!!!:mouarf http://orabache.developpez.com/
	00

04/04/2011, 14h11	#3
ced600 Expert Confirmé Sénior Cédric Développeur .NET Inscription : août 2006 Messages : 3 364 Détails du profil Informations personnelles : Nom : Cédric Âge : 30 Localisation : France Informations professionnelles : Activité : Développeur .NET Informations forums : Inscription : août 2006 Messages : 3 364 Points : 4 033 Points : 4 033	Merci pour ta réponse. Entre temps j'ai eu les droits de modifier les UO. J'ai trouvé une GPO simple qui interdis l'ouverture d'une session sur un pc, mais comme elle est appliqué à une UO tous les ordinateurs de cette UO seront affecté par la régle. Comme mon but est d'appliquer cette interdiction aux utilisateurs d'une UO fille mais pour tous les PC des UOs de notre forêt, je vais mettre ces utilisateurs dans un groupe, et appliquer la GPO à l'UO de premier niveau de la forêt avec un filtre sur le groupe. __________________ Pourquoi faire compliqué lorsque l'on peut faire encore plus compliqué.
	00

04/04/2011, 15h44	#4
neuneu1 Membre émérite Inscription : avril 2007 Messages : 1 702 Détails du profil Informations personnelles : Localisation : France Informations forums : Inscription : avril 2007 Messages : 1 702 Points : 813 Points : 813	re, il me semble que tu peux, dans la console AD, connecter un user a un pc'se connecter a'. je ne peux verifier car pas de domaine chez moi. a+ __________________ Une porte peut -etre ouverte ou....rouge!!!!:mouarf http://orabache.developpez.com/
	00

04/04/2011, 17h41	#5
ced600 Expert Confirmé Sénior Cédric Développeur .NET Inscription : août 2006 Messages : 3 364 Détails du profil Informations personnelles : Nom : Cédric Âge : 30 Localisation : France Informations professionnelles : Activité : Développeur .NET Informations forums : Inscription : août 2006 Messages : 3 364 Points : 4 033 Points : 4 033	Tout à fais, c'est la première solution choisis pour les tests. Le problème de cette solution est que si tu sors l'utilisateur de l'UO où ce type d'utilisateur est regroupé et que tu le met dans une UO "moins restrictive", l'admin AD doit penser à remettre à se connecter à tous les utilisateurs. Afin d'éviter tout oublis et une surcharge de travail par accumulation de tache à l'admin AD qui n'est pas qu'Admin AD, nous souhaitons dans mon entreprise rendre transparent cette modification de droit en l'applicant à une UO. Bien qu'en écrivant ceci, je suis entrain de me dire que de toutes manières l'admin sera obligé d'enlever du groupe le user pour que la stratégie ne soit plus appliqué Bref j'ai l'impression que pour faire ce que nous souhaitons faire, il faut une stratégie sur l'utilisateur pour interdire l'ouverture d'une session, mais je ne vois ce genre de stratégie que sur l'ordinateur après une après midi de recherche sur google et sur les consoles mmc. Sinon va falloir que je fasse cela par script à l'ouverture de session pour provoquer un logoff si l'utilisateur ne fait pas partis du bon groupe. Mais c'est moyen car il y a des possibilités de contournement de la stratégie car la session sera ouverte le temps d'exécution du script, ce qui peut être suffisement long pour le script. Bref pas terrible tout cela. Sinon mettre en place le paramétrage du compte et faire un script qui fasse la migration de l'OU en question vers une autre OU en modifiant le paramètre du user ? Hum ... Peut être une solution. __________________ Pourquoi faire compliqué lorsque l'on peut faire encore plus compliqué.
	00

04/04/2011, 17h47	#6
neuneu1 Membre émérite Inscription : avril 2007 Messages : 1 702 Détails du profil Informations personnelles : Localisation : France Informations forums : Inscription : avril 2007 Messages : 1 702 Points : 813 Points : 813	re, et un script au loggon du pc et non du user qui listerais les user d une uo autorisé a se connecter. ca peut etre une solution aussi. a+ __________________ Une porte peut -etre ouverte ou....rouge!!!!:mouarf http://orabache.developpez.com/
	00

04/04/2011, 18h15	#8
ced600 Expert Confirmé Sénior Cédric Développeur .NET Inscription : août 2006 Messages : 3 364 Détails du profil Informations personnelles : Nom : Cédric Âge : 30 Localisation : France Informations professionnelles : Activité : Développeur .NET Informations forums : Inscription : août 2006 Messages : 3 364 Points : 4 033 Points : 4 033	Merci. Piste à appronfondir de mon coté. __________________ Pourquoi faire compliqué lorsque l'on peut faire encore plus compliqué.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email