stratégie de sécurité locale et session interactive

stratégie de sécurité locale et session interactive - Win NT/2K/XP - Windows & Software

Marsh Posté le 09-04-2009 à 15:03:17    

Salut,
 
J'ai un domaine active directory avec des DC windows 2003.
Sur les postes clients (Win XP Pro), les utilisateurs devant se connecter doivent être ajoutés localement et en tant qu'administrateurs (panneau de config -> comptes d'utilisateurs).
Si je ne fais pas cette manip, l'ouverture de session échoue avec le message :

la stratégie locale de ce système ne vous permet pas d'ouvrir une session de manière interactive


Tout ce que je trouve comme info fait référence à des serveurs Windows 2000 :
http://support.microsoft.com/kb/285793/fr
et fait référence à une stratégie de groupe (Ouvrir une session localement) absente de 2003.
Sous 2003, j'ai trouvé une stratégie de groupe "Permettre l'ouverture d'une session locale" que j'ai défini pour l'OU des ordinateurs clients et dans laquelle j'ai inclus tous les utilisateurs du domaine mais c'est pas mieux. J'ai toujours le même message d'erreur...
Ça doit être évident mais je ne trouve pas dans la doc comment faire.
 
Merci.


---------------
J'ai cherché à chercher mais je n'ai rien pu trouver et pourtant, j'avais trouvé.
Reply

Marsh Posté le 09-04-2009 à 15:03:17   

Reply

Marsh Posté le 09-04-2009 à 17:31:06    

regarde dans les propriété de ton compte il y a deux endroit a regarder , je ne sais plus exactement mais y a des case qui interdise de se connecter en TS avec le compte

Reply

Marsh Posté le 10-04-2009 à 07:23:55    

Dans les propriétés des comptes, onglet Compte, on peut préciser à quels ordinateurs on peu  se connecter, par défaut c'est à "tous" et c'est le cas chez moi.
Par ailleurs, dans l'onglet "Profil de services Terminal Server" il y a une case "Interdire à cet utilisateur de se connecter aux ordinateurs Terminal Server" et n'est pas cochée non plus.
Je pense que c'est les deux endroits dont tu parle donc ce n'est pas ça le problème.
De toutes façons, je ne suis pas en TS mais en poste de travail client d'un domaine AD, donc le second ne joue pas dans mon cas.
N'empèche que je trouve toujours pas pourquoi ça marche pas et c'est saoulant :(


---------------
J'ai cherché à chercher mais je n'ai rien pu trouver et pourtant, j'avais trouvé.
Reply

Marsh Posté le 10-04-2009 à 09:59:43    

C'est étrange. Effectivement, par défaut, ça ne devrait pas coincer. Plutôt que faire une GPO sur l'OU de tes ordinateurs, vérifie ta stratégie "Permettre l'ouverture d'une session locale" au niveau de la Stratégie par défaut du domaine. En principe elle doit être en "Non défini".

Reply

Marsh Posté le 10-04-2009 à 13:40:31    

C'est bien le cas, les stratégies de sécurité du domaine sont toutes à "Non défini".
Il y a bien des stratégies de sécurité pour le contrôleur de domaine mais ça ne joue pas au niveau des postes du domaine non?


---------------
J'ai cherché à chercher mais je n'ai rien pu trouver et pourtant, j'avais trouvé.
Reply

Marsh Posté le 10-04-2009 à 14:11:04    

Non.
 
Si tu regardes la stratégie locale d'un de tes postes, tu as quoi dans cette stratégie "Permettre l'ouverture d'une session locale" ?

Reply

Marsh Posté le 10-04-2009 à 16:00:25    

Bonne idée, j'avais pas pensé à regarder là  :jap:  
 
Alors là c'est très fort  :ouch:  
Je n'ai pas "Permettre l'ouverture d'une session locale", j'ai la vieille stratégie héritée de Windows 2000 : "Ouvrir une session localement" et pire encore, elle commence par un SID non résolu (*S-1-5-21-...) avec ensuite invité, administrateur, utilisateurs, utilisateurs avec pouvoir, opérateurs de sauvegarde
Il ne manque plus que "Tout le monde" et la liste sera complète :-D
 
Est-ce que c'est lié au fait que c'est un domaine mis à jour depuis 2000 vers 2003?
Parce qu'il y a tout plein de stratégies avec des SID non résolus et qui ne me paraissent être définies nulle part sur les contrôleurs de domaine...


---------------
J'ai cherché à chercher mais je n'ai rien pu trouver et pourtant, j'avais trouvé.
Reply

Marsh Posté le 10-04-2009 à 16:45:20    

Vérifie que dans ton groupe "Utilisateurs" local au poste, tu aies bien le groupe Utilisa. du Domaine.

Reply

Marsh Posté le 14-04-2009 à 08:17:34    

En effet, il n'y est pas. Cependant, comment l'ajouter pour que la correspondance se fasse entre ce groupe créé et le groupe du contrôleur de domaine? Si j'ajoute juste un groupe "Utilisa. du Domaine"  aux groupes locaux du poste de travail ça ne suffit pas. Est-ce qu'il y a une manip particulière à faire?


---------------
J'ai cherché à chercher mais je n'ai rien pu trouver et pourtant, j'avais trouvé.
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed