Yop tout le monde,
 
Dans ma boite, 2 utilisateurs travaillent de chez eux. Pour se connecter au réseau de l'entreprise ils passent par terminal server.
 
Bon. Jusque là tout va bien.
 
Le problème est le suivant: je viens de m'apercevoir qu'ils appartiennent entre autre au groupe des administrateurs, et que si je les enlève de ce groupe, ils ne peuvent plus se connecter à distance.
 
J'en suis tout bouleversifié, ces utilisateurs ont les pleins pouvoirs sur le réseau et ce n'est pas normal !
 
J'attends vos conseils avec impatience  

Et le groupe bureau a distance alors ?
Ta pas chercher beaucoup!
http://www.microsoft.com/technet/p [...] 7ae1a.mspx

Hum, j'ai peut-être oublié de fournir une précision, ces 2 utilisateurs font également partie du groupe "TSUsers" (le serveur est en anglais, soupirs...) C'est l'équivalent du groupe "bureau à distance" ? Il me semble que oui

 
1er conseil, expose correctement ton probleme, la tu ne nous dit même pas la version de windows utilisé sur ton serveur TSE ou la config de base du serveur (serveur dédié TSE ou egalement DC, TSE en serveur d'application ou juste en administration/bureau a distace, etc...)

C'est toujours la même machine, un serveur sous SBS 2000. C'est la machine à tout faire de la boite, elle fait serveur de fichiers, serveurs de messagerie, serveur d'impression, serveur DHCP, serveur DNS, contrôleur de domaine... (snif)
 
Pour le coup du TSE en serveur d'application ou juste en administration/bureau a distace, à vrai dire je n'y connais rien...

Je dirais... serveur d'application !
 
Et les personnes qui se connectent à distance utilisent Windows XP Pro.

 
Les gens suivent pas forcément tous tes topics et ne sont pas forcés de faire le rapprochement entre eux
 

 
Permettre a des utilisateurs même bridé de se connecter en TSE dessus c'est quand même franchement pas terrible    
 

 
Ajout suppression de programmes, composant windows, services terminal serveur, et tu regardes : si tu veux que de simples utilisateurs se connectent faut etre dejà en mode serveur d'application et non pas en mode administration a distance (qui ne rend la connexion possible que pour les admins, et 2 max en simultané, par contre pas besoin de licences).
 
Il faut aussi si ce n'est pas déjà fait que tu installes le serveur de licence TSE (et que tu achetes des licences clientes TSE si tes utilisateurs se connectent depuis autre chose que du 2000 Pro ou du XP Pro).
 
Et comme tu es sur un DC, il va aussi falloir modifier la Default Domain Controller Policy pour autoriser les utilisateurs qui t'interessent a ouvrir une session locale sur le serveur, ce qui craint quand même enormément.

Ouais ça craint pas mal, comme tu dis ! La société qui avait vendu et paramétré le serveur à l'époque, l'avait fait comme un cochon. Quand je suis arrivé dans la boite, il y avait tous les virus du monde, l'antivirus n'était même pas paramétré correctement !

Je te confirme, le serveur est en mode serveur d'application, et le serveur de licence TSE est installé.
 
Je ne comprends pas quand tu dis "Et comme tu es sur un DC, il va aussi falloir modifier la Default Domain Controller Policy pour autoriser les utilisateurs qui t'interessent a ouvrir une session locale sur le serveur, ce qui craint quand même enormément." (excuse-moi je n'y connais encore pas grand chose...)
 
En conclusion il y a une méthode pour que mes 2 utilisateurs à distance puissent se connecter sur le DC et sans qu'ils fassent partie des admin ?

Oui, en modifiant la Default Domain Controller Policy pour autoriser les utilisateurs qui t'interessent a ouvrir une session locale sur le serveur...
 
Quand on monde un domaine les controlleurs de domaines sont mis automatiquement dans l'OU "domain controllers", et sur cette OU il y a de base une GPO appellé "Default Domain Controller Policy" qui modifie certains élement de sécurité et qui s'appliquent donc a tous les DC.
 
Et en particulier par defaut seul les admins ont le droit de se loguer sur le serveur, et donc si tu veux que de simples utilisateurs en ai le droit même si c'est seulement par le TSE faut modifier ça.

Wow, ok je vais essayer !

Si tu pouvais juste me dire à quel endroit aller pour faire ça !

T'es embauché pour entre autre administrer un SBS 2000 et tu connais ni Exchange, ni TSE, ni les GPO, tu as du avoir un tres gros piston    
 
C'est dans la console utilisateurs et ordinateurs AD, clic droit sur l'OU domain controllers, propriétés, onglet stratégie de groupe, double clic sur default domain controller policy, c'est dans config ordinateur, strat de sécurité, droits d'utilisateurs...

 
Ralala    J'ai été embauché dans une PME où il n'y avait pas d'informaticien et où le réseau partait complètement en vrille (pour ceux qui cherchent du taf en informatique, y'a énormément de PME comme ça. Faut juste que le patron prenne conscience que l'informatique ne doit pas passer au second plan). J'ai résolu pas mal de trucs, mais comme je sors à peine de l'IUT info, effectivement je n'y connais rien en administration windows. Mais j'ai pas de piston, foi de voleurdecarottes ! Et puis je suis aussi en charge de la refonte complète du système d'informations là non plus c'est pas évident !
 
 
 
Merci pour ces renseignements en tout cas, je vais demander à mon patron des formations !