A voir également:
- Connexion à un 2008 R2 TSE
- Gmail connexion - Guide
- Gmail connexion autre compte - Guide
- Hotmail connexion - Guide
- Facebook connexion - Guide
- Connexion chromecast - Guide
2 réponses
kelux
Messages postés
3074
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
Modifié par kelux le 10/06/2016 à 10:53
Modifié par kelux le 10/06/2016 à 10:53
Bonjour,
Malheureusement votre serveur RDS est également DC, et c'est plutôt difficile de déléguer des accès distants sur un contrôleur de domaine pour des utilisateurs simples.
En fait, c'est d'ailleurs pas à recommander du tout et on ne le fait jamais.
C'est un peu comme si vous aviez une superbe coffre fort à protéger, et que vous laissiez un trousseau de clés à coté...
-
Les droits "utilisateurs à distance" que vous avez donné ne suffisent pas pour un contrôleur de domaine "et heureusement d'ailleurs" ;-)
-
Il faut également modifier via une stratégie de groupe ces droits :
Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateurs :
Autoriser l’ouverture de session par les services Bureau à distance
On y ajoute ici les groupes que l'on souhaite autoriser.
-
Comment mettre cette GPO :
1. Création d'un nouveau groupe.
Je vous conseille de retirer les utilisateurs du groupe d'accès Distants, maisd plutot de créer dans AD un nouveau groupe global "G_RemoteAccess_DC".
D'y ajouter les utilisateurs dans ce groupe global.
Puis d'ajouter ce groupe global dans le groupe "Utilisateurs d'accès à distance".
2. Création de la GPO
- On lance GPMC sur le DC avec des droits administrateurs.
- On créé une nouvelle GPO "DC_RemoteAccess" , on la lie à l'OU "Contrôleurs de domaine".
- On lui désactive les paramètres utilisateurs (onglet détails)
- On y ajoute les droits que je viens de citer pour les 2 groupes "Administrateurs et G_RemoteAccess_DC". (clic droit sur la gpo - éditer) - on ferme la fenetre après édition de la gpo, on retourne sur la GPMC.
- Ensuite on clique sur l'OU Controleurs de domaine > onglet "Linked Group Policy Objects - le premier donc" .
- On met en numéro 1 la GPO qu'on vient de créer. (avec les flèches sur le coté).
Je fais ça de tête sans avoir testé ...
-
Sinon je vous préconise la mise en place d'un second serveur uniquement avec le role TSE. (voire DHCP si il faut déléguer à des utilisateurs la gestion du DHCP sans leur donner des droits admins sur le DC ...)
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
Malheureusement votre serveur RDS est également DC, et c'est plutôt difficile de déléguer des accès distants sur un contrôleur de domaine pour des utilisateurs simples.
En fait, c'est d'ailleurs pas à recommander du tout et on ne le fait jamais.
C'est un peu comme si vous aviez une superbe coffre fort à protéger, et que vous laissiez un trousseau de clés à coté...
-
Les droits "utilisateurs à distance" que vous avez donné ne suffisent pas pour un contrôleur de domaine "et heureusement d'ailleurs" ;-)
-
Il faut également modifier via une stratégie de groupe ces droits :
Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateurs :
Autoriser l’ouverture de session par les services Bureau à distance
On y ajoute ici les groupes que l'on souhaite autoriser.
-
Comment mettre cette GPO :
1. Création d'un nouveau groupe.
Je vous conseille de retirer les utilisateurs du groupe d'accès Distants, maisd plutot de créer dans AD un nouveau groupe global "G_RemoteAccess_DC".
D'y ajouter les utilisateurs dans ce groupe global.
Puis d'ajouter ce groupe global dans le groupe "Utilisateurs d'accès à distance".
2. Création de la GPO
- On lance GPMC sur le DC avec des droits administrateurs.
- On créé une nouvelle GPO "DC_RemoteAccess" , on la lie à l'OU "Contrôleurs de domaine".
- On lui désactive les paramètres utilisateurs (onglet détails)
- On y ajoute les droits que je viens de citer pour les 2 groupes "Administrateurs et G_RemoteAccess_DC". (clic droit sur la gpo - éditer) - on ferme la fenetre après édition de la gpo, on retourne sur la GPMC.
- Ensuite on clique sur l'OU Controleurs de domaine > onglet "Linked Group Policy Objects - le premier donc" .
- On met en numéro 1 la GPO qu'on vient de créer. (avec les flèches sur le coté).
Je fais ça de tête sans avoir testé ...
-
Sinon je vous préconise la mise en place d'un second serveur uniquement avec le role TSE. (voire DHCP si il faut déléguer à des utilisateurs la gestion du DHCP sans leur donner des droits admins sur le DC ...)
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
El_Rigolo
Messages postés
1832
Date d'inscription
samedi 29 décembre 2007
Statut
Contributeur
Dernière intervention
16 juillet 2021
606
9 juin 2016 à 17:50
9 juin 2016 à 17:50
Bonjour,
Dans les paramètres d'accès à distance du serveur, as-tu défini les bons groupes et utilisateurs à y accéder ?
Pour rappel, créer un groupe AD ne suffit pas, il faut en plus le définir dans les users\groups autorisés, directement dans la config d'accès à distance du serveur.
Cdlt
Dans les paramètres d'accès à distance du serveur, as-tu défini les bons groupes et utilisateurs à y accéder ?
Pour rappel, créer un groupe AD ne suffit pas, il faut en plus le définir dans les users\groups autorisés, directement dans la config d'accès à distance du serveur.
Cdlt
El_Rigolo
Messages postés
1832
Date d'inscription
samedi 29 décembre 2007
Statut
Contributeur
Dernière intervention
16 juillet 2021
606
Modifié par El_Rigolo le 9/06/2016 à 18:21
Modifié par El_Rigolo le 9/06/2016 à 18:21
En vérifiant que ce groupe est autorisé, ce qui n'est pas systématiquement le cas par défaut ;)
Pour en avoir la certitude, il faut définir ce groupe dans les utilisateurs autorisés, dans les paramètres d'accès à distance du serveur.
Pour en avoir la certitude, il faut définir ce groupe dans les utilisateurs autorisés, dans les paramètres d'accès à distance du serveur.
Modifié par El_Rigolo le 10/06/2016 à 10:57
10 juin 2016 à 13:35
Merci, je vais me pencher sur les GPO