Connexion à un 2008 R2 TSE

Fermé
MIG - 9 juin 2016 à 17:35
 MIG - 10 juin 2016 à 13:35
Bonjour,

sur un 2008 R2 configuré comme serveur TSE avec 15 cal seuls les administrateurs sont autorisés à se connecter à distance ?

pourtant tous les utilisateurs sont bien dans le groupe "utilisateurs du bureau à distance"

auriez vous une idée de ce que j'ai pu zapper lors de l'installation ??

lors de le connexion d'utilisateurs non admin, ils ont un message "vous devez être admin ... ou on doit vous donner les droits ..."

Le serveur est le seul serveur sur le domaine il est DC / DNS bien sur / DHCP / TSE

MErci pour votre aide.

A voir également:

2 réponses

kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 432
Modifié par kelux le 10/06/2016 à 10:53
Bonjour,

Malheureusement votre serveur RDS est également DC, et c'est plutôt difficile de déléguer des accès distants sur un contrôleur de domaine pour des utilisateurs simples.
En fait, c'est d'ailleurs pas à recommander du tout et on ne le fait jamais.

C'est un peu comme si vous aviez une superbe coffre fort à protéger, et que vous laissiez un trousseau de clés à coté...

-

Les droits "utilisateurs à distance" que vous avez donné ne suffisent pas pour un contrôleur de domaine "et heureusement d'ailleurs" ;-)

-

Il faut également modifier via une stratégie de groupe ces droits :

Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateurs :

Autoriser l’ouverture de session par les services Bureau à distance


On y ajoute ici les groupes que l'on souhaite autoriser.

-

Comment mettre cette GPO :

1. Création d'un nouveau groupe.
Je vous conseille de retirer les utilisateurs du groupe d'accès Distants, maisd plutot de créer dans AD un nouveau groupe global "G_RemoteAccess_DC".
D'y ajouter les utilisateurs dans ce groupe global.
Puis d'ajouter ce groupe global dans le groupe "Utilisateurs d'accès à distance".

2. Création de la GPO
- On lance GPMC sur le DC avec des droits administrateurs.
- On créé une nouvelle GPO "DC_RemoteAccess" , on la lie à l'OU "Contrôleurs de domaine".
- On lui désactive les paramètres utilisateurs (onglet détails)
- On y ajoute les droits que je viens de citer pour les 2 groupes "Administrateurs et G_RemoteAccess_DC". (clic droit sur la gpo - éditer) - on ferme la fenetre après édition de la gpo, on retourne sur la GPMC.
- Ensuite on clique sur l'OU Controleurs de domaine > onglet "Linked Group Policy Objects - le premier donc" .
- On met en numéro 1 la GPO qu'on vient de créer. (avec les flèches sur le coté).



Je fais ça de tête sans avoir testé ...

-

Sinon je vous préconise la mise en place d'un second serveur uniquement avec le role TSE. (voire DHCP si il faut déléguer à des utilisateurs la gestion du DHCP sans leur donner des droits admins sur le DC ...)


Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
1
El_Rigolo Messages postés 1832 Date d'inscription samedi 29 décembre 2007 Statut Contributeur Dernière intervention 16 juillet 2021 606
Modifié par El_Rigolo le 10/06/2016 à 10:57
Très bonne remarque, j'avais pas fait fait attention qu'il était également DC.. ;)
0
Merci à tous les deux pour ces infos, je sais que ce n'est pas recommandé, c'est même indiqué lors de la mise en place des rôles. Mais je n'ai pas trop le choix pour débloquer la situation, le client utilise un logiciel qui impose TSE et il n'y qu'un seul serveur... Donc en attendant mieux j'essaie de faire "avec" ..

Merci, je vais me pencher sur les GPO
0
El_Rigolo Messages postés 1832 Date d'inscription samedi 29 décembre 2007 Statut Contributeur Dernière intervention 16 juillet 2021 606
9 juin 2016 à 17:50
Bonjour,

Dans les paramètres d'accès à distance du serveur, as-tu défini les bons groupes et utilisateurs à y accéder ?

Pour rappel, créer un groupe AD ne suffit pas, il faut en plus le définir dans les users\groups autorisés, directement dans la config d'accès à distance du serveur.

Cdlt
0
Merci, en principe oui, j'ai utilisé le groupe prédeffini "utilisateurs du bureau à distance" mais je vais contrôler à nouveau.
0
El_Rigolo Messages postés 1832 Date d'inscription samedi 29 décembre 2007 Statut Contributeur Dernière intervention 16 juillet 2021 606
Modifié par El_Rigolo le 9/06/2016 à 18:21
En vérifiant que ce groupe est autorisé, ce qui n'est pas systématiquement le cas par défaut ;)

Pour en avoir la certitude, il faut définir ce groupe dans les utilisateurs autorisés, dans les paramètres d'accès à distance du serveur.
0