Pour les admins Active Directory : Question GPO

Pour les admins Active Directory : Question GPO - Win NT/2K/XP - Windows & Software

Marsh Posté le 17-09-2007 à 10:17:43    

Hello!
Voilà, je cherche je cherche mais je trouve pas!
Ma question :
Comment empêcher aux utilisateurs, via une GPO, de gérer les services sur leurs postes de travail ?
Ya des ptits malins qui en arrêtent etc et ca m'énerve!
 
Merci!

Reply

Marsh Posté le 17-09-2007 à 10:17:43   

Reply

Marsh Posté le 17-09-2007 à 10:29:50    

S'ils arrivent a faire ça c'est qu'ils sont admins de leurs postes, commence par corriger ça car tant que ce sera le cas tu pourras difficilement limiter quoi que ce soit de façon fiable.

Reply

Marsh Posté le 17-09-2007 à 10:31:06    

Malheureusement ils ont besoin d'etre admin de leur poste.
Mais meme admins de leur poste, ce sont des comptes réseaux donc leurs droits seront sucrés une fois la GPO en place, meme en étant admin local.

Reply

Marsh Posté le 17-09-2007 à 11:13:15    

moi_antoine a écrit :

Malheureusement ils ont besoin d'etre admin de leur poste.

 

Demande toi tres tres fort si c'est vraiment le cas, car y'a vraiment de moins en moins de vraies bonnes raisons pour...

 
Citation :

Mais meme admins de leur poste, ce sont des comptes réseaux donc leurs droits seront sucrés une fois la GPO en place, meme en étant admin local.

 

Mais ils auront toujours beaucoup plus de droits qu'un simple utilisateur sans GPO pour les brider, et si toi tu devrais penser a couvrir tous les angles possibles par GPO pour eviter les conneries, eux n'auront qu'a trouver un seul truc auquel tu n'auras pas penser.

Message cité 1 fois
Message édité par El Pollo Diablo le 17-09-2007 à 11:13:31
Reply

Marsh Posté le 17-09-2007 à 11:45:39    

El Pollo Diablo a écrit :


 
Demande toi tres tres fort si c'est vraiment le cas, car y'a vraiment de moins en moins de vraies bonnes raisons pour...
 

Citation :

Mais meme admins de leur poste, ce sont des comptes réseaux donc leurs droits seront sucrés une fois la GPO en place, meme en étant admin local.


 
Mais ils auront toujours beaucoup plus de droits qu'un simple utilisateur sans GPO pour les brider, et si toi tu devrais penser a couvrir tous les angles possibles par GPO pour eviter les conneries, eux n'auront qu'a trouver un seul truc auquel tu n'auras pas penser.


 
Lol. Me suis déja demandé très très fort, mais des applis métiers ont besoin d'accéder à des choses dans la base de registres, donc voilà!
En fouillant j'ai peut etre trouvé ma réponse ! A savoir :
        - Aller dans "Configurations Utilisateur" -> "Modèles d'administration" -> "Composants Windows" -> "Microsoft Management Console" -> "Composants logiciels enfichables restreints/autorisés" puis Désactiver "Services". Cela aura pour effet d'empêcher de lancer "services.msc" à partir du menu "Démarrer -> exécuter"
        - Aller dans "Configurations Utilisateur" -> "Modèles d'administration" -> "Composants Windows" -> "Explorateur windows" puis Activer "Masquer l'élément gérer du menu contextuel windows Explorer".
Cela aura pour effet l'impossibilité pour l'utilisateur d'accéder aux services en faisant un clique droit sur le poste de travail puis sur "Gérer".
 
Je pense que comme ça ca va se compliquer pour eux non?!

Message cité 1 fois
Message édité par moi_antoine le 17-09-2007 à 11:51:41
Reply

Marsh Posté le 17-09-2007 à 11:51:28    

moi_antoine a écrit :

Lol. Me suis déja demandé très très fort, mais des applis métiers ont besoin d'accéder à des choses dans la base de registres, donc voilà!

 

Donc voila, mets les droits dont tu as besoin pour les utilisateurs pour les clés de registre concernées, ça se fait tres simplement par GPO.

 
Citation :

En fouillant j'ai peut etre trouvé ma réponse ! A savoir :
        - Aller dans "Configurations Utilisateur" -> "Modèles d'administration" -> "Composants Windows" -> "Microsoft Management Console" -> "Composants logiciels enfichables restreints/autorisés" puis Désactiver "Services". Cela aura pour effet d'empêcher de lancer "services.mmc" à partir du menu "Démarrer -> exécuter"
        - Aller dans "Configurations Utilisateur" -> "Modèles d'administration" -> "Composants Windows" -> "Explorateur windows" puis Activer "Masquer l'élément gérer du menu contextuel windows Explorer".
Cela aura pour effet l'impossibilité pour l'utilisateur d'accéder aux services en faisant un clique droit sur le poste de travail puis sur "Gérer".

 

Je pense que comme ça ca va se compliquer pour eux non?!

 

Bof.
demarrer, executer, net stop nomduservice
 [:spamafote]


Message édité par El Pollo Diablo le 17-09-2007 à 11:52:54
Reply

Marsh Posté le 17-09-2007 à 12:05:07    

S'ils ont le pass du compte administrateur du poste, un petit coup de runas et le tour est joué :)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed