Bonjour à toutes et à tous,
 
Dans mon domaine, j'ai rangé mes différents users et machines dans des OU hiérarchisées, au départ, surtout pour pouvoir appliquer des GPO sur un ensemble.
 
Mais, naïvement, je pensais qu'en mettant des users et des machines dans une OU, ces users ne pourraient se loguer QUE sur les machines de l'OU... Or, que nenni!!!
 
Lorsque je regarde dans les propriétés des users, onglet "Compte" (account), bouton "Se loguer sur..." (Log on to), ON EST OBLIGE D'ENTRER LES ORDINATEURS POUR LESQUELS ON VEUT LIMITER LE LOGIN UN PAR UN!!! Au secours!!! Impossible de rentrer l'OU, ou un group. Rhâââ    
 
Tant qu'il y a 2/3 machines, c'est praticable, mais là, il y a une centaine de machines dans chaque OU, donc à la main, pas glop du tout... Et puis même, en admettant que j'entre les 100 machines pour un utilisateur, ensuite, il faut répéter l'opération POUR CHAQUE USER... (Oui je sais, je pourrai détruire les autres users et faire une copie de celui dans lequel j'aurais entré les machines, mais bon...) Toutes ces manipulations sont sources d'erreurs. De plus, lorsqu'une machine sort du parc ou entre, il faudrait ne pas l'oublier de l'enlever ou l'ajouter sur tous les utilisateurs... Là, ça devient non manageable!
 
Y a-t-il un moyen "plus souple" d'effectuer ce filtrage des logins, en respectant l'agencement des OU?
 
Merci d'avance.
Tchô

C'est une bonne question. J'y jetterai un oeil demain sur notre domaine.
Par contre je te conseille plutôt de séparer OU utilisateurs et OU machines. Ca t'évitera bien des erreurs. Fais donc une OU Ordinateurs (par exemple) et un OU Utilisateurs, avec des sous-OU ayant la même hiérarchie. Ca te permettra de séparer proprement tes GPO utilisateurs et tes GPO machines.

Par defaut tout les utilisateurs du domaine on le droits de ce connecter sur toutes les machines du domaine excepté les servers.
On peut changer ca avec les GPO dans les param de secu, j'ai deja fais ca, ca fonctionne bien. Tu fais une GPO tu enleve tout le monde et tu met juste le groupe d'users que tu veux.

Salut,
 
Ca m'intéresse ta solution, mais est-ce que tu peux me préciser un peu plus où se font les réglages? Parce que je suis un peu newbie sur AD!!! J'ai pas envie de me gourer en bricolant où il ne faut pas...
 

Les "params de sécu", dans ce cas, ce sont lesquels? Les params de sécu de la GPO genre la même boîte de dialogue que les params des sécu des fichiers?
Ou bien il faut entrer dans la GPO elle-même, dans Config Ordinateurs, params windows, params de sécu et groupes?
 

Pas compris!!! Hé! Hé! Désolé... Heu... Tu peux me donner plus de détails stp?!?
 
A+

Desolé j'ai pas de version FR sous la main, en gros ca donne 'comp config --> win settings --> sec settings --> user rights assignment' et la tu a "allow logon locally" et tu entre le group que tu veux, le group hein pas les users, tu dois faire des groups c'est tres important.
 
Fais des test avant hein, et soit certain d'avoir bien pigé le fonctionnement du truc avant de le passer en prod.
Et va lire les white paper sur Active Directory sur le site Technet de crosoft, tout y est expliqués.

 
Hello! Ben j'aurais dû te dire que mon 2K SRV était en Anglais!!! Justement je ramais pour essayer de te marquer les termes en Français en espérant ne pas faire de contresens!!! Gag!
 
Bon ben ça me confirme que c'est bien là où je pensais appliquer les modifs, telle que la 1ère fois que je t'ai lu! Et ça tombe doublement bien ce que tu expliques avec les groupes parce que j'ai tendance à faire des groupes pour tout et n'importe quoi!!! Achte pratique pour filtrer et grouper les users selon leurs activités "administratives" (vieille habitude héritée d'avant AD et les OU!)
 
Merci tout plein. Y compris pour les TechNet, j'ai tendance à l'oublier çuilà! Quand je cherche des infos, je me retrouve souvent dans la knowlegde base et là... je déprime!!!
 
A+
Tchô

haha, bah parfait
 
ah la knowledge base j'y passe rarement, en general je trouve tout ce que je veux sur le technet ou msdn.