Virez la commande "arreter le system", vos solutions [TSE] - Windows & Software
Marsh Posté le 27-07-2004 à 15:14:14
L'ennui, c'est que maintenant, même l'administrateur n'a plus le droit de redémarrer/arreter le serveur... ... ... C'est vraiment chiant..
Marsh Posté le 27-07-2004 à 15:52:50
dans les GPO tu peux définir l'affichage ou non du bouton arrêter dans le menu démarrer, il te suffit ensuite d'appliquer cette GPO sur une OU qui contient tes utilisateurs TSE
ps : t'es pas obligé d'avoir le même utilisateur pour allumer le poste et pour la connexion TSE
Marsh Posté le 27-07-2004 à 17:03:41
Ouais, mais le soucis, c'est que j'ai des utilisateur Mixte.
C'est a dire qu'il se connecte soit au domaine depuis leur poste de travail, soit depuis la maison, via TS.
J'ai pas envie de faire 2 utilisateurs disting, sinon, les profils itinérant n'ont plus aucun interet...
Est-ce que cette option:
* config. ordi.\param. win.\param. sécu.\strat. locales\attrib. droit utilisateur\Arrêter le système groupe administrateur
fonctionne réellement? J'ai pas pu encore tester, étant donné que je n'ai pas de serveur TS de test qui me permette de me connecter avec des utilisateur n'ayant pas les droit admin...
Marsh Posté le 27-07-2004 à 21:25:53
effectivement t'as un problème
si ils ont le même nom d'utilisateur à la maison et au bureau ils vont forcément avoir la même stratégie de sécurité appliquée...
à partir de là il faut que la stratégie d'ordinateur soit définie pour qu'ils aient le droit d'éteindre la machine. Cette stratégie ne s'appliquera forcément pas chez eux puisque leurs pc sont hors domaine.
je crois que la stratégie d'ordinateur prime sur la stratégie utilisateur, mais si j'ai tort tu peux jouer sur l'ordre d'application des stratégies.
si les 2 stratégies se parasitent, tu peux aussi essayer de définir le paramètre utilisateurs pour "arrêter" sur "non défini" et celui de l'ordinateur par "autorisé"
le param non défini n'est ni autorisé ni refusé, et windows l'interprête comme un refus implicite. Alors que le param refusé prime systématiquement sur une autorisation explicite
Marsh Posté le 29-07-2004 à 23:47:13
si j'ai bien compris ton DC fait serveur TSE et tes utilisateurs on la possibilité d'eteindre le serveur?
hmm je suis pas sur que par defaut un utilisateur ai le droit d'eteindre un serveur, en fait je suis sur que ca n'est pas le cas. ils sont admin du serveur?
bon sinon, arrete de bidouiller la strat de secu locale et utilise les GPO c bien plus propre. ensuite il y'a une gpo "User group policy loopback processing mode" dans les parametres ordinateur qui permet d'affecter des parametres utilisateurs uniquement aux users qui ce connect sur la machine affecté par cette gpo. normalement avec ca tu devrais t'en sortir.
Marsh Posté le 30-07-2004 à 00:14:23
pourquoi tout simplement ne pas creer un objet GPO qu'on appliquera aux objets ordinateurs concernés, et pas aux utilisateurs. Ce n'est pas plus simple ?
Tu pourras dans les propriétés de cet objet GPO desactiver le bouton arreter l'ordinateur
Marsh Posté le 30-07-2004 à 09:38:40
Ouais...
CK Ze CaRiBoO> J'ai pas tous pigé... T'es pas très claire. Tu me demande de bidouiller et d'y allez a taton pour trouver la stratégie qui prime?
knives> Effectivement, je ne sais pas si ils ont la possibilité de l'éteindre.. Mais le fait est qu'ils ont le bouton "arreter le system" de disponible.. J'ai pas encore fait le test car le serveur est en exploitation. Je voulais d'abord savoir si y'avait un moyen simple avant d'aller plus loin...
knives && rogntudjuuuuuuuuu> Ouais, je vais utiliser une GPO que j'appliquerais sur mon OU controller domain...
Bref, je test 2 ou 3 truc et je reviens.
A+
Merci
Marsh Posté le 30-07-2004 à 09:39:25
helvetik a écrit : Ouais... |
Marsh Posté le 27-07-2004 à 15:10:59
Bonjour à tous.
J'ai un petit souci. J'ai un groupe d'utilisateur qui se connecte a mon Terminal Serveur, qui, par la meme occasion, sert de controlleur de domaine.
Y'a t'il un moyen efficace via GPO ou stratégie locale, d'empecher ce groupe d'éteindre le terminal, mais pas leur station?
Dans les GPO, y'a des option pour virer le bouton déconnecter, ou carrément le bouton "arrêter..." du menu démarrer, mais pas simplement l'option "arreter le system".
Bref, comment faite vous?
Voici les stratégie que j'ai repéré et activé:
- Stratégie local du serveur (gpedit.msc):
* config. ordi.\param. win.\param. sécu.\strat. locales\attrib. droit utilisateur\Arrêter le système groupe administrateur
* config. ordi.\model admin.\system\Supprimer l'élément déconnecter du menu démarrer activer
* config user\model admin\menu démarrer et barre des tâches\désactiver et supprimer commande arrêter activer
Ensuite, pour chaques profil, je me suis connecté, puis j'ai été dans les propriétés de la barre des tâche, puis dans l'onglet "avancé", j'ai coché la case "afficher l'invite de fermeture de session". J'ai fait ca comme ca, car j'ai pas trouvé le moyen de le faire depuis une gpo...
Bref, c'est un peu du bricolage, donc si vous avez une meilleur idée, je suis partant...
merci,
A+