J’ai un problème avec le groupe « Utilisateur du bureau à distance »
Lorsque j’ajoute un utilisateur à ce groupe, et que j’essaie de me connecter à un serveur dans le domaine qui autorise l’accès au bureau à distance, il me donne un « accès refusé ».
Dans les GPO, dans la stratégie de sécurité locale => stratégie locale => attribution des droits utilisateurs => autoriser l’ouverture de session par les services Bureau à distance, j’ajoute « Utilisateurs de bureau à distance ».j’applique à mes postes je fais un « gpupdate/force », et cela ne fonctionne toujours pas. Pourtant la GPO est bien appliqué en vérifiant dans la stratégie de sécurité locale.
 
J’ai remarqué que si je créer un groupe « utilisateur distant » dans le contener « Utilisateur », et que j’ajoute ce groupe dans la GPO, cela fonctionne.
 
En gros si mon groupe n’est pas dans le même contener que l’utilisateur, celui ne fonctionne pas, alors que le groupe « utilisateur de bureau à distance » dans builtin devrait fonctionner.
 
Comment faire ?
 
Merci d’avance

salut ... Juste pour être sûr. Quand tu dis : j’applique à mes postes je fais un « gpupdate/force »
 
Par poste tu veux bien parler du serveur RDS ?

Salut,
merci de m'avoir répondu.
Alors, quand je dis que j'applique, je veux dire que je déploie ma GPO via la commande "gpupdate /force"
et donc je dis au poste qu'il peuvent autoriser les groupes que j'ai définits.
mais rien sur le serveur RDS, car j'active le RDS manuellement dans "système" de chaque poste que je veux.

Salut,
tu est bien en domaine AD ?
C'est pour prendre la main sur les postes de travail ?
A+

salut,
je suis bien dans un domaine AD
et c'est pour prendre la main sur des serveurs, mais aussi des postes clients.
j'ia bien entendu activer le RDS sur chaque serveur et postes clients voulu, et j'y accède bien avec le compte local.

"Alors, quand je dis que j'applique, je veux dire que je déploie ma GPO via la commande "gpupdate /force" "
Cette commande veut dire au poste client de stratégie de groupe qu'il doit aller réappliquer les GPO .... C'et pas à proprement parler un déploiement.
 
"et donc je dis au poste qu'il peuvent autoriser les groupes que j'ai définits. "
Ok donc sur tes postes ca marche ?
 
"mais rien sur le serveur RDS, car j'active le RDS manuellement dans "système" de chaque poste que je veux."
 
Nan mais attends, pourquoi tu ne créé pas une GPO qui active RDS et autorise les utilisateurs ?

le problème est qu'il faudrait créer un groupe dans chaque Unité d'Organisation et le conteneur "Users", et d'ajouter chaque utilisateur dans un groupe de son OU.
je peux ajouter des utilisateurs dans le groupe "Utilisateur du bureau à distance", mais lorsque j'active le bureau a distance sur les ordinateurs, il détecte le groupe, mais ne détecte pas les utilisateurs qui sont dedans.
et je ne vais pas créer un groupe par OU et pour le conteneur "Users" pour ensuite par GPO autoriser chaque groupe pour l'accès au bureau a distance, alors qu'on a créer un groupe qui doit faire le lien avec mes OU et mon contener "Users".
 
merci de ta réponse en tout cas

Je pense que tu confonds un peu tout perso entre les groupes dans l'AD et les groupes locaux
Déjà comprends que c'est différent, ensuite comment on assigne des droits et comment on peut les pousser (template de sécu, groupes restreints par ex)

merci pour ta réponse
c'est que je pense que je m'explique mal.
car je vois la différence,
mais comprend tu que normalement si tu ajoute un utilisateur dans le groupe du bureau à distance, et que derrière, si tu active sur un poste client ou serveur l'accès bureau a distance; cet utilisateur doit pouvoir accéder au poste en bureau à distance.
moi, ça ne fonctionne pas.
j'ai trouver une solution temporaire qui est la création d'un groupe sur le même OU que les utilisateurs, et que j'autorise le groupe pour le bureau a distance via GPO.
tu comprend?

lequel ?
 
dans tous les cas faut voir ce qui a été configuré dans les user right assignments locaux du poste.
Il faudrait surtout comprendre ce que tu souhaites faire au final

lequel quoi?
dans les autorisation d'ouverture de session par les services bureau à distance (qui se trouve dans les stratégies locale du poste), il est réglé par défaut, ce qui veut dire, que tout administrateur OU utilisateurs qui se trouve dans le groupe bureau a distance peut accéder au poste.
 
Mon but est de pouvoir faire accéder des utilisateurs qui sont dans le groupe du bureau à distance, d'accéder au bureau a distance du poste ou l'accès a distance est activé.

C'est bien ce qu'il te dit.
 
Utilisateur RDS sur les stratégie locales ca n'a rien à voir avec les GPO.
 
Il faut ajouter les compte AD dans le groupe remote desktop user dans l'AD (pas sur le poste), et ensuite créer une GPO qui va :
- Activer RDS sur les postes
- Autoriser les membres du groupe Remote Desktop User (celui de AD) à s'authentifier sur les pc où tu actives le RDP.
 
Il a certainement raison ... Tu confonds local et Domaine

Ah non je disais pas ça.
 
Si il ajoute les comptes au groupe qui se trouve dans l'AD ça va pas servir à gd chose vu qu'il est pas utilisé.
Il faut s'assurer que la politique locale du poste ait bien le groupe locale utilisateurs du bureau à distance et mettre les users dans le groupe local. Ca c'est pour du cas par cas par poste.
 
Si tu veux qu'un groupe ad puisse se loguer sur toutes les machines alors configurer la politique de sécu pour autoriser ce groupe dans le allow remote access (ou ajouter le groupe via les groupes restreints au groupe utilisateur du bureau à distance local au poste)

Ce qui est bien dommage ... Car c'est tout de même pratique de tout centraliser.
 

Je n'avais pas saisie cette histoire de cas par cas ... Je pensais qu'il voulais autoriser le RDS pour tout le monde sur tous les postes. Je vois pas trop l'intérêt de permettre à l'utilisateur d'un pc d'ouvrir une session en remote sur ce même pc. Mais doit bien y avoir une raison.

Moi non plus je saisis pas ce qu'il veut faire C'est pour ça que je demande.
 
L'usage c'est que tu te déplaces dans une salle de réunion où il y a un PC en libre service, tu te connectes sur ton PC à ton bureau, ou si tu vas voir un collègue et que dans la discussion tu veux lui montrer un truc qu'il y a sur ton PC par exemple.
Donner l'accès de tout le monde à tous les PC c'est dangereux

merci pour toutes vos réponses.
je veux juste dire que j'ai un soucis avec mon groupe par défaut "utilisateur du bureau a distance" qui ne fonctionne pas
je veux juste que sur les postes où j'ai autoriser le RDS, que les utilisateurs de l'AD qui se trouve dans le groupe "utilisateur du bureau à distance" puisse y accéder.
ce qui est normalement le cas, mais je ne sais pas pourquoi mon AD ne veux plus prendre en comptes les utilisateurs qui se trouve dans le groupe "utilisateur du bureau à distance"
Et ce qui est bizarre c'est que le poste où j'ai activé le RDS, en regardant dans "stratégie de sécurité locale" on peut y voir qu'il autorise bien le groupe "utilisateur du bureau à distance"
c'est comme si les utilisateurs qui sont ajouté dans le groupe "utilisateur du bureau à distance" n'arriver pas a faire le lien entre le conteneur "Users" et le conteneur "Builtin", bien qu'il apparaisse bien dans le groupe. et je ne sais pas l'expliquer.
 
Me comprend t'on?^^
En tout cas MERCI de toutes vos réponses encore.

oui, et c'est ce que je te dis depuis le début, le groupe dans l'ad utilisateurs du bureau à distance ne sert à rien (il vient lors de la transformation de la base sam du premier serveur en dc).
Le groupe utilisé dans la stratégie locale est le groupe local du poste et non celui de l'ad.
Et donc encore une fois, si tu veux que tes utilisateurs aient les droits, il faut soit jouer avec les groupes restreints soit avec le modèle de sécurité