Windows 2012; accès administrateur restreint - Infrastructures serveurs - Systèmes & Réseaux Pro
Marsh Posté le 12-01-2016 à 15:08:05
Mise à part mettre de l'ipsec et des règles de fw qui vont bien j'ai pas d'autres idées
Marsh Posté le 12-01-2016 à 18:00:09
salut,
une gpo appliquée sur un groupe d'ordi
Marsh Posté le 13-01-2016 à 08:47:46
ReplyMarsh Posté le 13-01-2016 à 14:27:36
Par rapport au FW je suis pas certain que ce soit la solution.
L'idée est de distinguer les acces user et les accès admin.
Un utilisateur doit pouvoir accéder au serveur. Un admin aussi, mais uniquement depuis des machines identifiées et connues.
A moins qu'on puisse lier les règles du FW Windows à des objets et des comptes de l'AD...?
PS : pour la GPO merci de préciser effectivement...
PS2 : si c'est pas possible comme imaginé est ce que l'on peut faire la chose suivante : 2 NIC sur le serveur. 1 NIC "tout ouvert"; 1 NIC restreinte aux seules possibilités d'identification d'un compte admin? Ca peut se gérer au niveau de la config du serveur?
Marsh Posté le 13-01-2016 à 15:06:36
je vois que l'utilisation d'ipsec et du firewall qui autorise les connexion sécurisées en ayant comme authentification le token kerberos soit de la machine soit de l'utilisateur (enfin l'admin)
Marsh Posté le 13-01-2016 à 16:13:43
Tu peux me préciser un peu stp; je suis pas un pro des serveurs Windows.
L'idée c'est que si qlq'un veut se connecter en mode admin, alors ça ne peut être que depuis une machine (ou groupe de machine) bien identifiée. Par contre cela ne doit pas empecher un utilisateur lambda de pouvoir y accéder.
Merci
Marsh Posté le 14-01-2016 à 07:35:45
ce que je ne comprend pas c'est comment un user choisi d'etre en admin ou non ?
Marsh Posté le 14-01-2016 à 08:21:45
Et pourquoi ne pas simplement restreindre le bureau a distance de ton serveur aux seuls admins ?
tu peux faire ça via le gestionnaire de serveur > onglet serveur local > menu bureau à distance > box clickable "selectionner des utilisateurs" .
Parce que la à mon avis t'es en train de te prendre la tête pour pas grand chose, et de vouloir mettre en place une solution qui de toute évidence dépasse tes compétences ( c'est pas un reproche c'st un constat )
Marsh Posté le 14-01-2016 à 17:36:11
splinter_five0 a écrit : Et pourquoi ne pas simplement restreindre le bureau a distance de ton serveur aux seuls admins ? tu peux faire ça via le gestionnaire de serveur > onglet serveur local > menu bureau à distance > box clickable "selectionner des utilisateurs" . Parce que la à mon avis t'es en train de te prendre la tête pour pas grand chose, et de vouloir mettre en place une solution qui de toute évidence dépasse tes compétences ( c'est pas un reproche c'st un constat ) |
pour le coup c'est typiquement a ca que je pensais
Marsh Posté le 15-01-2016 à 10:41:00
splinter_five0 a écrit : Et pourquoi ne pas simplement restreindre le bureau a distance de ton serveur aux seuls admins ? |
Mon idée c'est de voir si on peut faire un réseau de management OOB.
Ca change rien de restreindre l'accès distant RDP aux seuls admins. N'importe qui peut ouvrir une session RDP sur le serveur et tenter une attaque brute force...
Marsh Posté le 12-01-2016 à 13:51:20
Bonjour
Je voudrais savoir s'il est possible (notamment via GPO) de pouvoir restreindre l'accès aux comptes administrateurs (domaine et/ou local) à certaines machines ou groupes de machines bien identifiées.
L'idée est que seules des stations bien identifiées puissent se loguer en tant qu'admin sur un serveur. Les autres sont refusées.
J'imagine que cela est possible mais je voudrais avoir confirmation et surtout comment (via une OU, via les noms DNS des machines, etc)
Merci d'avance
---------------
Jujudu44