Windows 2003 standard : DC et TSE (mode app.) possible ?

Windows 2003 standard : DC et TSE (mode app.) possible ? - Win NT/2K/XP - Windows & Software

Marsh Posté le 05-01-2004 à 15:39:43    

je sais il est preconisé de mettre le TSE sur serveur membre, seulement la pas le choix : je dois avoir le DC et TSE sur le meme serveur  :(  
 
Comment faire car la jai installé le serveur membre avec tse mode appli puis dcpromo et la je n'arrive plus a me connecter avec un user lamda ... visiblement un pb de gpo mais ou tapper ?

Reply

Marsh Posté le 05-01-2004 à 15:39:43   

Reply

Marsh Posté le 05-01-2004 à 15:48:00    

fioul666 a écrit :

je sais il est preconisé de mettre le TSE sur serveur membre, seulement la pas le choix : je dois avoir le DC et TSE sur le meme serveur  :(  
 
Comment faire car la jai installé le serveur membre avec tse mode appli puis dcpromo et la je n'arrive plus a me connecter avec un user lamda ... visiblement un pb de gpo mais ou tapper ?


une chtite idée ?

Reply

Marsh Posté le 05-01-2004 à 15:49:17    

seul un admin peut prendre la main sur un DC

Reply

Marsh Posté le 05-01-2004 à 15:50:09    

krapaud a écrit :

seul un admin peut prendre la main sur un DC


why ?

Reply

Marsh Posté le 05-01-2004 à 15:51:32    

question de sécurité, t'as envie qu'un utilisateur lambda ne joue à péter ton AD, édites les GPO, passe con compte de user à admin?

Reply

Marsh Posté le 05-01-2004 à 15:54:25    

Dans les whitepaper traitenat de TSE il faut donner le droit "allow login locally" à tes utilisateurs... sans celà pas de salut sur un serveur pour ces derniers.
 
En mode application de TSE ce droit doit être ajouté et fait partie du focntionnement normal, mode adminsitration il est clair que celà ne sert à rien à part baisser ta sécu.

Reply

Marsh Posté le 05-01-2004 à 15:56:59    

euh faut aussi ajouter TSEuser ou un truc comme ça. J'savais pas que ça ne posait pas de problèmes en mode application. Remarque j'ai jamais essayé cette forme de TSE :D

Reply

Marsh Posté le 05-01-2004 à 15:57:39    

krapaud a écrit :

question de sécurité, t'as envie qu'un utilisateur lambda ne joue à péter ton AD, édites les GPO, passe con compte de user à admin?


 
C'est pas parcequ'il peut se loguer sur un CD qu'un user peut faire tout ca (l'inverse est aussi vrai, c'est pas parce qu'il ne peut pas se loguer sur le serveur qu'un user ne peut pas modifier tout ca), sur le DC ou pas, s'il n'est que user il ne pourra rien faire.
Par defaut effectivement y'a que les admins qui peuvent se connecter sur les DC, mais ca peut se modifier, regarde dans la gpo default domain controller policy qu'on trouve sur l'OU des DC, dans les attributions de droits tu en as un qui s'appelle "ouvrir une session localement", rajoute les users que tu souchaites a la liste.

Reply

Marsh Posté le 05-01-2004 à 16:01:37    

krapaud a écrit :

question de sécurité, t'as envie qu'un utilisateur lambda ne joue à péter ton AD, édites les GPO, passe con compte de user à admin?


 
je suis totalement d'accord avec toi Krapaud.
 
Mais la j'ai pas d'autre choix un seul serveur.
 
D'aprés vous cela est inmodifiable ? (DC = pas de connexion autres que adminstrateur ?)

Reply

Marsh Posté le 05-01-2004 à 16:02:02    

ouais, mais ça sert à quoi d'ouvrir une session sans pouvoir rien faire? du coup, cas que j'ai déjà vvu, l'admin baisse la sécu du DC et l'utilisateur peut éditer dsa.msc si ça lui chante...

Reply

Marsh Posté le 05-01-2004 à 16:02:02   

Reply

Marsh Posté le 05-01-2004 à 16:02:37    

fioul666 a écrit :


 
je suis totalement d'accord avec toi Krapaud.
 
Mais la j'ai pas d'autre choix un seul serveur.
 
D'aprés vous cela est inmodifiable ? (DC = pas de connexion autres que adminstrateur ?)


 
non, les les autres postes, c'est faisable mais bon moi ça ne me plait pas :D

Reply

Marsh Posté le 05-01-2004 à 16:06:11    

El Pollo Diablo a écrit :


 
C'est pas parcequ'il peut se loguer sur un CD qu'un user peut faire tout ca (l'inverse est aussi vrai, c'est pas parce qu'il ne peut pas se loguer sur le serveur qu'un user ne peut pas modifier tout ca), sur le DC ou pas, s'il n'est que user il ne pourra rien faire.
Par defaut effectivement y'a que les admins qui peuvent se connecter sur les DC, mais ca peut se modifier, regarde dans la gpo default domain controller policy qu'on trouve sur l'OU des DC, dans les attributions de droits tu en as un qui s'appelle "ouvrir une session localement", rajoute les users que tu souchaites a la liste.


 
ca ne marche pas; le droits "ouvrir une session localement" je l'ai mis sur la gpo du conteneur "Domain Controler", je l'ai mise aussi sur la gpo  du "domaine controleur local" (Stratégie du controleur de domaine local) et rien n'y fait; se connecter via une session RDP niet !!!
 
Par contre je peux me connecter si je me met directement sur le serveur DC + TSE !!!
 
truc bizarre !!


Message édité par fioul666 le 05-01-2004 à 16:10:14
Reply

Marsh Posté le 05-01-2004 à 16:09:35    

krapaud a écrit :


 
non, les les autres postes, c'est faisable mais bon moi ça ne me plait pas :D


comment fais tu pour ouvrir cet accés ?
 
j'ai toujours le message : "stratégie local ..."
en clair c une strategie qui me bloque !!

Reply

Marsh Posté le 05-01-2004 à 16:14:04    

krapaud a écrit :

ouais, mais ça sert à quoi d'ouvrir une session sans pouvoir rien faire? du coup, cas que j'ai déjà vvu, l'admin baisse la sécu du DC et l'utilisateur peut éditer dsa.msc si ça lui chante...


 
Il peut pas rien faire, il peut faire ce qu'il a le droit. Si y'a word sur le DC, il pourra se servir de word et enregister dans ses dossiers etc... Par contre il ne pourra pas aller s'amuser a changer les mots de passe de ses petits copains ou aller fouiller ou il n'aurait pas eu le droit depuis sa station.

Reply

Marsh Posté le 05-01-2004 à 16:14:51    

fioul666 a écrit :


 
ca ne marche pas; le droits "ouvrir une session localement" je l'ai mis sur la gpo du conteneur "Domain Controler", je l'ai mise aussi sur la gpo  du "domaine controleur local" (Stratégie du controleur de domaine local) et rien n'y fait; se connecter via une session RDP niet !!!
 
Par contre je peux me connecter si je me met directement sur le serveur DC + TSE !!!
 
truc bizarre !!


 
Tu leur a donné le droit de se connecter en TSE au moins a tes users dans leurs profils AD ?

Reply

Marsh Posté le 05-01-2004 à 16:20:06    

fioul666 a écrit :


 
ca ne marche pas; le droits "ouvrir une session localement" je l'ai mis sur la gpo du conteneur "Domain Controler", je l'ai mise aussi sur la gpo  du "domaine controleur local" (Stratégie du controleur de domaine local) et rien n'y fait; se connecter via une session RDP niet !!!
 
Par contre je peux me connecter si je me met directement sur le serveur DC + TSE !!!


 
Tu as la demande de login et ensuite seulement il te balance un message quand tu tente de te loguer ?


Message édité par Requin le 05-01-2004 à 16:20:25
Reply

Marsh Posté le 05-01-2004 à 16:22:25    

El Pollo Diablo a écrit :


 
Tu leur a donné le droit de se connecter en TSE au moins a tes users dans leurs profils AD ?


oui ds l'onglet du user (parametre Terminal services)
2003 est assez verrouillé ..en apparence !!

Reply

Marsh Posté le 05-01-2004 à 16:23:06    

requin a écrit :


 
Tu as la demande de login et ensuite seulement il te balance un message quand tu tente de te loguer ?


 
oui il me dit que la stratégie locale empéche ma connexion au serveur tse !!

Reply

Marsh Posté le 05-01-2004 à 16:28:59    

Regarde du côté de cette page, elle regroupe les article sur TSE de 2003 :
http://support.microsoft.com/commo [...] &LCID=1036

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed