Sécurité : empêcher l’ouverture de session local sur les serveurs Windows

Windows Server 2012R2  Windows Server 2016  Windows Server 2019

Intro

Dans ce tutoriel, nous allons voir comment empêcher l’ouverture de session local sur les serveurs Windows.

Ce qu’il faut savoir, c’est que par défaut tous les utilisateurs sont autorisés à ouvrir une session locale sur Windows sauf pour les contrôleurs de domaine.

Pour les serveurs en groupe de travail (Workgroup), le problème se pose moins mais pour les serveurs membres d’un domaine, tous les utilisateurs peuvent ouvrir une session locale à condition d’avoir un accès physique à la machine où par des outils du type Teamviewer.

Empêcher l’ouverture de session local

Dans le tutoriel, la manipulation est faite en local, il est tout à fait possible de le faire par une stratégie de groupe par l’Active Directory.

Ouvrir la console Editeur de stratégie de groupe locale (gpedit.msc) et aller à l’emplacement Configuration ordinateur / Paramètres Windows / Paramètres de sécurité / Stratégies locales / Attribution des droits utilisateur. Ouvrir par un double clic le paramètre Permettre l’ouverture d’une session locale 1.

Comme on peut le voir sur la capture ci-dessous, les utilisateurs ont l’autorisation d’ouvrir une session locale (les sessions bureau à distance ne sont pas concernées). Sélectionner Utilisateurs 1 et cliquer sur le bouton Supprimer 2.

Cliquer sur Appliquer 1 et OK 2 pour valider le paramètre.

Maintenant forcer la mise à jour des stratégies de groupe en ouvrant une invite de commande (cmd) en Administrateur et entrer la commande gpupdate /force.

Il n’est maintenant plus possible pour les utilisateurs d’ouvrir une session locale sur le serveur.

Compléments

Dans un environnement Active Directory, il est aussi possible d’utiliser les stratégies d’authentification pour limiter l’ouverture de session sur les serveurs Windows.

Je vous déconseille fortement de supprimer du groupe local Utilisateurs l’objet Utilisateurs du domaine, en procédant ainsi, vous pourriez bloquer l’accès à certaines ressources partagées



Related Posts


Active Directory : stratégie de mot de passe – PSO

SommaireIntroductionCréer une stratégie de mot de passeCréer une seconde stratégieIdentifier la stratégie de mot passe qui s'appliqueIdentifier la stratégie de mot de passe d'un utilisateurIdentifier

AppLocker : configuration dans un environnement Active Directory

SommairePrésentationPrérequisGPO : Configuration d'AppLockerValider le fonctionnement d'AppLockerConclusion Présentation Dans ce tutoriel, nous allons voir comment configurer AppLocker dans un environ

Windows serveur : Activer les clichés instantanés

Présentation des clichés instantanés Les clichés instantanés aussi appelé Version précédentes ou encore snapshot en anglais est une fonctionnalité disponible sur les versions serveurs de Windows. Elle

Retour haut de page