Serveur d'impression

Autoriser la connexion localement | Microsoft Docs – Bien choisir son serveur d impression

Le 16 octobre 2019 - 7 minutes de lecture

<! – ->

S'applique à: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Cette rubrique de référence sur les stratégies de sécurité pour les professionnels de l'informatique décrit les meilleures pratiques, l'emplacement, les valeurs, la gestion des stratégies et la sécurité pour ce paramètre de stratégie.

Référence

Ce paramètre de stratégie détermine les utilisateurs pouvant démarrer une session interactive sur l'ordinateur. Les utilisateurs doivent disposer de ce droit pour ouvrir une session sur une session des services Bureau à distance ou des services Terminal Server exécutée sur un ordinateur membre ou un contrôleur de domaine Windows.

Remarque

Les utilisateurs qui ne disposent pas de ce droit sont toujours en mesure de démarrer une session interactive à distance sur l’ordinateur s’ils disposent du Autoriser la connexion via les services Bureau à distance droite.

Ce paramètre de stratégie est pris en charge sur les versions de Windows désignées dans le S'applique à liste au début de ce sujet.

Constante: SeInteractiveLogonRight

Valeurs possibles

Par défaut, les membres des groupes suivants ont ce droit sur les postes de travail et les serveurs:

  • Administrateurs

  • Opérateurs de sauvegarde

  • Utilisateurs

Par défaut, les membres des groupes suivants ont ce droit sur les contrôleurs de domaine:

  • Opérateurs de compte

  • Administrateurs

  • Opérateurs de sauvegarde

  • Opérateurs d'impression

  • Opérateurs de serveur

Les meilleures pratiques

  1. Limitez ce droit d’utilisateur aux utilisateurs légitimes qui doivent se connecter à la console de l’ordinateur.

  2. Si vous supprimez de manière sélective des groupes par défaut, vous pouvez limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre organisation.

Emplacement

GPO_name Configuration ordinateur Paramètres Windows Paramètres de sécurité Stratégies locales Attribution de droits utilisateur

Les valeurs par défaut

Le tableau suivant répertorie les valeurs de stratégie par défaut réelles et effectives pour les versions les plus récentes de Windows prises en charge. Les valeurs par défaut sont également répertoriées sur la page de propriétés de la stratégie.

Type de serveur ou objet de stratégie de groupe

Valeur par défaut

Stratégie de domaine par défaut

Non défini

Stratégie de contrôleur de domaine par défaut

Opérateurs de compte

Administrateurs

Opérateurs de sauvegarde

Opérateurs d'impression

Opérateurs de serveur

Paramètres par défaut du serveur autonome

Administrateurs

Opérateurs de sauvegarde

Utilisateurs

Paramètres par défaut du contrôleur de domaine

Opérateurs de compte

Administrateurs

Opérateurs de sauvegarde

Opérateurs d'impression

Opérateurs de serveur

Paramètres par défaut effectifs du serveur membre

Administrateurs

Opérateurs de sauvegarde

Utilisateurs

Paramètres par défaut effectifs de l'ordinateur client

Administrateurs

Opérateurs de sauvegarde

Utilisateurs

Différences de version du système d'exploitation

Il n’existe aucune différence dans le fonctionnement de ce paramètre de stratégie entre les versions prises en charge sur Windows désignées dans le S'applique à liste au début de ce sujet. Les services de bureau à distance étaient auparavant appelés services de terminal.

Gestion de la politique

Le redémarrage de l'ordinateur n'est pas nécessaire pour implémenter cette modification.

Toute modification de l'attribution des droits d'utilisateur pour un compte prend effet à la prochaine ouverture de session du propriétaire du compte.

La modification de ce paramètre peut affecter la compatibilité avec les clients, les services et les applications. Soyez prudent lorsque vous supprimez des comptes de service utilisés par des composants et des programmes sur des ordinateurs membres et sur des contrôleurs de domaine du domaine, à partir de la stratégie du contrôleur de domaine par défaut. Faites également preuve de prudence lorsque vous supprimez des utilisateurs ou des groupes de sécurité qui se connectent à la console des ordinateurs membres du domaine, ou des comptes de service définis dans la base de données SAM (Security Accounts Manager) locale des ordinateurs membres ou des groupes de travail.

Si vous souhaitez permettre à un compte d'utilisateur de se connecter localement à un contrôleur de domaine, vous devez définir cet utilisateur comme membre d'un groupe qui possède déjà le Ouverture de session autorisée localement droit système ou accorder le droit à ce compte utilisateur.

Les contrôleurs de domaine du domaine partagent l'objet de stratégie de groupe des contrôleurs de domaine par défaut. Lorsque vous accordez un compte le Autoriser la connexion localement à droite, vous autorisez ce compte à se connecter localement à tous les contrôleurs de domaine du domaine.

Si le groupe Utilisateurs est répertorié dans le Autoriser l'ouverture de session locale En définissant un objet de stratégie de groupe, tous les utilisateurs du domaine peuvent se connecter localement. Le groupe intégré Utilisateurs contient les utilisateurs du domaine en tant que membre.

Stratégie de groupe

Les paramètres de stratégie de groupe sont appliqués via les objets de stratégie de groupe dans l'ordre suivant, ce qui écrasera les paramètres sur l'ordinateur local lors de la prochaine mise à jour de la stratégie de groupe:

  1. Paramètres de stratégie locaux

  2. Paramètres de stratégie de site

  3. Paramètres de stratégie de domaine

  4. Paramètres de stratégie d'unité d'organisation

Considérations de sécurité

Cette section décrit comment un attaquant peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure et les conséquences négatives possibles de cette implémentation.

Vulnérabilité

Tout compte avec le Autoriser l'ouverture de session locale droit d'utilisateur peut se connecter à la console de l'ordinateur. Si vous ne limitez pas ce droit d’utilisateur aux utilisateurs légitimes qui doivent ouvrir une session sur la console de l’ordinateur, des utilisateurs non autorisés peuvent télécharger et exécuter des logiciels malveillants afin d’élargir leurs privilèges.

Contre-mesure

Pour les contrôleurs de domaine, affectez le Autoriser l'ouverture de session locale utilisateur uniquement sur le groupe Administrateurs. Pour d'autres rôles de serveur, vous pouvez choisir d'ajouter des opérateurs de sauvegarde en plus des administrateurs. Pour les ordinateurs des utilisateurs finaux, vous devez également attribuer ce droit au groupe Utilisateurs.

Vous pouvez également affecter des groupes tels que les opérateurs de compte, les opérateurs de serveur et les invités au Refuser d'ouvrir une session localement droit d'utilisateur.

Impact potentiel

Si vous supprimez ces groupes par défaut, vous pouvez limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre environnement. Si vous avez installé des composants optionnels tels que ASP.NET ou IIS, vous devrez peut-être attribuer le Autoriser l'ouverture de session locale droit de l'utilisateur sur les comptes supplémentaires requis par ces composants. IIS nécessite que ce droit d’utilisateur soit attribué à IUSR_ Compte. Vous devez confirmer que les modifications que vous apportez à la base de données n'affectent pas les activités déléguées. Autoriser l'ouverture de session locale attributions de droits d'utilisateur.

Voir également

Attribution des droits de l'utilisateur

<! – ->

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.