Autoriser la connexion localement | Microsoft Docs – Bien choisir son serveur d impression

31/08/2016 4 minutes pour lire

Dans cet article

<! – -> S'applique à: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 Cette rubrique de référence sur les stratégies de sécurité pour les professionnels de l'informatique décrit les meilleures pratiques, l'emplacement, les valeurs, la gestion des stratégies et la sécurité pour ce paramètre de stratégie. Référence Ce paramètre de stratégie détermine les utilisateurs pouvant démarrer une session interactive sur l'ordinateur. Les utilisateurs doivent disposer de ce droit pour ouvrir une session sur une session des services Bureau à distance ou des services Terminal Server exécutée sur un ordinateur membre ou un contrôleur de domaine Windows.

Remarque Les utilisateurs qui ne disposent pas de ce droit sont toujours en mesure de démarrer une session interactive à distance sur l’ordinateur s’ils disposent du Autoriser la connexion via les services Bureau à distance droite.

Ce paramètre de stratégie est pris en charge sur les versions de Windows désignées dans le S'applique à liste au début de ce sujet. Constante: SeInteractiveLogonRight Valeurs possibles Par défaut, les membres des groupes suivants ont ce droit sur les postes de travail et les serveurs:

Administrateurs

Opérateurs de sauvegarde

Utilisateurs

Par défaut, les membres des groupes suivants ont ce droit sur les contrôleurs de domaine:

Opérateurs de compte

Administrateurs

Opérateurs de sauvegarde

Opérateurs d'impression

Opérateurs de serveur

Les meilleures pratiques

Limitez ce droit d’utilisateur aux utilisateurs légitimes qui doivent se connecter à la console de l’ordinateur.

Si vous supprimez de manière sélective des groupes par défaut, vous pouvez limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre organisation.

Emplacement GPO_name Configuration ordinateur Paramètres Windows Paramètres de sécurité Stratégies locales Attribution de droits utilisateur Les valeurs par défaut Le tableau suivant répertorie les valeurs de stratégie par défaut réelles et effectives pour les versions les plus récentes de Windows prises en charge. Les valeurs par défaut sont également répertoriées sur la page de propriétés de la stratégie.

Type de serveur ou objet de stratégie de groupe

Valeur par défaut

Stratégie de domaine par défaut

Non défini

Stratégie de contrôleur de domaine par défaut

Opérateurs de compte Administrateurs Opérateurs de sauvegarde Opérateurs d'impression Opérateurs de serveur

Paramètres par défaut du serveur autonome

Administrateurs Opérateurs de sauvegarde Utilisateurs

Paramètres par défaut du contrôleur de domaine

Opérateurs de compte Administrateurs Opérateurs de sauvegarde Opérateurs d'impression Opérateurs de serveur

Paramètres par défaut effectifs du serveur membre

Administrateurs Opérateurs de sauvegarde Utilisateurs

Paramètres par défaut effectifs de l'ordinateur client

Administrateurs Opérateurs de sauvegarde Utilisateurs

Différences de version du système d'exploitation Il n’existe aucune différence dans le fonctionnement de ce paramètre de stratégie entre les versions prises en charge sur Windows désignées dans le S'applique à liste au début de ce sujet. Les services de bureau à distance étaient auparavant appelés services de terminal. Gestion de la politique Le redémarrage de l'ordinateur n'est pas nécessaire pour implémenter cette modification. Toute modification de l'attribution des droits d'utilisateur pour un compte prend effet à la prochaine ouverture de session du propriétaire du compte. La modification de ce paramètre peut affecter la compatibilité avec les clients, les services et les applications. Soyez prudent lorsque vous supprimez des comptes de service utilisés par des composants et des programmes sur des ordinateurs membres et sur des contrôleurs de domaine du domaine, à partir de la stratégie du contrôleur de domaine par défaut. Faites également preuve de prudence lorsque vous supprimez des utilisateurs ou des groupes de sécurité qui se connectent à la console des ordinateurs membres du domaine, ou des comptes de service définis dans la base de données SAM (Security Accounts Manager) locale des ordinateurs membres ou des groupes de travail. Si vous souhaitez permettre à un compte d'utilisateur de se connecter localement à un contrôleur de domaine, vous devez définir cet utilisateur comme membre d'un groupe qui possède déjà le Ouverture de session autorisée localement droit système ou accorder le droit à ce compte utilisateur. Les contrôleurs de domaine du domaine partagent l'objet de stratégie de groupe des contrôleurs de domaine par défaut. Lorsque vous accordez un compte le Autoriser la connexion localement à droite, vous autorisez ce compte à se connecter localement à tous les contrôleurs de domaine du domaine. Si le groupe Utilisateurs est répertorié dans le Autoriser l'ouverture de session locale En définissant un objet de stratégie de groupe, tous les utilisateurs du domaine peuvent se connecter localement. Le groupe intégré Utilisateurs contient les utilisateurs du domaine en tant que membre. Stratégie de groupe Les paramètres de stratégie de groupe sont appliqués via les objets de stratégie de groupe dans l'ordre suivant, ce qui écrasera les paramètres sur l'ordinateur local lors de la prochaine mise à jour de la stratégie de groupe:

Paramètres de stratégie locaux

Paramètres de stratégie de site

Paramètres de stratégie de domaine

Paramètres de stratégie d'unité d'organisation

Considérations de sécurité Cette section décrit comment un attaquant peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure et les conséquences négatives possibles de cette implémentation. Vulnérabilité Tout compte avec le Autoriser l'ouverture de session locale droit d'utilisateur peut se connecter à la console de l'ordinateur. Si vous ne limitez pas ce droit d’utilisateur aux utilisateurs légitimes qui doivent ouvrir une session sur la console de l’ordinateur, des utilisateurs non autorisés peuvent télécharger et exécuter des logiciels malveillants afin d’élargir leurs privilèges. Contre-mesure Pour les contrôleurs de domaine, affectez le Autoriser l'ouverture de session locale utilisateur uniquement sur le groupe Administrateurs. Pour d'autres rôles de serveur, vous pouvez choisir d'ajouter des opérateurs de sauvegarde en plus des administrateurs. Pour les ordinateurs des utilisateurs finaux, vous devez également attribuer ce droit au groupe Utilisateurs. Vous pouvez également affecter des groupes tels que les opérateurs de compte, les opérateurs de serveur et les invités au Refuser d'ouvrir une session localement droit d'utilisateur. Impact potentiel Si vous supprimez ces groupes par défaut, vous pouvez limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre environnement. Si vous avez installé des composants optionnels tels que ASP.NET ou IIS, vous devrez peut-être attribuer le Autoriser l'ouverture de session locale droit de l'utilisateur sur les comptes supplémentaires requis par ces composants. IIS nécessite que ce droit d’utilisateur soit attribué à IUSR_ Compte. Vous devez confirmer que les modifications que vous apportez à la base de données n'affectent pas les activités déléguées. Autoriser l'ouverture de session locale attributions de droits d'utilisateur. Voir également Attribution des droits de l'utilisateur <! – ->

Click to rate this post! [Total: 0 Average: 0]