Laboratoire Microsoft |  CertifExpress 
 Le Forum de Réfèrence sur les Technologies Microsoft - http://www.forum-microsoft.org

Gestion acces serveur via AD

Modérateurs : Modérateurs, Modérateurs_Systèmes

Gestion acces serveur via AD

Message par nicklie » Dim 15 Nov 2015, 0:01

Bonjour,
Cela fait un moment que je n'avais plus touché à du réseau et je rencontre un soucis sur la gestion de mon AD:

Voila mon réseau:
---DOMAINE XYZ---
Serveur AD/DNS/DHCP (2008 R2)
Serveur WEB IIS/PARTAGE LOCAL (2008 R2)
Poste 1 assigné à Utilisateur 1
Poste 2 assigné à Utilisateur 2

Tous utilisateurs sont sur le domaine XYZ et gérés par l'AD
Tous les postes + le serveur web sont intégrés au domaine XYZ

Le problème c'est que lorsque je veux me connecter à mon serveur web, n'importe qui peut s'y connecter avec un compte AD, autant l'administrateur que les utilisateurs de base... ça craint !!!

Comment faire en sorte que UNIQUEMENT l'administrateur puisse y accéder ? et donc bloquer tous les autres utilisateurs ?
nicklie
N00b
N00b
 
Message(s) : 5
Inscription : Sam 14 Nov 2015, 23:47

Re: Gestion acces serveur via AD

Message par nicklie » Dim 15 Nov 2015, 13:42

Personne ne peut m'aider ? :(
nicklie
N00b
N00b
 
Message(s) : 5
Inscription : Sam 14 Nov 2015, 23:47

Re: Gestion acces serveur via AD

Message par kelux » Dim 15 Nov 2015, 19:26

Bonjour,

Soyez patient, vous postez un dimanche, et vous avez attendu 13H seulement.

Pour le coup ce n'est pas du "réseau", mais du "système" ;-)

-

Le problème c'est que lorsque je veux me connecter à mon serveur web


Qu'entendez vous par connexion ? connexion RDP ? Connexion HTTP ?
Il faut préciser ce que vous entendez par "connexion" , c'est plutot vaste comme terme.
kelux
Full Member
Full Member
 
Message(s) : 111
Inscription : Mar 05 Fév 2008, 21:37

Re: Gestion acces serveur via AD

Message par nicklie » Lun 16 Nov 2015, 13:09

ok j'ai été un peu hâtif

Qu'entendez vous par connexion ? connexion RDP ? Connexion HTTP ?
Il faut préciser ce que vous entendez par "connexion" , c'est plutôt vaste comme terme.

non je parle de s'y connecter en local, en rentrant les identifiants avec ctrl alt suppr

je n'ai pas de salle serveur verrouillée, tout est dans mon bureau et je n'ai pas envie qu'un des utilisateurs se connecte à mes serveurs !!
Et pourtant après avoir testé, utilisateur 1 et 2 peuvent s'y connecter en rentrant leurs identifiants AD
nicklie
N00b
N00b
 
Message(s) : 5
Inscription : Sam 14 Nov 2015, 23:47

Re: Gestion acces serveur via AD

Message par kelux » Lun 16 Nov 2015, 14:42

Bonjour,

Vous avez peut-être touché à un droit de type "Allow logon locally" (ouvrir une session localement - je ne connais pas la traduction exacte FR)

1. Vérifiez si une GPO a ce paramètre et qu'elle est apliquée à ce serveur.

2. Vérifiez la GP locale sur le serveur : GPedit.msc ; cherchez le même droit.

3. Vérifiez les groupes locaux sur le serveur IIS : est ce que des users ne seraient pas dans des groupes types admins ou autres ?

4. Vérifiez dans AD, les groupes auxquels appartient les 2 comptes en question.

5. Test : crééz un nouveau compte vierge et tentez de se logguer sur le serveur localement.
kelux
Full Member
Full Member
 
Message(s) : 111
Inscription : Mar 05 Fév 2008, 21:37

Re: Gestion acces serveur via AD

Message par magnancc51 » Lun 16 Nov 2015, 15:10

En effet, les paramètres de sécurité ont du être modifiés car par défaut, les users ne peuvent pas se connecter sur un serveur.
MCSA 2000/2003 Messagerie - MCSE 2000/2003 - MCITP Enterprise Administrator - MCTS Exchange 2010 - MCSA 2008/2012
Avatar de l’utilisateur
magnancc51
Keyboard Master
Keyboard Master
 
Message(s) : 5756
Inscription : Jeu 14 Oct 2004, 14:00
Localisation : Aix en Provence

Re: Gestion acces serveur via AD

Message par nicklie » Mar 17 Nov 2015, 19:28

Alors les paramètres n'ont pas pu être modifiés par défaut car c'est moi qui ai créé les 2 serveurs.

1. Vérifiez si une GPO a ce paramètre et qu'elle est apliquée à ce serveur.

2. Vérifiez la GP locale sur le serveur : GPedit.msc ; cherchez le même droit.

3. Vérifiez les groupes locaux sur le serveur IIS : est ce que des users ne seraient pas dans des groupes types admins ou autres ?

4. Vérifiez dans AD, les groupes auxquels appartient les 2 comptes en question.

5. Test : crééz un nouveau compte vierge et tentez de se logguer sur le serveur localement.


1. Ou trouver cette possible GPO ?
2. Lorsque je tape gpedit.msc sur le serveur web, ça me met accès refusé
3. non les administrateurs sont bien administrateurs, les users sont bien users
4. les 2 comptes appartiennent à des UO qui ne sont configurés comme users simples.
5. lorsque je crée un compte vierge sur l'AD, il se connecte. Avec un compte local sur le serveur web

Par contre j'ai remarqué que lorsque je me logue en administrateur AD ou du serveur, j'ai accès à l'extinction du serveur.
En utilisateur simple je ne peux pas éteindre le serveur ni le redémarré. Il y a donc des restrictions apparemment, non ?
nicklie
N00b
N00b
 
Message(s) : 5
Inscription : Sam 14 Nov 2015, 23:47

Re: Gestion acces serveur via AD

Message par kelux » Mar 17 Nov 2015, 20:10

Bonsoir,

1. Les GPO, c'est chez vous que ça se passe, je ne vais pas deviner les GPO que vous avez sur l'infra AD ... c'est à vous de chercher celle qui contiendrait le paramètre en question. Regardez du coté de la simulation de jeu de stratégie résultant dans les GPOs (Rsop), vous le faites sur le serveur IIS.

2. accès refusé : problème de droit ou d'élévation de privilèges pour lancer gpedit.msc : ouvrir un cmd en tant qu'admin, puis lancer gpedit.msc

3. un user peut avoir des droits en local autre qu'administrateur, d'où ma question ...avez vous bien regardé TOUS les groupes locaux du serveur IIS.(pas que administrateur local ... il y en a d'autres : opérateurs de sauvegarde, bureau à distance etc ...)

4. Je ne parle pas d'unité d'organisations mais bien des groupes auxquels les comptes appartiennent dans AD (Membre de...)

5. que vient faire un compte local ici ?

En utilisateur simple je ne peux pas éteindre le serveur ni le redémarré. Il y a donc des restrictions apparemment, non ?
Non, ça confirme juste que certains utilisateurs ont le droit d'ouvrir une session localement sur ce serveur (voir le commentaire de Magnancc51) et que le droit a été explicitement donné/paramétré ; de base ils ne l'ont pas.
Le plus souvent on donne ce type droit via des stratégies de groupe.
kelux
Full Member
Full Member
 
Message(s) : 111
Inscription : Mar 05 Fév 2008, 21:37

Re: Gestion acces serveur via AD

Message par nicklie » Mar 17 Nov 2015, 21:37

Kelux, arrêtez moi si je me trompe, mais de ce que je comprends, le problème serait donc localisé sur l'AD, c'est bien ça ?

Parce que lorsque j'ai créé le serveur IIS (avec fonctionnalité TelNet), je n'ai pas touché aux autorisations. Ensuite je l'ai ajouté à au domaine, et c'est à ce moment la, en testant, que j'ai vu que n'importe qui y accédait.

Rien de plus, rien de moins.
Aucune GPO créée sur le serveur IIS

Donc cela viendrait des paramètres de l'AD uniquement ?
nicklie
N00b
N00b
 
Message(s) : 5
Inscription : Sam 14 Nov 2015, 23:47

Re: Gestion acces serveur via AD

Message par kelux » Mar 17 Nov 2015, 22:48

Les GPOs sont stockées dans AD.
C'est depuis le départ l'hypothèse que l'on essaye de vérifier, un paramètre qui est reçu par le serveur IIS via les GPO.

On vous donne la démarche dans le point 1.
kelux
Full Member
Full Member
 
Message(s) : 111
Inscription : Mar 05 Fév 2008, 21:37


Retour vers Gestion des Utilisateurs (et autres objets AD)

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 2 invité(s)



Accueil | News | Articles | Tips | Outils | Certification | Easters Eggs
Essentiels | Glossaire | Vidos | Whitepapers | Essentiels | Bote Scripts
Conditions d'utilisation & Copyright | Respect de la vie prive