Bonjour
 
Je voudrais savoir s'il est possible (notamment via GPO) de pouvoir restreindre l'accès aux comptes administrateurs (domaine et/ou local) à certaines machines ou groupes de machines bien identifiées.
 
L'idée est que seules des stations bien identifiées puissent se loguer en tant qu'admin sur un serveur. Les autres sont refusées.
 
J'imagine que cela est possible mais je voudrais avoir confirmation et surtout comment (via une OU, via les noms DNS des machines, etc)
 
Merci d'avance

Mise à part mettre de l'ipsec et des règles de fw qui vont bien j'ai pas d'autres idées

salut,

une gpo appliquée sur un groupe d'ordi

va y explicite

+1 pour le firewall.

 
tu peux nous en dire plus ?  
 

Par rapport au FW je suis pas certain que ce soit la solution.

L'idée est de distinguer les acces user et les accès admin.

Un utilisateur doit pouvoir accéder au serveur. Un admin aussi, mais uniquement depuis des machines identifiées et connues.

A moins qu'on puisse lier les règles du FW Windows à des objets et des comptes de l'AD...?

PS : pour la GPO merci de préciser effectivement...

PS2 : si c'est pas possible comme imaginé est ce que l'on peut faire la chose suivante : 2 NIC sur le serveur. 1 NIC "tout ouvert"; 1 NIC restreinte aux seules possibilités d'identification d'un compte admin? Ca peut se gérer au niveau de la config du serveur?

je vois que l'utilisation d'ipsec et du firewall qui autorise les connexion sécurisées en ayant comme authentification le token kerberos soit de la machine soit de l'utilisateur (enfin l'admin)

Tu peux me préciser un peu stp; je suis pas un pro des serveurs Windows.
 
L'idée c'est que si qlq'un veut se connecter en mode admin, alors ça ne peut être que depuis une machine (ou groupe de machine) bien identifiée. Par contre cela ne doit pas empecher un utilisateur lambda de pouvoir y accéder.
 
Merci

un user y accède comment ?
un admin y accède comment ?

ce que je ne comprend pas c'est comment un user choisi d'etre en admin ou non ?

Et pourquoi ne pas simplement restreindre le bureau a distance de ton serveur aux seuls admins  ?
 
tu peux faire ça via le gestionnaire de serveur > onglet serveur local > menu bureau à distance > box clickable "selectionner des utilisateurs" .  
 
Parce que la à mon avis t'es en train de te prendre la tête pour pas grand chose, et de vouloir mettre en place une solution qui de toute évidence dépasse tes compétences ( c'est pas un reproche c'st un constat   )

pour le coup c'est typiquement a ca que je pensais

 
Mon idée c'est de voir si on peut faire un réseau de management OOB.
 
Ca change rien de restreindre l'accès distant RDP aux seuls admins. N'importe qui peut ouvrir une session RDP sur le serveur et tenter une attaque brute force...