Bonjour à tous,
J'ai un petit problème de sécurité en interne dans ma société, tout le monde peux se connecter via le bureau à distance sur le serveur AD avec ces identifiants de connexion AD classique alors que je n'ai de stipuler comme utilisateur uniquement "administrateur" dans les paramètres de bureau à distance sous WS 2016.
 
Je pense que ça viens de ma GPO ou j'ai ajouté mes utilisateurs dans "Groupe restreints" en tant que membre du Groupe "Administrateurs", sauf que cette option est voulu pour permettre à tout les utilisateurs d'être admin de leur pc en local.
 
J'aimerais donc savoir comme faire pour éviter que mes utilisateurs puissent avoir accès au serveur via leur propre identifiant ?
 
Merci d'avance pour votre retour.
 

Ta GPO doit s'appliquer à l'OU des ordinateurs de tes utilisateurs.
Pas à l'OU où se trouve ton AD.
Es-tu sur que tu as bien segmenté ton arborescence d'OU dans ton AD en mettant d'un côté tes postes de travail et d'un autre tes serveurs?

Vu que visiblement tu as rendu tes utilisateurs admin du domaine c'est normal. Ou alors ton dc est aussi tse. Dans tous les cas tu fais n'importe quoi, et la taille de secu...c'est toi

on me l'avait jamais faite celle là

Si tu veux que les utilisateurs soient admins de leurs PCs, tu définis sur chaque PC le compte AD de l'utilisateur dans le groupe des administrateurs locaux.
 
Avec ta GPO, chaque utilisateur peut être admin de n'importe quel PC, et visiblement mal appliquée, des DC aussi
 
Au passage, il n'est pas recommandé que les utilisateurs soient admins de leurs PCs.
Au final, ce n'est peut-être donc pas à faire du tout.
Il faut se poser la question du "faut-il vraiment qu'ils soient admins de leurs PCs".

 
La réponse à cette dernière question : créer un compte AD différent de celui de l'utilisateur et le rendre admin uniquement du poste en question.

Déjà mettre tous les users admin de leur poste..... rien que cette idée est horrible

 
Ah oui, effectivement, le serveur AD reçoit aussi cette propagation de GPO vu que mes OU sont basé sur des utilisateurs et non des ordinateurs, merci je vais tester ça tout de suite.
 

 
J'aimerais bien, mais ma direction est assez laxiste et chacun utilise sont pc portable pro pour le perso donc dès que ça bloque, ça gueule ...    
 

Je suis bien d'accord  

C'est très contextuel après.

Bas si c'est une petite boîte avec des mecs qui bossent que sur du bas niveau (électronicien par exemple) oui certain soft pour compiler exigent d'être admin (J'ai eu ça dans un BE dans mon ancienne boîte).
 
Mais souvent ça reste un service ou deux, pas toute une société. Souvent c'est plus un besoin d'élever ses droits pour installer un soft de temps en temps.

junaco : tu peux leur expliqué que c'est pour la sécurité.
La sécurité .... c'est des contraintes. Les virus se propagent trés bien quand l'utilisateur est administrateur
J'avais trouvé des plaquettes sur les bonnes méthodes argumenté sur l'anssi "Agence nationale de la sécurité des systèmes d'information".
https://www.ssi.gouv.fr/
Si tu explique calmement, ton point de vue sera entendu.  
 
Car taper un utilisateur avec son clavier ... ça ne fonctionne pas !

 
J'ai aussi ça, mes collègues automaticien installent souvent des logiciels de programmation pour chaque nouvel automate à configurer, donc quand ils sont en déplacement, c'est compliqué de faire un "gpupdate /force" (si je les switch de groupe) quand il n'ont pas de connexion interne chez le client à l'international.
 

 
Merci pour le lien, je vais récupérer quelques bonne pratique à divulguer et à afficher surtout.