Interdire l’ouverture de session Windows avec des comptes de service

Cible

Les comptes de service utilisés par vos outils tiers pour interroger le LDAP ou se connecter à vos partages, par exemple, les comptes de copieurs ou de scanners, ont très souvent des mots de passe inchangés.

Il est donc important de leur donner un minimum de droits d’accès et de les empêcher d’ouvrir des sessions interactives sur votre domaine.

Configuration

  • Créer une unité d’organisation « Services_accounts » et créer le compte de service de type utilisateur.

Attention

Si vous avez déja créé le compte de service dans votre application, vous pouvez le reconfigurer avec son nouveau base DN.

  • Créer un nouveau groupe « services_group » et ajouter tous vos comptes de service dedans.

  • Créer un GPO de type Ordinateur « disable_logon_service_account » et l’appliquer sur tout le domaine.

  • Configuration Ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Attribution des droits utilisateur

  • Double cliquer sur 'Interdire l’ouverture de session par les services Terminal Server'

  • Cocher « Définir ces paramètres de stratégie »

  • Ajouter le groupe

  • Fermer la fenêtre

  • Double cliquer sur « Interdire l’ouverture d’une session locale »

  • Cocher « Définir ces paramètres de stratégie »

  • Ajouter le groupe

  • Fermer la fenêtre

  • Vérifier après le redémarrage d’un ordinateur si la GPO fonctionne correctement