Interdire l’ouverture de session Windows avec des comptes de service
Cible
Les comptes de service utilisés par vos outils tiers pour interroger le LDAP ou se connecter à vos partages, par exemple, les comptes de copieurs ou de scanners, ont très souvent des mots de passe inchangés.
Il est donc important de leur donner un minimum de droits d’accès et de les empêcher d’ouvrir des sessions interactives sur votre domaine.
Configuration
Créer une unité d’organisation « Services_accounts » et créer le compte de service de type utilisateur.
Attention
Si vous avez déja créé le compte de service dans votre application, vous pouvez le reconfigurer avec son nouveau base DN.
Créer un nouveau groupe « services_group » et ajouter tous vos comptes de service dedans.
Créer un GPO de type Ordinateur « disable_logon_service_account » et l’appliquer sur tout le domaine.
Configuration Ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Attribution des droits utilisateur
Double cliquer sur 'Interdire l’ouverture de session par les services Terminal Server'
Cocher « Définir ces paramètres de stratégie »
Ajouter le groupe
Fermer la fenêtre
Double cliquer sur « Interdire l’ouverture d’une session locale »
Cocher « Définir ces paramètres de stratégie »
Ajouter le groupe
Fermer la fenêtre
Vérifier après le redémarrage d’un ordinateur si la GPO fonctionne correctement