Restreindre l’ajout de machines au domaine

I. Présentation

Lors de la création d’un domaine, deux objets de stratégies de groupe (GPO) sont créés :

- Default Domain Policy (s’applique au domaine),
- Default Domain Controllers Policy (s’applique au(x) contrôleur(s) de domaine).

Dans la seconde, le paramètre « Ajouter des stations de travail au domaine » est défini et permet à tous les utilisateurs authentifiés sur le domaine d’ajouter et de retirer des machines du domaine.

domain1

Autant vous dire que c’est d’une part un trou de sécurité et d’autre part cela peut engendrer une perte de contrôle si n’importe quel utilisateur authentifié sur le domaine peut ajouter et retirer des postes du domaine.

A la fin de la création du domaine, il est essentiel de modifier ce paramètre afin de le restreindre uniquement à certains groupes, comme par exemple le groupe des Administrateurs. Ce qui semble beaucoup plus logique et raisonnable.

Dans ce tutoriel nous allons voir où trouver ce paramètre dans les stratégies de groupe et nous allons le paramétrer.

II. Paramétrage

Sur votre serveur, accédez à la console « Gestion des stratégies de groupe » en cliquant sur « Démarrer » puis « Outils d’administration ».

domain2

Développez l’arborescence de votre domaine, jusqu’à trouver « Objets de stratégie de groupe ». C’est dans cette section que vous trouverez l’intégralité de vos objets GPO.

domain3

Afin de modifier l’objet « Default Domain Controllers Policy » faites clic droit dessus puis « Modifier… ».

domain7

Vous devez maintenant développer l’arborescence de la manière suivante :

« Configuration ordinateur », « Stratégies », « Paramètres Windows », « Paramètres de sécurité », « Stratégies locales » puis « Attribution des droits utilisateurs ». Une fois que vous y êtes, vous devriez voir le paramètre « Ajouter des stations de travail au domaine » comme je vous l’ai dit dans la présentation.

Double cliquez dessus, sélectionnez « Utilisateurs authentifiés » et cliquez sur « Supprimer » pour supprimer cette autorisation.

domain4

Il faut désormais ajouter le groupe « Administrateurs » dans la liste. Cliquez sur « Ajouter un utilisateur ou un groupe » et saisissez « Administrateurs » et cliquez sur « OK ».

Note : Attention aux fautes de frappe !

domain5

Vous pouvez éventuellement cliquez sur « Parcourir » afin de rechercher dans l’Active Directory le groupe que vous souhaitez ajouter pour l’autoriser.

Il ne vous reste plus qu’à cliquer sur « Appliquer » et « OK » pour valider le paramétrage. Vous pouvez fermer les différentes fenêtres ouvertes.

domain6

Avec ce simple paramètre, vous venez d’accroître la sécurité de votre domaine.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Consultant chez Délibérata le jour, blogueur pour IT-Connect la nuit, je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian a publié 2683 articlesVoir toutes les publications de cet auteur

3 thoughts on “Restreindre l’ajout de machines au domaine

  • Clair, net et précis ! Que dire de plus à part…merciiiiiii !

    Répondre
  • Parfait !
    Je ne savais même pas que par défaut l’AD autorisait n’importe quel utilisateur de son domaine à pouvoir ajouter des PC dedans…
    Merci c’est corrigé sur mon AD !

    Répondre
  • Bonjour, j’ai fais ces manips et rajouté en plus un groupe pour donner ce droit à plusieurs users définis.
    Mais les membres de ce groupe ne peuvent toujours pas rajouter des pc au domaine.
    Avec un rsop.msc, je vois bien que la gpo s’est bien appliquée pourtant.
    Une idée ?

    Merci

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.