Question Gestion des policies locales à un ordinateur

Plus d'informations
il y a 12 ans 11 mois #2319 par Patrick Berthon
Bonjour,

J'aimerais gérer grâce à Powershell les stratégies de sécurité locales. Plus particulièrement \"Ouvrir une session localement\".

(Démarrer, Panneau de config, Outils d'administration, Stratégie de sécurité Locale, Paramètres de sécurité, Attribution des droits utilisateur, Ouvrir une session localement)

Il faudrait que je puisse supprimer des utilisateurs ou groupes (Utilisateurs ou Utilisateurs avec pouvoir) et que je puisse en rajouter d'autres (DOMAINE\\compte).

J'ai un peu écumé le Web, et je n'ai pas trouvé mon bonheur.

Y'a-t-il une méthode simple ? (j'aimerais si possible éviter d'installer des outils/bibliothèques tierce-partie)

Merci de votre aide.

Zylwee

Message édité par: Zylwee, à: 22/05/08 15:17<br><br>Message édité par: Zylwee, à: 22/05/08 15:18

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 12 ans 10 mois #2320 par Arnaud Petitjean
Bonjour Zylwee et bienvenue sur le forum !!!

En principe toutes les actions réalisées au niveau des stratégies locales se traduisent par des modifications au niveau de la base de registres. Par conséquent, c'est très facile de modifier le registre avec PowerShell mais encore faut-il arriver à trouver la bonne clé...

Ceci étant, toutes les options possibles que tu trouves dans la console mmc/Stratégie ordinateur local ou gpedit.msc sont décrites dans des fichiers .adm; et en analysant le bon fichier tu peux trouver l'endroit précis dans la base de registres qui est impacté. Tous les fichiers ADM sont des fichiers textes placés dans le répertoire C:\Windows\Inf.

Tu peux aussi faire une comparaison de base de registres avant/après modifications pour trouver la clé de registre ou encore utiliser un outil comme RegMon.

D'autre part, je pense que vu ta demande, tu souhaites faire cela sur des serveurs. Donc il vaudrait utiliser des GPO pour faire cela. A moins que ta machine soit dans un workgroup ?

Peux tu nous dire quel est exactement le contexte ?

Arnaud

MVP PowerShell et créateur de ce magnifique forum :-)
Auteur de 6 livres PowerShell aux éditions ENI
Fondateur de la société Start-Scripting
Besoin d'une formation PowerShell ou d'un conseil ?

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 12 ans 10 mois #2322 par yvounet
Bonjour
Comme arnaud te l'a dit il est possible de modifier localement (par Gpedit.msc) la liste qui peut se connecter mais ce mecanisme est une stratégie de sécurité donc elle impose la liste de qui peut se connecter.
Il est même possible à distance grace à mmc.exe (+ le bon composant) de se connecter sur les stratégies locales d'une autre machine.
Mais le plus propre est de faire la démarche à partir du contrôleur de domaine et de construire une \&quot;GPO\&quot; qui joura sur les groupes locaux de ta machine.
C'est dans les paramètres de sécurité, les groupes restreints...

Tous ces outils sont natifs de windows

Il exite un produit microsoft gratuit pour gérer les GPO c'est \&quot;GPMC\&quot;.

Tu l'aura compris je suis pas un spécialiste Powershell mais je maitrise mieux les GPO.
A+ si tu veux plus d'info
Yves (dit M. GePetO)

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 12 ans 10 mois #2323 par maycry
les gpos ^^^^ oui c'est sûr c'est plus simple mais si il désiré scripté en powershell ^^

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 12 ans 10 mois #2324 par Patrick Berthon
Bonjour,

Tout d'abord, merci pour vos réponses.

Arnaud, voici le contexte :

Toutes mes machines sont dans un domaine AD.
Ces machines sont \&quot;affectées\&quot; à un utilisateur (un utilisateur et un seul est d'habitude sur cette machine, et il y a très très peu de raison qu'un autre vienne s'y connecter).

Mais parfois, il y a des squatteurs qui ont une compte sur le domaine mais qui ne devraient pas changer de machine pour des raisons de sécurité ...

Mon objectif : autoriser seulement l'utilisateur habituel et les Admins du domaine d'accéder à la machine et empêcher les autres de venir.

Yves : alors faudrait-il que je fasse une GPO par machine ??? puisqu'à chaque machine correspond un utilisateur particulier ?
GPMC : oui, je m'en sert, très pratique :)

Merci de votre aide,

Zylwee

Message édité par: Zylwee, à: 23/05/08 10:00<br><br>Message édité par: Zylwee, à: 23/05/08 10:01

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 12 ans 10 mois #2325 par Patrick Berthon
Encore moi, Et Chris a presque raison : si une GPO peut me sortir de là, je ferai avec, mais si je trouve une solution PowerShell, je pourrai m'en servir pour d'autres policies.

Et pour ce qui est d'attaquer la registry, pourquoi pas, mais je pensais qu'il y aurait une méthode \&quot;propre\&quot; avec PowerShell (comme pour la gestion des ACLs par exemple)

MErci ! :)

Connexion ou Créer un compte pour participer à la conversation.

Temps de génération de la page : 0.162 secondes
Propulsé par Kunena