locked
Limiter l'accès a distance du compte administrateur RRS feed

  • Question

  • Bonjour,

    Je me pose le problème suivant : Nous sommes 3 personnes à pouvoir intervenir à distance sur des serveurs 2008 et 2003. Pour des raisons de sécurité, j'ai imaginé interdire l'accès a distance du compte "administrateur" afin que chaque admin se logue avec son propre compte (membre de "administrateurs"), afin de pouvoir assurer un suivi des connexions des uns et des autres.

    Est-ce une bonne ou une mauvaise idée ?

    Comment interdire l'accès à distance pour le seul compte "administrateur" ?

    Merci d'avance.

    Fred

    lundi 7 juin 2010 08:07

Réponses

  • Bonjour,

    C'est plutôt vu comme une bonne pratique que d'assurer la traçabilité des actions administratives et de limiter l'usage du compte "Administrateur" original. Si vous ne souhaitez pas le désactiver complètement, vous pouvez tout de même limiter ses actions de la manière suivante, à l'aide d'une stratégie de groupe:

    Après application, le compte "Administrateur" original ne sera plus utilisable que par ouverture de session interactive, soit grâce à un accès physique à la machine, soit par outil de contrôle à distance tiers, soit par carte de contrôle à distance (type DRAC, ILO...) ou enfin par switch KVM, ce qui limite déjà pas mal l'accès.

    Je vous recommande de bien tester cette configuration sur une machine de test avant de la déployer massivement sur des machines de production.

     


    --- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
    • Marqué comme réponse TjDac lundi 7 juin 2010 21:01
    lundi 7 juin 2010 14:07

Toutes les réponses

  • Bonjour,

    C'est plutôt vu comme une bonne pratique que d'assurer la traçabilité des actions administratives et de limiter l'usage du compte "Administrateur" original. Si vous ne souhaitez pas le désactiver complètement, vous pouvez tout de même limiter ses actions de la manière suivante, à l'aide d'une stratégie de groupe:

    Après application, le compte "Administrateur" original ne sera plus utilisable que par ouverture de session interactive, soit grâce à un accès physique à la machine, soit par outil de contrôle à distance tiers, soit par carte de contrôle à distance (type DRAC, ILO...) ou enfin par switch KVM, ce qui limite déjà pas mal l'accès.

    Je vous recommande de bien tester cette configuration sur une machine de test avant de la déployer massivement sur des machines de production.

     


    --- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
    • Marqué comme réponse TjDac lundi 7 juin 2010 21:01
    lundi 7 juin 2010 14:07
  • C'est PARFAIT !

    De plus, je n'avais pas evoqué l'accès ILO qui est a prendre en compte dans mon cas

    Merci beaucoup.

    Fred

    lundi 7 juin 2010 20:58
  • Bonjour,

    Merci pour le retour!

    Concernant l'ILO, il existe un white paper (donc en anglais hélas), sur l'intégration avec AD: <cite>h20000.www2.hp.com/bc/docs/support/.../c00190541.pdf</cite>

    <cite></cite>


    --- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
    mardi 8 juin 2010 06:58