none
Connexion restreinte RRS feed

  • Question

  • Bonjour,

    Je possède un cluster Hyper-V 2012 R2 avec deux noeuds. Je voudrais qu'un compte administrateur du domaine puisse se connecter seulement à ces deux noeuds et pas aux autres Ordinateurs liés à l'Active Directory.

    Pour cela, j'ai effectué ces manipulations :

    - Ajout de l'utilisateur par la MMC Utilisateurs AD.

    - Clic droit sur l'utilisateur, puis "Propriétés" puis onglet "Compte" puis clic sur "Se connecter à" puis je saisis le nom NetBios des deux noeuds du cluster.

    Tuto : http://ravingroo.com/267/active-directory-user-workstation-logon-restriction/

    Mais avec cette procédure, je ne peux me connecter à aucun des noeuds. On m'affiche :  

    Bien cordialement.

    vendredi 13 mai 2016 08:27

Réponses

  • Bonjour

    <sentencetext xmlns="http://www.w3.org/1999/xhtml">Pour créer un cluster ou ajouter des nœuds, vous devez avoir ouvert une session sur le domaine à l'aide d'un compte qui dispose de droits d'administrateur et d'autorisations sur tous les serveurs de ce cluster.</sentencetext><sentencetext xmlns="http://www.w3.org/1999/xhtml">Le compte n’a pas besoin d’être un compte Admins du domaine, mais peut être un compte Utilisateurs du domaine situé dans le groupe Administrateurs sur chaque serveur en cluster.</sentencetext><sentencetext xmlns="http://www.w3.org/1999/xhtml">De plus, si le compte n’est pas un compte Admins du domaine, les autorisations Créer des objets ordinateur et Lire toutes les propriétés du domaine doivent être accordées au compte (ou au groupe dont le compte est membre).</sentencetext>

    Source dans cette article :

    https://technet.microsoft.com/fr-fr/library/jj863389.aspx?f=255&MSPPError=-2147217396

    Si vous appliquez la recommandation Microsoft vous n'avez pas besoin d'un compte admin pour gérer votre cluster.

    Bien cordialement

    • Proposé comme réponse Emile Supiot mercredi 18 mai 2016 14:41
    • Marqué comme réponse Emile Supiot lundi 23 mai 2016 07:17
    vendredi 13 mai 2016 09:40

Toutes les réponses

  • Bonjour

    Vous voulez gérer les utilisateurs ou les ordinateurs dans votre question vous avez noté :

    Je voudrais qu'un compte administrateur du domaine puisse se connecter seulement à ces deux noeuds et pas aux autres Ordinateurs liés à l'Active Directory.

    Il y a une différence. Si vous voulez gérer les connexions TSE de chaque host vous pouvez passer par les paramètres de TSE

    Si non veuillez trouver un article concernant le cluster hyperv regarde dans la section :

    account for administering the cluster

    https://technet.microsoft.com/en-us/library/cc732181%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    Merci d’avance pour votre retour.

    Cordialement

    vendredi 13 mai 2016 08:50
  • Bonjour,

    Je change le contexte grâce à votre lien : 

    Je possède un compte utilisateur du domaine sous le nom de  "GestionCluster".

    Je voudrais que cet utilisateur puisse se connecter seulement aux deux noeuds du cluster et pas aux 300 autres ordinateurs et serveurs liés à l'Active Directory. 

    J'ai donc utilisé la procédure suivante qui a l'air très simple : http://ravingroo.com/267/active-directory-user-workstation-logon-restriction/

    Mais ça ne fonctionne pas, voici mon erreur : 

    Cordialement.

    vendredi 13 mai 2016 09:31
  • Bonjour

    <sentencetext xmlns="http://www.w3.org/1999/xhtml">Pour créer un cluster ou ajouter des nœuds, vous devez avoir ouvert une session sur le domaine à l'aide d'un compte qui dispose de droits d'administrateur et d'autorisations sur tous les serveurs de ce cluster.</sentencetext><sentencetext xmlns="http://www.w3.org/1999/xhtml">Le compte n’a pas besoin d’être un compte Admins du domaine, mais peut être un compte Utilisateurs du domaine situé dans le groupe Administrateurs sur chaque serveur en cluster.</sentencetext><sentencetext xmlns="http://www.w3.org/1999/xhtml">De plus, si le compte n’est pas un compte Admins du domaine, les autorisations Créer des objets ordinateur et Lire toutes les propriétés du domaine doivent être accordées au compte (ou au groupe dont le compte est membre).</sentencetext>

    Source dans cette article :

    https://technet.microsoft.com/fr-fr/library/jj863389.aspx?f=255&MSPPError=-2147217396

    Si vous appliquez la recommandation Microsoft vous n'avez pas besoin d'un compte admin pour gérer votre cluster.

    Bien cordialement

    • Proposé comme réponse Emile Supiot mercredi 18 mai 2016 14:41
    • Marqué comme réponse Emile Supiot lundi 23 mai 2016 07:17
    vendredi 13 mai 2016 09:40
  • Bonjour,

    En effet, j'ai appliqué la seconde méthode, soit un compte utilisateur classique lié au domaine pouvant gérer le cluster. Mais malheureusement, cet utilisateur peut se connecter aux autres Ordinateurs du domaine, ce que je ne souhaite pas.

    J'aurais bien appliqué cette recommendation : De plus, si le compte n’est pas un compte Admins du domaine, les autorisations Créer des objets ordinateur et Lire toutes les propriétés du domaine doivent être accordées au compte (ou au groupe dont le compte est membre)

    Mais je ne sais pas du tout comment faire.

    Cordialement.

    vendredi 13 mai 2016 09:54
  • Bonjour Il faut une délégation AD sur le compte en question Cordialement
    vendredi 13 mai 2016 10:45