AD Account with Enabled LDAP Logon but disabled Windows LOGON

Toutes les réponses

• 

  

  1

  Connectez-vous pour voter

  Bonjour,
  
  Je pense que vous allez trouver les liens suivants utiles:
  
  Setting-up-LDAP-authentication-against-Active-Directory
  communities.bmc.com/message/303309
  
  Cordialement,
  Boris

  ---

  •Votez! Appel à la contribution. Nous vous prions de considérer que dans le cadre de ce forum on n’offre pas de support technique et aucune garantie de la part de Microsoft ne peut être offerte.

  jeudi 12 février 2015 08:59

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  Merci pour votre réponse. 

  Cependant la configuration de la connexion à l'AD ne me pose pas de problème. Je veux simplement empêcher que le compte qui est créé dans l'AD pour l'authentification LDAP ne permette pas l'authentification Windows.

  Cordialement,

  jeudi 12 février 2015 09:51

  Réponse

  |

  Citation
• 

  

  2

  Connectez-vous pour voter

  Merci pour votre réponse. 

  Cependant la configuration de la connexion à l'AD ne me pose pas de problème. Je veux simplement empêcher que le compte qui est créé dans l'AD pour l'authentification LDAP ne permette pas l'authentification Windows.

  Cordialement,

  
  Enlèves les comptes du groupe "Domain users" ? (A tester)
  

  ---

  Blog
  Scripts

  • Proposé comme réponse Boris Ivanov lundi 16 février 2015 10:02

  jeudi 12 février 2015 10:21

  Réponse

  |

  Citation
• 

  

  2

  Connectez-vous pour voter

  Salut,

  Dans la propriété du compte, horaire d’accès, vous cochez ouverture de session refusée.

  @+

  • Proposé comme réponse Boris Ivanov lundi 16 février 2015 10:02

  jeudi 12 février 2015 10:25

  Réponse

  |

  Citation
• 

  

  2

  Connectez-vous pour voter

  Merci pour la réponse mais je viens de tester :

  - retrait du compte du groupe utilisateurs du domaine

  - affectation du compte à un autre groupe principal (un groupe créé  par moi)

  et ça n'empêche le compte d'ouvrir une session windows :-(

  vendredi 13 février 2015 09:30

  Réponse

  |

  Citation
• 

  

  2

  Connectez-vous pour voter

  merci pour la réponse.

  Je viens de tester en sélectionnant "ouverture de session refusée".

  Le pb est que ça m'empêche d'utiliser le compte LDAP pour m'authentifier.

  Pierre

  vendredi 13 février 2015 09:32

  Réponse

  |

  Citation
• 

  

  2

  Connectez-vous pour voter

  Merci pour la réponse mais je viens de tester :

  - retrait du compte du groupe utilisateurs du domaine

  - affectation du compte à un autre groupe principal (un groupe créé  par moi)

  et ça n'empêche le compte d'ouvrir une session windows :-(

  
  As-tu bien redémarré l'ordinateur entre temps ?
  

  ---

  Blog
  Scripts

  vendredi 13 février 2015 10:25

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  Oui tout à fait.

  Même punition ;-(

  lundi 16 février 2015 15:59

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  Oui tout à fait.

  Même punition ;-(

  Dans quels groupes est le compte ?

  Que contient le privilège "Allow Log on locally" sur la machine ?

  Le but est que ton utilisateur ne fasse partie d'aucun des groupes, de ce fait, il sera dans l’incapacité d'ouvrir une session sur les postes de travail, mais pourra tout de même procéder à une authentification LDAP.

  ---

  Blog
  Scripts

  lundi 16 février 2015 16:23

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  merci pour la réponse,

  le compte n'appartient qu'à "utilisateurs du domaine".

  Je vais explorer ton idée et poster le résultat.

  Cdlt,

  mardi 17 février 2015 08:26

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  En fait nous venons d'opter pour une autre solution 

  1 - regrouper les comptes utilisateurs dans un groupe nommé "Utilisateurs avec logon interdit"

  2 - création d'une GPO Ordinateur pour "configuration ordinateur / Paramètres windows / Paramètres de sécurité / Stratégies Locales / Attribution de droits utilisateur / interdire l'ouverture de session locale"

  3 - y ajouter le groupe

  Cela fonctionne : on arrive bien à s'authentifier avec une appli tierce LDAP et on n'a pas le droit de s'authentifier sur les PC qui sont dans le domaine d'application de la GPO.

  Merci à tous pour votre aide.

  • Marqué comme réponse PLEBRUN mardi 17 février 2015 09:45

  mardi 17 février 2015 09:45

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  En fait nous venons d'opter pour une autre solution 

  1 - regrouper les comptes utilisateurs dans un groupe nommé "Utilisateurs avec logon interdit"

  2 - création d'une GPO Ordinateur pour "configuration ordinateur / Paramètres windows / Paramètres de sécurité / Stratégies Locales / Attribution de droits utilisateur / interdire l'ouverture de session locale"

  3 - y ajouter le groupe

  Cela fonctionne : on arrive bien à s'authentifier avec une appli tierce LDAP et on n'a pas le droit de s'authentifier sur les PC qui sont dans le domaine d'application de la GPO.

  Merci à tous pour votre aide.

  
  C'est plus ou moins ce que je proposais, mais en version "deny". Il faut noter que le "deny" sera toujours prioritaire par rapport au "allow", c'est pourquoi on évite le "deny" en général.
  

  ---

  Blog
  Scripts

  • Modifié Emmanuel Demillière mardi 17 février 2015 10:59

  mardi 17 février 2015 10:58

  Réponse

  |

  Citation