none
GPO Réduire Taille du cache du domaine RRS feed

Réponses

  • Bonjour,

    Il doit s'agit de cette gpo, elle limite le nombre d'ouverture de session sans la présence d'un contrôleur de domaine.

    Attention à la recommandation à 1 pour les ordinateurs, notamment les portables, car cela signifie que les nomades vont êtres vite bloqués.

    GPO :  Computer Configuration\Windows  Settings\Security Settings\Local Policies\Security Options\Interactive logon: Number of previous logons to cache (in case domain controller is not available)

    https://support.microsoft.com/fr-ch/help/172931/cached-domain-logon-information

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc755473(v=ws.10)

    Cordialement


    Benoit



    • Modifié Benoit N mardi 23 juillet 2019 05:32 Add links
    • Marqué comme réponse Izho_cell mardi 23 juillet 2019 10:34
    mardi 23 juillet 2019 05:29

Toutes les réponses

  • Bonjour,

    Il doit s'agit de cette gpo, elle limite le nombre d'ouverture de session sans la présence d'un contrôleur de domaine.

    Attention à la recommandation à 1 pour les ordinateurs, notamment les portables, car cela signifie que les nomades vont êtres vite bloqués.

    GPO :  Computer Configuration\Windows  Settings\Security Settings\Local Policies\Security Options\Interactive logon: Number of previous logons to cache (in case domain controller is not available)

    https://support.microsoft.com/fr-ch/help/172931/cached-domain-logon-information

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc755473(v=ws.10)

    Cordialement


    Benoit



    • Modifié Benoit N mardi 23 juillet 2019 05:32 Add links
    • Marqué comme réponse Izho_cell mardi 23 juillet 2019 10:34
    mardi 23 juillet 2019 05:29
  • Bonjour Benoit,

    Effectivement ca ressemble bien à ce que je cherche.

    Malgré la recommandation, je pensais config à 2 pour les postes de travail et 1 pour les serveurs vu que j'utilise LAPS.

    Ca sera toujours mieux que la valeur par défaut qui est de 10

    Merci

    Izhocell


    • Modifié Izho_cell mardi 23 juillet 2019 06:50
    mardi 23 juillet 2019 06:49
  • Rebonjour,

    La vraie question est la disponibilité de votre AD (1 ou plusieurs sites, nombre de DC...).
    Car si votre AD n'est plus disponible, vous n'aurez plus d'accès à LAPS non plus.

    Les serveurs, généralement vous utilisez des comptes à privilège qui sont protégés --> pas de cache --> recommandation ANSSI à 0.
    Les PC fixes, l'utilisateur s'authentifie, mais il y aura certainement d'autres impacts sur les accès aux ressources de l'entreprise --> une ouverture de session pour la journée --> recommandation ANSSI à 1.
    Les PC portable, eux n'ont pas d'accès à l'AD en permanance et c'est normal. Je suis en déplacement une semaine, je vais me reloguer au moins une dizaine de fois --> recommandation ANSSI à 1 ne semble pas être la meilleure.
    Pour sécuriser les PC portable il y a d'autres technologies tel que bitlocker + PIN... De plus la quantité de donnée d'entreprise stockée sur les nomades doit être limitée et le cache n'autorisera pas nécessairement l'accès aux ressources de l'entreprise distante.

    J'espère ne pas vous avoir trop embrouillé l'esprit.

    Cordialement

    Benoit

    mardi 23 juillet 2019 07:34
  • Benoit,

    Je dispose de 3 DC sur mon site principale et un 4eme sur un deuxième site.

    Tous mes postes sont sous Bitlocker

    Donc en gros vous partiriez plus sur cette config :

    • Serveur à 0
    • Poste fixe à 1
    • PC Port à 2-3

    Dans les serveurs est-ce qu'il faut inclure les DC ? 

    Izhocell

    mardi 23 juillet 2019 08:51
  • Ok, nickel.

    Je dispose de 3 DC sur mon site principale et un 4eme sur un deuxième site.

    La dernière infrastructure AD que nous avons validée est sensiblement la même que la votre.

    Nous avions 6 DC en central et une dizaine en région.

    Nous avons supprimé tous les DC en région vu que les liens réseau sont redondés.

    Et en central 4 DC plus 2 sur un site secondaire.

    Ce qui donne 1 DC de plus sur le site secondaire, car en cas de perte du site principale, le site secondaire doit pouvoir héberger les rôles FSMO et toute l'authentification des sites distants.

    Tous mes postes sont sous Bitlocker

    Good job :)

    Dans les serveurs est-ce qu'il faut inclure les DC ?

    Oui, pas de souci, les DC ont forcément accès à l'AD vu que c'est l'AD ;)

    Cordialement


    Benoit

    mardi 23 juillet 2019 10:04
  • Parfait.

    Merci pour ton aide.

    Izhocell

    mardi 23 juillet 2019 10:34