Terminal Server Stratégies Locales

[lesouriciergris]

Je sais que la question doit être courante mais bon rien trouvé ... <BR> <BR>J'ai le message suivant lorsque je me connecte avec un utilisateur en TSE sur mon serveur W2K : <BR> <BR>"La stratégie locale de ce syustème ne vous permets pas d'ouvrir une session de manière interactive" <BR> <BR>J'ai pour l'instant ajouter ce compte au groupe des administrateurs pour que ça marche mais celà ne me plaît pas du tout. <BR> <BR>Est ce que quelqu'un aurait la bonté de m'aiguiller ? <BR> <BR>Merci

[korosv]

Démarreréxecutersecpol.msc /s <BR> <BR>Puis regarde les droits dans "local policiesuser right assignmentlog on locally" <BR> <BR> <BR>NB: si c'est un controleur de domaine les utilisateurs ne peuvent pas se connecter...

[kadio]

dans la strategie de securité du ctrleur de domaine il suffit de permettre une ouverture de session localement.

[lesouriciergris]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-01-06 12:30, korosv a écrit: <BR>Démarreréxecutersecpol.msc /s <BR> <BR>Puis regarde les droits dans "local policiesuser right assignmentlog on locally" <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>log on locally est ouvert pour le groupe de l'utilisateur concerné. <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>NB: si c'est un controleur de domaine les utilisateurs ne peuvent pas se connecter... <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Par contre c'est un contrôleur de domaine. Je ne peux passer outre ce blocage ? <IMG SRC="images/smiles/icon_bawling.gif">

[korosv]

Petit rappel : <BR>- un Domain Controller 2K ne doit avoir qu'un seul rôle, celui du serveur d'authenfification et donc il ne doit PAS servir pour : des applications, impressions, fichiers .... (il peut éventuellement servir des services réseaux comme DNS, DHCP, WINS ) <BR>- et il faut au minimum de 2 DC sur le réseau <BR> <BR>J'imagine que tu sais déjà cela mais que des contraintes ( financiers par exemple) liées à ta boîte t'oblige d'outrepasser ces règles fondamentales ... <BR> <BR>(ceci dit, si c'est un problème financier c'est que ta société ne dois pas dépasser les 500 users ... et dans ce cas, nulle besoin d'un serveur haut de gamme à xxxx € pour tes DC, 2 PC de bureau bien calibrer/équiper feront l'affaire, c'est pas tip top mais ca evite des ennuis ..) <BR> <BR> <BR> <BR>Pour revenir au sujet, je ne sais pas si cela est possible ... puisque sur ton serveur ... tu auras beau ajouter des utilisateurs/groupes dans la liste "log on locally" mais en fait ce ne sera pas pris en compte. <BR>En fait le serveur doit lire le fichier secedit.sdb dans winntsecuritydatabase qui est crypté... <BR> <BR>Peut-etre en créant un nouvelle OU, y déplacer ton serveur et faire appliquer une nouvelle GPO ????? <BR> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif">

[lesouriciergris]

Eh bien merci bien pour toutes ces explications. <BR> <BR> <IMG SRC="images/smiles/icon_up.gif">

[moktar]

Dans W2K, il y a une notion d'acces a distance qui peux etre defini ou modifier via la console MMC. <BR> <BR>Jete donc un oeil dedans. <BR> <BR>De memoire ( pas terrible en fait ), il est possible d'assigner les droits acces distant par utilisateur ou par groupe. <BR> <BR>

[bobybobus]

Salut <BR> <BR>Il doit y avoir une GPO associée au Domain controller, <BR> <BR>dedans : <BR> <BR>Computer configuration > Local Policies > user right Assignement : <BR> <BR>et ajoute ton utilisateur à Allow log on trough Terminal services. <BR> <BR>a+

[korosv]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> Il doit y avoir une GPO associée au Domain controller, <BR> <BR>dedans : <BR> <BR>Computer configuration > Local Policies > user right Assignement : <BR> <BR>et ajoute ton utilisateur à Allow log on trough Terminal services. <BR> </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>exacte mais cela ne concerne que 2K3 server.