Interdire l’ouverture de session Windows avec des comptes de service
Cible
Les comptes de service utilisés par vos outils tiers pour interroger le LDAP ou se connecter à vos partages, par exemple, les comptes de copieurs ou de scanners, ont très souvent des mots de passe inchangés.
Il est donc important de leur donner un minimum de droits d’accès et de les empêcher d’ouvrir des sessions interactives sur votre domaine.
Configuration
Créer une unité d’organisation « Services_accounts » et créer le compte de service de type utilisateur.
Attention
Si vous avez déja créé le compte de service dans votre application, vous pouvez le reconfigurer avec son nouveau base DN.
Créer un nouveau groupe « services_group » et ajouter tous vos comptes de service dedans.
Créer un GPO de type Ordinateur « disable_logon_service_account » et l’appliquer sur tout le domaine.
Computer Configuration -> Policies -> Windows Parameters -> Security Parameters -> Locals policies -> Assigning user rights
Prohibit login by remote desktop services
Check "Define these policy settings".
Add the "services_group" group