3 – Limitez les accès à  l’hôte

Pour limiter les accès interactifs à l’hôte, vous faites en sorte que la base de données SAM locale ne contienne aucun compte superflu et que seuls les comptes de domaine autorisés puissent servir à établir des connexions au système. Vous pouvez examiner et supprimer les comptes au niveau de la base SAM locale au moyen du composant enfichable MMC Computer Management (Gestion de l’ordinateur) (compmgmt.msc).

Pour empêcher une connexion interactive des comptes de domaine au serveur et leur accès à un ordinateur de bureau, vous pouvez employer la console MMC Group Policy (Stratégie de groupe) ou Local Security Settings (Stratégie de sécurité locale) (secpol.msc) afin de définir les attributions des droits d’utilisateur (User Rights Assignment). Si vous vous servez de la console Group Strategy, développez Computer configuration (Configuration ordinateur), Windows Settings (Paramètres Windows), Security Settings (Paramètres de sécurité), Local Policies (Stratégies locales) et User Rights Assignment (Attribution des droits utilisateur). Si vous employez la console Local Security Settings (Stratégie de sécurité locale), développez Local Policies (Stratégies locales), puis User Rights Assignment (Attribution des droits utilisateur).

Utilisez les paramètres Allow log on locally (Ouvrir une session localement) et Deny logon locally (Refuser les ouvertures de session locales) pour configurer les personnes habilités à se connecter à la console. Si vous autorisez les accès à votre serveur via les services Terminal Server, même uniquement aux fins d’administration à distance, vous devez aussi employer les paramètres Allow log on through Terminal Services (Autoriser l’ouverture de session par les services Terminal Server) et Deny logon through Terminal Services (Interdire l’ouverture de session par les services Terminal Server) pour configurer les personnes autorisées à se connecter de manière interactive.