COMMENT FAIRE : Configurer des stratégies de groupe pour sécuriser les services système

Il est possible de sécuriser les services système dans Windows. Vous pouvez ainsi contrôler qui supervise les services sur une station de travail, un serveur membre ou un contrôleur de domaine. Actuellement, il n'est possible de modifier un service système que par le biais d'un paramètre Stratégie de groupe de l'ordinateur.

Si vous implémentez une stratégie de groupe au niveau de la stratégie par défaut du domaine, la stratégie se propage sur tous les ordinateurs du domaine. Si vous implémentez une stratégie de groupe au niveau de la stratégie par défaut des contrôleurs de domaine, la stratégie ne s'applique qu'aux serveurs de l'unité d'organisation du contrôleur de domaine. Vous pouvez créer des unités d'organisation qui contiennent des stations de travail auxquelles des stratégies peuvent être appliquées. Cet article décrit les étapes à suivre pour implémenter une stratégie de groupe sur une unité d'organisation pour modifier les autorisations sur des services système.

Étapes à suivre pour assigner des autorisations aux services système

1. Démarrez Utilisateurs et ordinateurs Active Directory.
2. Cliquez avec le bouton droit sur le domaine auquel vous souhaitez ajouter l'unité d'organisation, puis cliquez sur Unité d'organisation.
3. Donnez à l'unité d'organisation un nom approprié, puis cliquez sur OK. La nouvelle unité d'organisation apparaît sous le domaine.
4. Cliquez avec le bouton droit sur la nouvelle unité d'organisation, puis cliquez sur Propriétés.
5. Les propriétés de l'unité d'organisation sont alors affichées. Sous l'onglet Stratégie de groupe, cliquez sur Nouveau. Donnez à la nouvelle stratégie de groupe un nom approprié (par exemple, le nom de l'unité d'organisation pour laquelle elle est implémentée).
6. Une fois la stratégie créée, assurez-vous qu'elle est sélectionnée, puis cliquez sur Modifier.
7. Cliquez sur Configuration ordinateur, sur Paramètres Windows, sur Paramètres de sécurité, puis sur Services système.
8. Double-cliquez sur le service auquel vous souhaitez appliquer les autorisations. Le paramètre de stratégie de sécurité pour ce service spécifique s'affiche.
9. Activez la case à cocher Définir ce paramètre de stratégie. Cette action crée automatiquement des autorisations de sécurité avec le paramètre Contrôle total attribué à Tout le monde.
10. Cliquez sur Supprimer pour supprimer le groupe Tout le monde.
11. Cliquez sur Ajouter pour ajouter le compte Système et tout autre compte utilisateur auquel vous souhaitez autoriser l'accès.
12. Attribuez au compte Système le paramètre Contrôle total ainsi que les autorisations appropriées pour les comptes utilisateur ou les groupes. Par défaut, seules les autorisations démarrer, arrêter et suspendre sont accordées aux nouveaux utilisateurs.
13. Lorsque vous avez terminé d'ajouter les utilisateurs et les groupes avec les autorisations appropriées, cliquez sur OK.
14. Le mode de démarrage du service est désactivé par défaut. Remplacez ce paramètre par le mode de démarrage approprié (il s'agit généralement du mode automatique).
15. Cliquez sur OK, fermez la stratégie, puis cliquez sur OK.

REMARQUE : vous devez déplacer les comptes d'ordinateur dans l'unité d'organisation à superviser. Après le transfert de tous les comptes d'ordinateur dans l'unité d'organisation, les utilisateurs ou les groupes autorisés par les autorisations de sécurité sont en mesure de gérer le service.

Pour plus d'informations sur les autorisations nécessaires pour démarrer un service, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
Pour plus d'informations sur les autorisations des services système non appliquées, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :