Comment faire pour créer et appliquer une stratégie de sécurité d'accès distant dans Windows Server 2003

S’applique à : Microsoft Windows Server 2003

Pour obtenir la version de cet article destinée à Microsoft Windows 2000, voir 313082.

Résumé


Cet article explique étape par étape comment appliquer une stratégie de sécurité d'accès distant dans un domaine Microsoft Windows Server 2003 en mode natif. Il décrit en outre comment appliquer une stratégie de sécurité d'accès distant sur un serveur d'accès distant Windows Server 2003 autonome.

Dans un domaine Windows Server 2003 en mode natif, vous pouvez utiliser les trois types suivants de stratégies d'accès distant :

  • Autorisation explicite

    La stratégie d'accès distant est définie avec la valeur « Accorder l'autorisation d'accès distant » et la tentative de connexion observe les conditions de la stratégie.
  • Refus explicite
    La stratégie d'accès distant est définie avec la valeur « Refuser l'autorisation d'accès distant » et la tentative de connexion observe les conditions de la stratégie.
  • Refus implicite
    La tentative de connexion n'observe aucune condition de stratégie d'accès distant.
Pour appliquer une stratégie d'accès distant, configurez la stratégie. Ensuite, configurez les paramètres d'appels entrants du compte d'utilisateur pour spécifier que les autorisations d'accès distant sont contrôlées par la stratégie d'accès distant.

Comment configurer une stratégie d'accès distant

Par défaut, deux stratégies d'accès distant sont disponibles dans Windows Server 2003 :
  • Connexions au serveur d'accès à distance et de routage Microsoft
    Cette stratégie est applicable à toutes les connexions d'accès distant établies avec le service Routage et accès distant.
  • Connexions à d'autres serveurs d'accès
    Cette stratégie est applicable à toutes les connexions entrantes, indépendamment du type de serveur d'accès au réseau.
Windows Server 2003 utilise la stratégie Connexions à d'autres serveurs d'accès uniquement lorsque l'une des conditions suivantes est remplie :
  • La stratégie Connexions au serveur d'accès à distance et au routage Microsoft n'est pas disponible.
  • L'ordre des stratégies a été modifié.
Pour configurer une nouvelle stratégie de sécurité d'accès distant, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Programmes, puis sur
    Outils d’administration, puis cliquez sur Routage et accès à distance.
  2. Développez
    Nom_serveur, puis cliquez sur Stratégies d'accès à distance.

    Remarque : si vous n'avez pas configuré l'accès à distance, cliquez sur Configurer et activer le routage et l'accès à distance dans le menu Action, puis suivez les étapes de l'Assistant Installation d'un serveur Routage et accès distant.
  3. Créez une nouvelle stratégie d'accès distant.

    L'exemple suivant décrit comment créer une stratégie d'accès distant qui autorise de façon explicite l'accès distant à un utilisateur spécifique pour certains jours. Cette stratégie bloque implicitement l'accès pour d'autres jours.
    1. Cliquez avec le bouton droit sur Stratégies d'accès distant, puis cliquez sur Nouvelle stratégie d'accès distant.
    2. Dans l'Assistant Nouvelle stratégie d'accès distant, cliquez sur Suivant.
    3. Dans la zone Nom de la stratégie, tapez
      Tester la stratégie, puis cliquez sur Suivant.
    4. Dans la page Méthode d'accès, cliquez sur Accès à distance, puis sur Suivant.
    5. Dans la page Accès utilisateur ou groupe, cliquez sur Utilisateur ou Groupe, puis sur Suivant.

      Remarque : si vous souhaitez configurer la stratégie d'accès distant pour un groupe, cliquez sur Ajouter, tapez le nom du groupe dans la zone Entrez le nom de l'objet à sélectionner, puis cliquez sur OK.
    6. Sur la page Méthodes d'authentification, assurez-vous que seule la case à cocher Authentification cryptée Microsoft version 2 (MS-CHAPv2) est activée, puis cliquez sur Suivant.
    7. Dans la page Niveau de codage de la stratégie, cliquez sur Suivant.
    8. Cliquez sur Terminer.

      Une nouvelle stratégie nommée Tester la stratégie apparaît dans le nœud Stratégies d'accès distant.
    9. Dans le volet droit, cliquez avec le bouton droit sur Tester la stratégie, puis sur Propriétés.
    10. Dans la boîte de dialogue Propriétés du test de stratégie, assurez-vous que la case à cocher Accorder l'autorisation d'accès distant est activée.
    11. Cliquez sur Modifier le profil, activez la case à cocher Autoriser l'accès les jours suivants et à ces horaires uniquement, puis cliquez sur
      Modifier.
    12. Cliquez sur Refusé, puis sur Du lundi au vendredi de 08h00 à 16h00,, puis cliquez sur
      Autorisé, puis sur OK.
    13. Cliquez sur OK pour fermer la boîte de dialogue Modifier un profil d'appel entrant.
    14. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de stratégie test.

      La stratégie Stratégie test est appliquée.
    15. Répétez les étapes de a à h pour créer une autre stratégie d'accès distant nommée Tester la stratégie de blocage.
    16. Dans le volet droit, cliquez avec le bouton droit sur Tester la stratégie de blocage, puis cliquez sur Propriétés.
    17. Dans la boîte de dialogue Propriétés de test de stratégie de blocage, assurez-vous que la case à cocher Refuser l'autorisation d'accès distant est activée.

      La stratégie Stratégie de blocage test est appliquée.
  4. Quittez le service Routage et accès distant.


Comment configurer le paramètre d'appels entrants du compte d'utilisateur

Pour spécifier que les autorisations d'accès distant sont contrôlées par la stratégie d'accès distant, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur
    Programmes, pointez sur Outils d’administration, puis utilisez l’une des méthodes suivantes.

    Méthode 1 : Pour un contrôleur de domaine Active Directory

    Si l'ordinateur est un contrôleur de domaine de service d'annuaire Active Directory, procédez comme suit :
    1. Cliquez sur Utilisateurs et ordinateurs Active Directory.
    2. Dans l'arborescence de la console, développez
      Votre_domaine, puis cliquez sur Utilisateurs.

    Méthode 2 : Pour un serveur Windows Server 2003 autonome

    Si l'ordinateur est un serveur Windows Server 2003 autonome, procédez comme suit :
    1. Cliquez sur Gestion de l'ordinateur.
    2. Dans l'arborescence de la console, cliquez sur Outils système, sur Utilisateurs et groupes locaux, puis sur
      Utilisateurs.
  2. Cliquez avec le bouton droit sur le compte d'utilisateur, puis cliquez sur
    Propriétés.
  3. Sous l'onglet Appel entrant, cliquez sur Contrôler l'accès via la Stratégie d'accès distant, puis sur
    OK.

    Remarque : si l'option Contrôler l'accès via la Stratégie d'accès distant n'est pas disponible, il est possible que l'annuaire Active Directory soit exécuté en mode mixte.
    Pour plus d'informations sur les options d'appels entrants qui ne sont pas disponibles lorsqu'Active Directory s'exécute en mode Mixte, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

    193897 Options d'appels entrants indisponibles avec Active Directory en mode Mixte

Résolution des problèmes

Si vous n'utilisez pas de groupes pour spécifier des autorisations d'accès distant dans votre configuration de stratégie, vérifiez que le compte Invité est désactivé. Vérifiez également que l'autorisation d'accès distant pour ce compte est définie avec la valeur Refuser l'accès. Pour cela, appliquez l’une des méthodes suivantes :

Méthode 1 : Pour un contrôleur de domaine Active Directory

  1. Cliquez sur Démarrer, pointez sur
    Programmes, pointez sur Outils d’administration, puis cliquez sur
    Utilisateurs et ordinateurs Active Directory.
  2. Dans l'arborescence de la console, développez
    Votre_domaine, puis cliquez sur Utilisateurs.
  3. Cliquez avec le bouton droit sur Invité, puis sur
    Propriétés.
  4. Sous l’onglet Appel entrant, cliquez sur Refuser l'accès, puis cliquez sur OK.
  5. Cliquez avec le bouton droit sur
    Invité, pointez sur Toutes les tâches, puis cliquez sur
    Désactiver le compte.
  6. Lorsque vous recevez le message « L'objet Invité a été désactivé », cliquez sur OK.
  7. Quittez la fenêtre Utilisateurs et ordinateurs Active Directory.

Méthode 2 : Pour un serveur Windows Server 2003 autonome

  1. Cliquez sur Gestion de l'ordinateur.
  2. Dans l'arborescence de la console, cliquez sur Outils système, sur Utilisateurs et groupes locaux, puis sur
    Utilisateurs.
  3. Cliquez avec le bouton droit sur Invité, puis cliquez sur
    Propriétés.
  4. Sous l’onglet Appel entrant, cliquez sur Refuser l'accès, puis sur OK.
  5. Cliquez avec le bouton droit sur Invité puis sur Propriétés.
  6. Activez la case à cocher Le compte est désactivé, puis cliquez sur OK.
  7. Quittez la Gestion de l'ordinateur.

Références


Pour plus d'informations sur les stratégies d'accès distant, cliquez sur Démarrer, sur Aide et support, tapez stratégies d'accès distant dans la zone Rechercher et appuyez sur ENTRÉE pour afficher les rubriques disponibles.