Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

D'où vient la stratégie de sécurité locale d'un contrôleur de domaine ?

ayi

Dans la stratégie de groupe, nous avons activé le paramètre <code>Refuser la connexion via Bureau à distance</code> pour le groupe <code>Ordinateurs du domaine</code>. J'ai promu un ordinateur membre de ce groupe en contrôleur de domaine. Après la promotion, l'ordinateur n'était bien sûr plus membre du groupe <code>Ordinateurs du domaine</code>, mais :
<ul>
<li>
Le paramètre <code>Refuser la connexion via Bureau à distance</code> était toujours actif
</li>
<li>
Le paramètre n'apparaissait pas dans les résultats de la stratégie de groupe
</li>
</ul>
J'ai finalement découvert que vous pouvez modifier ce paramètre dans la <code>Stratégie de sécurité locale</code>

ayi_2

Les contrôleurs de domaine ont leur propre stratégie de sécurité locale, tout comme les membres ordinaires du domaine. Les stratégies de groupe ont également priorité sur les stratégies de sécurité locales, comme c'est le cas sur les membres ordinaires du domaine.
Comme vous l'avez constaté, il existe de nombreux paramètres de stratégie de groupe capables de « tatouer », c'est-à-dire de laisser leur empreinte sur la stratégie de sécurité locale d'un système, même après que la GPO ne s'applique plus à l'ordinateur. Les stratégies de groupe qui ne tatouent pas le système après que la GPO ne s'applique plus modifient généralement des paramètres sous une sous-clé spéciale « Policies » dans le registre Windows.