GPO

Blocage du CMD

GPO config user - stratégie - modèles d'admin - système.png

GPO désactiver l'accès à l'invite de commandes.png

GPO désactiver l'accès à l'invite de commandes 2.png

GPO désactiver l'accès à l'invite de commandes 3.png

Afficher un message avant l’ouverture de session Windows

Afficher un message d'avertissement sur les postes de votre domaine pour rappeler quelques règles de bonne conduite sur l'utilisation des postes informatiques ou pour avertir les utilisateurs d'un changement ?

Fonctionne sur les différentes versions de Windows : Windows 7, Windows 10 ou encore Windows 11 (mais aussi les versions "Server").

À partir de la console de gestion des stratégies de groupe, créez une nouvelle GPO nommée "Message ouverture de session" liée directement à l’OU sur la quel vous souhaitez que cela s’applique.


GPO message session.png

GPO message session 2.png

GPO message session 3.png

GPO message session 4.png

GPO message session 5.png

Stratégie de verrouillage des comptes

À partir de la console de gestion des stratégies de groupe, créez une nouvelle GPO nommée "Verrouillage des comptes" liée directement à la racine de votre domaine afin de sécuriser l'ensemble des utilisateurs

GPO stratégie verrouillage de compte 1.png

GPO stratégie verrouillage de compte 2.png

GPO stratégie verrouillage de compte 3.png


GPO stratégie verrouillage de compte 4.png

Vérifier que la GPO s'applique bien

Rendez-vous sur un poste de travail où s'applique la GPO afin de se connecter avec un utilisateur. Avant toute chose, il faut effectuer un "gpupdate /force" et redémarrer la machine (Non obligatoire sur cette GPO).

Ouvrir une fenetre CMD est exécuter 

net accounts

CMD commande net accounts.png


Déverrouillée un compte dans l'AD

Au bout de X tentatives en échecs, le compte va se verrouiller. Windows affichera un message pour préciser que le compte est verrouillé. "Par mesure de sécurité, le compte de l’utilisateur a été verrouillé suite à un nombre excessif de tentatives de connexion ou de modification du mot de passe. Attendez un peu avant de réessayer, ou contactez votre administrateur système ou votre service de support technique."


Dans les propriétés du compte utilisateur, dans l'onglet « Compte » :
"Déverrouiller le compte. Ce compte est actuellement verrouillé sur ce contrôleur de domaine Active Directory".
Pour déverrouiller le compte sans attendre la fin du temps imparti, il faut cocher l'option et valider.

AD compte bloquée.png

 

Si l'on veut en savoir un peu plus sur ce verrouillage de compte, il faut basculer sur l'éditeur d'attributs. L'attribut "lockoutTime" indique la date et l'heure à laquelle a eu lieu cet incident de sécurité.

Comtpe ad bloque lockouttime.png

Ce timestamp peut-être converti avec la commande suivante :

w32tm.exe /ntte 132890901190781735

CMD commande w32tm.png