Bannière
visitor@aschnoebelen.fr:~/2024/02/29/autoriser-un-groupe-a-se-connecter-en-rdp-par-gpo$ login_

Autoriser un groupe à se connecter en RDP par GPO

  Le 29 février 2024     Aurélien Schnoebelen     #active-directory#lab#windows  

J’ai créé un LAB sous Hyper-V afin de réaliser des exercices de pen testing sur un domaine Active Directory. Mais pour pouvoir me connecter sur ma machine Windows en mode session étendue, mon utilisateur AD doit avoir le droit de se connecter via RDP sur les ordinateurs de mon Unité d’Organisation. Dans ce mémo, je vais récapituler comment réaliser cela. Attention, il est déconseillé de faire cela dans un environnement de prod car tous les utilisateurs du groupe pourrons accéder en RDP à tous les ordinateurs de l’UO dans laquelle j’applique ma GPO.

Création des utilisateurs et des groupes

Dans Utilisateurs et ordinateurs Active Directory, j’ai mon UO Aschnoebelen dans laquelle j’ai placé mon utilisateur et mon ordinateur. Je vais créer un nouveau groupe de domaine local que je vais appeler « GDL_Utilisateurs_RDP », et je vais y ajouter mon utilisateur.

Figure 1 : Utilisateurs et ordinateurs AD
Figure 2 : Création du groupe
Figure 3 : Ajout de l’utilisateur dans le groupe

Création de la GPO

Dans Gestion de stratégie de groupe, je vais créer une nouvelle GPO dans l’UO Aschnoebelen. Je vais la nommer O_Accès_RDP. Je vais l’éditer et modifier quelques propriétés (clique droit -> Modifier) :

  1. Dans Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateur, je vais ouvrir Autoriser l’ouverture de session par les services Bureau à distance. Je coche Définir ces paramètres de stratégie et je vais cliquer sur Ajouter un utilisateur ou un groupe. Dans la fenêtre qui s’ouvre, je fais Parcourir et je vais rechercher mon groupe GDL_Utilisateurs_RDP que j’ai créé préalablement.
Figure 4 : Création de la GPO dans l’UO Aschnoebelen
Figure 5 : Modification de la stratégie pour autoriser les connexions RDP
Figure 6 : Aperçu avec la stratégir modifiée
  1. Dans Configuration ordinateur > Préférences > Paramètres du Panneau de configuration > Utilisateurs et groupes locaux, je fais clique droit > Nouveau > Groupe local. Je remplis les informations comme suit :
    • Action : Mettre à jour
    • Nom du groupe : Utilisateurs du Bureau à distance (intégré)
    • Membres : Ajouter > … > ASCHNOEBELEN\GDL_Utilisateurs_RDP ; Action : Ajouter à ce groupe
Figure 7 : Nouveau groupe local
Figure 8 : Configuration du groupe local
Figure 9 : Configuration du groupe local

Je peux maintenant redémarrer mon ordinateur virtuel Windows pour que soit prise en charge ma GPO, et je pourrais me connecter avec la session étendue de Hyper-V sur ma VM avec les utilisateurs qui feront parti du groupe que j’ai créé spécialement à cet effet.