Restreindre l’appartenance au groupe

biais de Everyone. Pour éliminer ce risque, désactivez la stratégie de sécurité Network access : Let Everyone permissions apply to anonymous users.

Beaucoup d’administrateurs négligent ou n’utilisent pas la stratégie Restricted Groups. Pourtant, en utilisant un modèle de sécurité avec cette stratégie, on peut imposer l’appartenance au groupe et même configurer des groupes pour qu’ils ne puissent avoir aucun membre. Pour établir un modèle, créez un fichier texte dans le répertoire %SystemRoot%\Security\Templates avec un nom du genre restrictedgroups.inf. A l’aide d’un éditeur de texte quelconque, ajoutez le texte illustré figure 1, en adaptant les noms à votre cas particulier. On voit bien que le modèle de la figure 1 empêche tout utilisateur de devenir membre des groupes Power Users ou Backup Operators, tout simplement parce qu’il n’y a aucun utilisateur de prévu pour ces groupes.

Vous pouvez appliquer le modèle avec la commande suivante :

secedit /configure /db
%SecurityPath%\Database\
groups.db /cfg
%systemroot%\security\inf\
restrictedgroups.inf /verbose

 Quand les stratégies de groupe seront rafraîchies après cette commande, vous ne pourrez plus changer les membres d’aucun de ces groupes, même si vous possédez l’accès administrateur. S’il est nécessaire de changer l’appartenance des groupes à l’avenir, il faudra modifier le modèle de sécurité et le réappliquer.