Adresse
8 rue de la Garenne, 41000 Blois
Email
contact@computasys.com
Téléphone
(+33) 9 72 57 08 46
ComputaSYS

comment bloquer discrètement un utilisateur ?

Active Directory Bloquer un utilisateur discretement
  • 6 juin 2025
  • ComputaSYS
  • Blog
  • 0


I. Présentation

Dans l’Active Directory, il est possible de bloquer facilement et rapidement un utilisateur sans le désactiver ni le verrouiller. Comment ? Et, bien, c’est ce que nous allons voir dans ce tutoriel en regardant de plus près un attribut bien spécifique : userWorkstations.

Nous commencerons par évoquer à quoi cet attribut avant de découvrir son secret, et ainsi obtenir une réponse à la question précédente. Pour autant, sachez que Microsoft déconseille l’utilisation de cet attribut même s’il reste pleinement opérationnel avec un Active Directory sous Windows Server 2025. Il est donc à connaître, y compris parce qu’il peut être encore utilisé sur des environnements avec un historique important.

“Cet attribut utilisateur ne doit plus être utilisé. Pour gérer les comptes qui peuvent ouvrir une session sur quelles stations de travail, nous vous recommandons d’utiliser « Autoriser l’ouverture de session localement » et « Refuser l’ouverture de session localement » ou « Autoriser la connexion via les services Bureau à distance » et « Refuser l’ouverture de session via les services Bureau à distance ».”, peut-on lire sur le site de Microsoft.

Vous avez un exemple dans ce tutoriel :

II. Qu’est-ce que l’attribut userWorkstations ?

L’annuaire Active Directory contient de nombreux attributs, chacun étant associé à des différentes classes (user, computer, etc.). Certains de ces attributs sont associés à un champ de configuration visible dans les propriétés d’un objet.

C’est le cas de l’attribut userWorkstations puisqu’il correspond à une option accessible dans les propriétés des utilisateurs : “Se connecter à…”. Cette option sert à restreindre la connexion d’un utilisateur aux seuls ordinateurs spécifiés en tant que valeur.

Par défaut, tous les utilisateurs peuvent se connecter à tous les ordinateurs, car il n’y a pas de restriction à ce niveau. Enfin, sous réserve qu’une autre configuration n’ajoute pas de restriction par ailleurs (une stratégie de groupe, par exemple).

Pour que l’utilisateur guy.mauve puisse se connecter uniquement à l’ordinateur W11-01 et à aucun autre, il suffirait de modifier l’option “Se connecter à…” dans son compte. L’administrateur devra choisir “Les ordinateurs suivants” et ajouter W11-01 à la liste (via le nom NetBIOS ou le nom DNS complet). Vous pourriez aussi ajouter plusieurs valeurs.

Ainsi, l’attribut userWorkstations de cet utilisateur prendrait le nom de l’ordinateur ajouté précédemment comme valeur. Voyez par vous-même.

Que ce soit en local ou via une connexion Bureau à distance, l’utilisateur peut se connecter uniquement sur cet ordinateur. S’il tente une connexion à un autre ordinateur, il obtiendra l’erreur suivante : “Votre compte est configuré de telle sorte que vous ne pouvez pas utiliser ce PC. Essayez un autre PC.”

Voilà, vous connaissez le fonctionnement de base de cet attribut.

III. Bloquer un utilisateur Active Directory discrètement

Il est possible de détourner l’utilisation de l’attribut userWorkstations pour bloquer discrètement un compte utilisateur. Dans le cas où le paramètre fait référence à un ordinateur qui n’existe pas, l’utilisateur ne pourra plus se connecter du tout ! Enfin, si, sur un seul ordinateur, mais celui-ci n’existe pas.

Voici un exemple :

Le compte utilisateur devient alors inutilisable : il n’est pas possible d’ouvrir une session locale ou en Bureau à distance. Attention, vous ne pouvez pas simplement choisir “Les ordinateurs suivants” et laisser la liste vide, cela ne fonctionnera pas.

Cette manipulation est une occasion intéressante pour verrouiller discrètement un utilisateur AD. En effet, le compte est activé et il n’est pas verrouillé, et pourtant, il n’est pas possible de se connecter sur un ordinateur avec ce compte.

Attention tout de même, l’impact n’est pas aussi fort que si le compte était verrouillé ou désactivé. Par exemple, il est toujours possible de s’authentifier sur une ressource distante, tel qu’un partage de fichiers, lorsque le compte est bloqué de cette façon.

Remarque : contrairement au verrouillage d’un utilisateur susceptible de déclencher une alerte de sécurité, notamment, car cela crée un événement de sécurité, ce ne sera pas le cas avec la manipulation évoquée ici. En effet, cette modification est perçue comme une simple modification d’un attribut sur un objet utilisateur.

IV. Conclusion

Ce tutoriel consacré à l’attribut userWorkstations montre, une nouvelle fois, que l’Active Directory a de nombreuses subtilités intéressantes ! Dans le même style, nous pourrions citer un autre attribut : logonHours. Il est lié à la fonctionnalité “Horaires d’accès” qui permettent de définir les plages horaires où l’utilisateur est autorisé à se connecter. Si l’accès est refusé 24/24 et 7/7, alors le compte sera indirectement bloqué.

Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *