Lacune Windows 7 : pas de déconnexion à l'issue des horaires de connexion autorisés

En utilisant les fonctionnalités d'Active Directory, un administrateur système peut contraindre un utilisateur (appelons-la Carole cette fois-ci) à ne pouvoir se connecter que de 07h00 à 17h00.

Mais que se passe t‘il vraiment si Carole se connecte à 13h00 et reste connectée après 17h00 ? Windows ne la déconnectera pas à 17h00 car il n'existe aucune fonctionnalité native en capacité de le faire dans le système d'exploitation de Microsoft.

Il existe bien un paramètre ( dans Stratégies locales > Options de sécurité) qui pourrait vous faire penser que cela fonctionne : «Automatically logoff users when logon time expires.»

Mais cela ne s'applique qu'aux serveurs de fichiers et d'impression (composant SMB). Concrètement, Carole se connecte à partir de son poste de travail et accède à un serveur de fichiers. Si elle reste connectée (et à la condition qu'elle n'ait aucun fichier ouvert sur ce serveur de fichiers) au-delà de 17h00, le serveur de fichiers la déconnectera effectivement à 17h00 et l'empêchera de se reconnecter à lui. Mais il n'existe absolument rien dans Windows qui déconnectera Carole de son poste de travail à partir duquel elle a ouvert une session interactive …

Cette capacité de véritable déconnexion est, elle aussi, obligatoire dans le cadre d'une conformité aux dispositions réglementaires suivantes :

• FISMA / NIST 800-53 / FIPS PUB 200 (domaine «System and information integrity»)
• HIPAA (Health Insurance Portability and Accountability Act – domaine «Medical data protection»)
• US Patriot Act (section «User monitoring and management»)

En dehors des horaires autorisés, UserLock déconnecte vraiment les utilisateurs avec un avertissement préalable.