[LOGICIEL] Usager du domaine expiré distant + OpenVPN

[ggbce]

Bonjour,

Je me trouve dans une situation assez bizarre et je ne trouve pas de solution.

------------------------------------

Voici le contexte:

J'ai un réseau local avec un serveur Windows 2003, j'ai des postes clients sur ce réseau et un VPN pour me connecter à distance lorsqu'un usager possédant un portable est à l'extérieur veut consulter les données partagées sur le réseau local.

Dans la situation présente, j'ai une règle de stratégie sur le serveur pour que les mots de passe des utilisateurs soient changés à tous les 60 jours. J'ai un utilisateur (que l'on nommera "toto" pour l'exemple) qui utilise un ordinateur de bureau localement et également un ordinateur portable qui se trouve dans un autre bâtiment.

Dernièrement, le serveur lui a demandé de changer son mot de passe, ce qu'il a fait depuis le poste installé localement sans problème.

Un peu plus tard, il s'est retrouvé devant son portable dans l'emplacement distant, il a essayé d'ouvrir une session... évidemment le mot de passe récemment changé lui a été refusé car le portable est hors réseau et contient en mémoire l'ancien mot de passe, il a re-tenté avec l'ancien mot de passe et ça l'a fonctionné sans problème (et c'est normal puisque Windows tente toujours d'utiliser le même mot de passe même si les 60 jours sont écoulés s'il n'entre pas en communication avec l'AD.). Rien ne l'empêchait de travailler sur le portable

Ensuite, il a lancé OpenVPN client pour se connecter sur le réseau local. La connexion s'est faite sans problème car OpenVPN est indépendant de tout ça, mais là il ne pouvait évidemment plus accéder aux partages sur le serveur Windows car son compte ne possède pas le bon mot de passe ....!!!!

En essayant à plusieurs reprises d'accéder aux ressources partagées du domaine Windows, le compte "toto" s'est verrouillé sur le serveur Windows 2003. Ce n'empêchait toujours pas l'utilisateut de travailler sur le portable, mais lorsqu'il est revenu au bureau, oui !

---------------------------------

Alors je me demande s'il est possible de lancer une procédure "du genre, de challenge" au client Windows 2000/XP lorsqu'il se connecte au serveur Windows 2003 afin de mettre à jour sa SAM (registre) afin de récupérer la nouvelle version des mots de passe ?

Évidemment ce ne doit pas être possible de le faire si le compte ne possède pas le bon mot de passe, c'est comme si un hacker tenterais de récupérer le mot de passe du serveur en se connectant avec un mot de passe non valide.

Sur tous les postes clients j'ai toujours un compte administratif de configuré, si j'ouvre une session sur le poste distant (portable) avec mon compte administrateur et ensuite ouvrir un canal VPN entre celui-ci et le serveur, est-ce possible de faire récupérer la mise à joru des mots de passe des comptes configurés sur ce portable ?

Je cherche et je ne trouve pas...

Pour le moment, le seul moyen que j'ai est de rapporter le portable au bureau (local) de le brancher directement sur le réseau local et à ce moment le client entre en communication avec le serveur avant d'ouvrir la session et peut récupérer la mise à jour de la SAM.