killzelolo Posté(e) le 23 février 2011 Partager Posté(e) le 23 février 2011 Bonjour tout le monde! j'ai un problème que pas mal d'autres personnes doivent avoir, mais je n'ai pas encore trouvé la solution... Les utilisateurs nomades de mon entreprise sont sous Windows XP et admin local de leurs PC. Leur compte est dans un Active Directory 2003. Ces utilisateurs ont été mis admin local de leur PC pour des raisons de simplicité, vu qu'il ne se connectent au réseau que de chez eux en VPN (Cisco). Mais je voudrais leur retirer ce droit et les mettre seulement "utilisateurs avec pouvoirs" de leur pc (eh oui certains se sont amusés à installer n'importe quoi, genre emule ou bittorrent sur leur PC pro!). mais le problème, c'est que si je fait ça, si un jour ils ont besoin d'installer un logiciel sur leur PC à distance, ils ne pourront pas. Je pensais donc leur créer un compte admin local avec un mot de passe, et comme ça s'il veulent installer un logiciel, ils font "exécuter en temps que" "admin local", et c'est OK. Seulement je voudrais que ce mot de passe ne soit pas fixe (sinon ça sert à rien), et qu'il change en fonction de la date du jour, comme ça ils sont obligés de contacter le service info chaque jour s'il veulent installer un logiciel. Et c'est là que je bloque: comment puis-je lier un mot de passe d'un compte local windows à un générateur de mot de passe? si quelqu'un a une idée, je suis preneur ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Avygeil Posté(e) le 23 février 2011 Partager Posté(e) le 23 février 2011 Ah ouais, c'est velu. Je suis pas expert en AD, mais il est possible de bidouiller la base SAM locale d'un PC à distance comme ça avec AD ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
killzelolo Posté(e) le 23 février 2011 Auteur Partager Posté(e) le 23 février 2011 en fait oui: grace aux GPP (Group Policy Preference) on peut changer le mot de passe d'un utilisateur local sur une machine. On peut meme supprimer l'utilisateur courant du groupe admin local.. enfin en théorie, puisque pour le moment, j'essaye mais ça fonctionne pas... mais bon le plus chaud ca va etre le générateur de mot de passe, je cherche toujours... Lien vers le commentaire Partager sur d’autres sites More sharing options...
typhoon006 Posté(e) le 23 février 2011 Partager Posté(e) le 23 février 2011 honnêtement c'est bien velu ^^ mais avec uniquement AD et GPP je pense pas que se soit possible. Par contre avec un systéme de RSA SecurID ca doit se faire ^^ http://www.rsa.com/node.aspx?id=1156 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 23 février 2011 Partager Posté(e) le 23 février 2011 Pourquoi pas un "pspasswd" de Sysinternals (inclus dans PsTools) qui serait lancé une fois par jour ou encore à chaque ouverture de session ? Il permet en ligne de commande de changer un mot de passe Lien vers le commentaire Partager sur d’autres sites More sharing options...
killzelolo Posté(e) le 24 février 2011 Auteur Partager Posté(e) le 24 février 2011 Pourquoi pas un "pspasswd" de Sysinternals (inclus dans PsTools) qui serait lancé une fois par jour ou encore à chaque ouverture de session ? Il permet en ligne de commande de changer un mot de passe oui en effet c'est pas bête! Mais pspasswd peut-il générer automatiquement un mdp, et comment je peux faire pour connaitre ce mdp si besoin? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 24 février 2011 Partager Posté(e) le 24 février 2011 On peut très bien imaginer un script qui copie le mot de passe en clair vers un partage administratif caché, ou alors ça vous envoie un email, ou autre... on peut imaginer ce qu'on veut PS : pspasswd permet aussi l'accès à distance pour changer le mot de passe, donc il suffirait même de le faire exécuter tous les x minutes ou heures depuis le serveur, et lui dire d'envoyer le mot de passe sur tout le domaine (il peut le faire). Lien vers le commentaire Partager sur d’autres sites More sharing options...
Higapeon Posté(e) le 24 février 2011 Partager Posté(e) le 24 février 2011 Petite question : Qu'est ce qui empêchera les utilisateurs qu'une fois le programme légitime installé, d'utiliser le mdp toujours frais pour installer d'autres programmes (si le reset est fixé à 00:00 chaque jour par exemple) ? Une solution qui me semble viable : - Une GPO qui pousse automatiquement un utilisateur "Maintenance" comme admin local des machines (appliqué au parc de machines) - Une GPO qui fixe la durée de vie des mots de passe à 1 jour (appliqué à "maintenance") Il existe des "authenticator" qui donnent un mot de passe temporaire (on dirait des calculettes convertisseur euro - franc :) ) pour un compte précis, mais ça risque d'être plus complexe que productif (il faut un programme particulier synchronisé avec ces bidules, etc.) Normalement, avec la double GPO, même si la personne ne se connecte pas au domaine, le compte sera inaccessible car il aura expiré. Du moins, si je ne me trompe pas sur la théorie ... Lien vers le commentaire Partager sur d’autres sites More sharing options...
killzelolo Posté(e) le 24 février 2011 Auteur Partager Posté(e) le 24 février 2011 Oui, seulement les PC connectés au réseau ne sont pas le problème: en effet avec une GPP, on peut changer le mdp des comptes locaux. Mon soucis c'est plutôt pour les itinérants, qui ne se connectent que le soir en VPN depuis leur Hôtel... En effet si ils ont un problème et qu'ils ne sont pas admin, ils peuvent être bloqués... Il faudrait que je trouve un truc qui tourne en local sur la machine qui change le mdp tous les 24H par exemple, et que dès que le VPN est monté ça m'envoie un mail avec le mdp... à tout hasard, est-ce que tu sais si pspasswd peut gérer une liste de mot de passe? Car si c'est le cas, je fais tourner pspasswd en local, avec un fichier de mdp local (avec une douzaine de mdp par exemple) caché à qque part sur le disque, comme ça je connais le mdp... pas très "secure" si l'utilisateur est un peu bidouilleur, mais mieux que rien non? Lien vers le commentaire Partager sur d’autres sites More sharing options...
killzelolo Posté(e) le 24 février 2011 Auteur Partager Posté(e) le 24 février 2011 Petite question : Qu'est ce qui empêchera les utilisateurs qu'une fois le programme légitime installé, d'utiliser le mdp toujours frais pour installer d'autres programmes (si le reset est fixé à 00:00 chaque jour par exemple) ? Une solution qui me semble viable : - Une GPO qui pousse automatiquement un utilisateur "Maintenance" comme admin local des machines (appliqué au parc de machines) - Une GPO qui fixe la durée de vie des mots de passe à 1 jour (appliqué à "maintenance") Il existe des "authenticator" qui donnent un mot de passe temporaire (on dirait des calculettes convertisseur euro - franc :) ) pour un compte précis, mais ça risque d'être plus complexe que productif (il faut un programme particulier synchronisé avec ces bidules, etc.) Normalement, avec la double GPO, même si la personne ne se connecte pas au domaine, le compte sera inaccessible car il aura expiré. Du moins, si je ne me trompe pas sur la théorie ... oui ça c'est sur, rien ne les empêchera de l'utiliser, je suis bien d'accord avec toi, mais bon on va dire que je vais leur faire un peu confiance par contre pour les 2 GPO, c'est pas mal! ça règle pas le problème de l'utilisateur qui n'as pas d'accès, mais c'est quand même une bonne idée! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 24 février 2011 Partager Posté(e) le 24 février 2011 à tout hasard, est-ce que tu sais si pspasswd peut gérer une liste de mot de passe? Car si c'est le cas, je fais tourner pspasswd en local, avec un fichier de mdp local (avec une douzaine de mdp par exemple) caché à qque part sur le disque, comme ça je connais le mdp... pas très "secure" si l'utilisateur est un peu bidouilleur, mais mieux que rien non? C'est faisable mais pas avec pspasswd seul, il faudra créer un programme qui fait ça... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.