GPO, champ grisé

Question

Bonjour, 

Je souhaite via GPO sur windows 2k8r2, activer le compte administrateur local de tous les postes et lui attribuer un mot de passe.

Pour ce faire, j'ai suivi ce lien : http://www.frenchteam-it.com/jeremylebon/2012/12/11/configuration-compte-administrateur-local-gpo-2008-r2/#comment-2600

Cependant, pour changer le mot de passe, mes deux champs "Mot de passe" et "Confirmer le mot de passe" sont grisés. J'ai également le même soucis lorsque je passe par le compte Administrateur du domaine, et non par un simple compte administrateur.

Merci par avance,

f4b3n

Kelu · Answer

Salut,

Je n'ai qu'une simple idée : installe GPMC sur un poste et fais la modification du GPP via ce poste, ne le fais pas sur un DC directement. Tu auras peut être plus de réussite.
Le fait que ce soit grisé peut être un problème de droit ...

Ne link surtout pas la GPO sur le domaine, mais sur une OU qui contient tes machines dont tu souhaites changer le mot de passe. (en gros ne target pas tes DCs ou tes serveurs).
Tu devrais avoir des mots de passe admins locaux différents pour tes workstations et tes serveurs.

-


Sinon je ne te conseille pas de procéder ainsi (utiliser cette méthode, GGP) pour faire ceci.

Là on travaille avec du GPP, et lorsque l'on utilise les GPP, tous les mots de passe saisis dans la GPP (changer le mot de passe d'un compte local, monter un lecteur réseau avec un compte particulier etc ... ) sont stockés dans la GPP.

Sauf que c'est chiffré avec des algorithmes que Microsoft a publié il y a quelques années.

Un simple utilisateur peut donc trouver le mot de passe d'un compte référencé dans un GPP. Avec un simple script, on vient récupérer un XML particulier stocké dans le SYSVOL, que tout le monde peut lire ... et dedans il y a le mot de passe chiffré.
On récupère password chiffré, un coup de moulinette et hop ...

La clé publiée par MS :
http://msdn.microsoft.com/en-us/library/2c15cbf0-f086-4c74-8b70-1f2fa45dd4be.aspx

Un petit article :
http://www.grouppolicy.biz/2013/11/why-passwords-in-group-policy-preference-are-very-bad/

Tu trouveras surement les scripts pour décrypter sur le net ... Get-GPPPassword ....

-

Donc si tu arrives à faire fonctionner ta GPO, il faut que tu supprimes la GPO qui contient le paramètre GPP, lorsque tu as fini. Tu éviteras de stocker le password dans un XML.
Sachant qu'un GPP est appliqué une fois, tu n'as pas besoin de garder la GPO active, donc la supprimer permet d'enlever le XML.
Toutefois ceci implique que dans la chaine de production d'une machine (le mastering), le mot de passe soit géré à ce niveau pour les nouvelles stations.

-

Une autre solution consisterai à faire un script (PS ou VBS) qui reset le mot de passe local admin... je pense que les exemples sur le net ne manquent pas.


@+

Utilisateur anonyme · Answer

Bonjour, et merci pour ta réponse!

installe GPMC sur un poste et fais la modification du GPP via ce poste, ne le fais pas sur un DC directement. Tu auras peut être plus de réussite. 

Je pense que je vais surtout chercher de ce côté-là, en effet. Par contre un problème de droit, dans la mesure où même avec le compte Administrateur du domaine je n'arrive pas à accéder à ces champs, ça me semble bizarre.

Tu me dis que ce n'est pas la bonne méthode, mais si je le fais par un script, les utilisateurs ont aussi accès à ce script, avec le password en clair? Car pour pouvoir l'exécuter, ils auront aussi un droit de lecture au moins? Je ne remets pas en cause ce que tu me dis. Loin de moi cette idée. J'essaie simplement de comprendre.

Ensuite, oui j'appliquerai bien la GPO aux postes utilisateurs et non aux serveurs, c'est déjà prévu et j'ai déjà organisé mon AD pour que ça fonctionne de la sorte :)

Merci en tout cas d'avoir pris le temps de m'expliquer tout cela en détail, je vais aller fouiller également du côté des liens que tu m'as fourni.

Je ferai un retour sur ce que j'ai effectué pour que la manipulation fonctionne!

A plus tard.

Kelu · Answer

Patch de mai qui désactive le comportement que j'ai cité plus haut :


http://support.microsoft.com/kb/2962486

Cette fonctionnalité est maintenant "deprecated" , comprendre : "ne plus utiliser".

Un workaround propose de passe par un script PS.

GPO, champ grisé

3 réponses

Votre réponse

Discussions similaires