Bonjour Hugo,
Existe-t-il une méthode pour pousser en cache des comptes admins dans un
environnement active directory.
Je m’explique, comment faire pour prendre la main en mode admin sur un
PC hors connexion où on ne s’est jamais connecté (typiquement des
commerciaux ayant un client VPN HS) ?
les hash de mot de passe stocké en cache (PBKDF2 je crois? [1]) ne sont
pas similaire avec les hash NT ou kerberos de l'AD, et je ne vois donc
pas comment un hash pourrait être poussé automatiquement
Par contre il devrait être possible d'utiliser le compte admin local
avec l'extension LAPS de microsoft [2] pour avoir quelque chose de
relativement sécurisé. LAPS permet d'avoir des mdp admin locaux unique
par poste stockés automatiquement d'une manière sécurisé dans l'AD. Je
n'ai pas encore eu le temps de le tester en production, mais ça m'a
l'air assez intéressant.
Cordialement,
Denis
[1] https://en.wikipedia.org/wiki/PBKDF2
[2] https://technet.microsoft.com/en-us/library/security/3062591.aspx
Merci d’avance
Hugo
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
--
Denis Cardon
Tranquil IT Systems
Les Espaces Jules Verne, bâtiment A
12 avenue Jules Verne
44230 Saint Sébastien sur Loire
tel : +33 (0) 2.40.97.57.55
http://www.tranquil-it-systems.fr
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
