salut, jai un gros souci avec mon domaine, car jai appliqué une strategie de mot de passe avec changement tous les 3 mois sur les stations clientes.
 
Le souci est que à chaque fois que je veux intervenir sur un poste client, l'utilisateur n'est pas la et je suis donc bloqué sans mot de passe.
 
y a til un moyen de recupérer ces mot de passe sur le serveur 2000 ?
merci

si tu administres le domaine, pourquoi ne te loggues tu pas sur les postes en domain admin pour l'intervention ?

 
Ben tout depend de l'intervention. pour certains logiciels, les changements se font selon la session ouverte. si je fais des changements en code admin, l'utilisateur ne les verra pas sous sa session.

Log toi en admin, et change le pass de l utilisateur, log toi sous sont nom, et laisse lui un petit message papier lui demandant de te recontacter pour avoir son nouvo pass

 
Ben dans les situations critiques , c'est ce que je fais, mais c'est vraiment pas l'ideal...
Il ny a vraiment a

 
sorry jai taper entrée sans faire expres, donc je continue
 
il ny a vraiment aucun outil pour choper ces mot de passe qui me simplifierai tellement !?!

si, il y a des diskettes linux qi permetent de decrypter le Pass de l admin, mais je ne sais pas si ca marche pour d autre utilisateurs.
 
parfois, aussi, le plus simple c est de regarder le bureau de la personne, il y a des postit sur l ecran donnant ses parametre d acces, sont numero de CB,...  (le pire, c est ke c est du vecu)
 

 
euh non, et heureusement où alors configure ton controleur de domaine pour qu'il enregistre en clair les changement de mdp, mais niveau securité ça devient limite...

 
sisi tu peux changer l'utilisateur que tu veux, mais pr lui c'est le meme probleme que s'il change le mdp du compte directement sur le serveur ...

 
oui, ca evidement, kil peut le fair sur le controleur de Domain. et c est meme mieux ke la diskette ki fait une attaque brutale pendant 5 heures

 
  la disquette nux ne fait pas de brute force, elle change le mdp et ça prend 30s ....

ca ce peut, j ai jamais essayé  

bah ya donc aucun moyen , c nul , c qd meme mal chier, il pourrait penser a ca, c qd meme important et surtout pratique !

Moi je m 'en suis servi plusieur sfois pour des postes bloqués de client par exemple ca fonctionne super bien et je crois que ca met meme moins de 30 sec si on le met sur cd

 
ben soit tu files un mdp toi meme à tes users et tu empeche le changement, soit ils ont le droit de le changer comme ils veulent avec ou sans stockage des changements sur le serveur, c une question de securité !

 
J'allais le dire : Mdp imposé, et basta.

 
ba kan les soft sont bien fait : Office, Paint shop pro,... il ne s installent paske pour l utilisateur courant, mais pour tout le monde.

 
oui mais question securité , le changement c mieux.
 
quest ce que tu entends par "stockage des changements sur le serveur" ?

Si l'intervention necessite la présence de l'utilisateur(par exemple pour lui installer un soft capricieux) et qu'il n'est pas là quand tu lui a donné rendez-vous, tu lui dépose un post-it sur son PC lui demandant de reprendre rdv avec toi pour la manip...et tu le fait attendre une semaine(invente des excuses...)
Testé en live -> dès le 3ème utilisateur, tout les autres savent qu'ils n'ont pas interet à manquer le rdv.
Sinon, tu passe pour la bonne poire à la dispo des autres

Alucard -> Ton approche du problème est à mon avis mauvaise...
 
Pour le petit exposé la registry, ou est stockée la quasi totalité de la configuration, est organisée en diverses ruches. L'une se nomme HKEY_CURRENT_USER, est stockée dans le fichier user.dat et est propre à chaque utilisateur. C'est probablement dans cette ruche qu'il faudra modifier certaines clefs.
 
L'approche serait la suivante :
1) Repérer les clefs de la registry qui stockent les paramètres en questions, les isoler et définir quelles sont les valeurs souhaitées (un regitry tracker permet de les mettre en évidence)
2) Créer un script avec Windows Scripting Host (VBSCript, JScript) qui te modifie les clefs en question.
3) Appeler ce script au login de l'utilisateur depuis ou avec un login script (donc dans son contexte de sécurité)
 
Quelques références :
- Microsoft Script Center
- Microsoft Windows Script
 
Sinon pour répondre à ta question initiale, il existe un utilitaire (certes pas gratuit) qui permet de casser les mots de passes d'utilisateur. J'ignore son efficacité sur AD (j'avais du l'utiliser sous NT4 à l'époque dans une précédente version quand ca s'appelait encore L0phtCrack) : http://www.atstake.com/products/lc/

ben déjà c du bruteforce alors c loooooooooooong ....

Thalis -> Télécharge un dico de prénom, nom, mots français / anglais / allemand si les utilisateurs n'ont pas été "briefé" côté sécurité en quelque secondes tu as déjà une bonne partie des mots de passes.

 
voui ben euh je prefere ma methode, si g *vraiment* besoin du mdp, je le change au niveau du serveur, je fais mes bidouilles, je deloggue et je dis au serveur de demander un nouveau mdp à la prochaine ouverture de session

Thalis -> Je l'utilise aussi ne t'inquiète pas Tout dépend du nombre de machines / utilisateurs concernés. Si tu en as peu tu peux te le permettre, dès que le nombre augmente faut pas avoir grand chose à faire de ses journées

Précision : la disquette Linux permet de changer les mots de passe, pas de retrouver ceux en place, et elle ne fonctionne que sur les SAM locales des PC, sur une AD ca ne marche pas.
 
Sinon heureusement que l'admin n'a pas acces a tous les autres mots de passe, ce serait vraiment un gros trou de securité.
Perso je suis partisan de la methode de Kill9, le gars qui veut qu'on intervienne sur son poste et qui confond intervention du service info avec pause café a rallonge, ben il attend.

D7 linux spéciale, t'as accès a ts les comptes locaux et tu peux lire/ chger les mdp... voire les supprimer !

hum  ?
 
je n'ai jamais entendu parler de cette disquette
je connaissais seulement la disquette qui permet de changer le mot de passe admin
 
ca m'inquiete...
 
un mot de passe admin changé cela se voit....
par contre un mot de passe admin  cracké c'est plus qu'inquietant

Salut !
 
Tu peux utiliser Run as ou executer en tant que.

Euh au dernière nouvelle on ne peut pas "casser" du Kerberos en clef publique / clef privée, donc hormis attraper le compte admin local d'un poste (à vérifier), je ne vois pas trop...
 
Pour accèder à un poste inclus dans un domaine Active Directory, tu peux lui descendre une GPO "ordinateur" pour te coller dans les admins locaux si l'utilisateur perfide et vicieux t'as éjecté...