Méthode pour changer le mot de passe admin local sur les postes

Méthode pour changer le mot de passe admin local sur les postes - Poste de travail - Systèmes & Réseaux Pro

Marsh Posté le 27-08-2014 à 17:29:03    

Bonjour à toutes et à tous,
 
J'aurais voulu avoir vos conseils pour changer de manière fiable le mot de passe admin local des 10 000 machines de notre parc.
Quelle méthode utilisez vous ?
 
La seule solution viable est de stocker le mot de passe sur un partage réseau d'un serveur avec accès limité et de scripter un truc qui viendra le récupérer.
 
Merci pour vos avis éclairés :jap:

Reply

Marsh Posté le 27-08-2014 à 17:29:03   

Reply

Marsh Posté le 27-08-2014 à 17:42:53    

Reply

Marsh Posté le 27-08-2014 à 17:43:28    

et en plus c'est toi qui répond :) :p  
 

Reply

Marsh Posté le 27-08-2014 à 17:45:44    

Reply

Marsh Posté le 27-08-2014 à 17:58:59    

oui bon... après si c'est juste ponctuel.. il ne faut pas non plus être parano ... ou sinon tu utilises psexec et tu scriptes ça...  
 
;)

Reply

Marsh Posté le 27-08-2014 à 18:03:57    

Non mais c'est surtout que tu peux plus hein :D

Reply

Marsh Posté le 28-08-2014 à 08:40:07    

PsYKrO_Fred a écrit :

et en plus c'est toi qui répond :) :p  
 


 
^^ je suis un poil boulet !
Par script, j'y ai réfléchi, la difficulté étant de sécuriser le nouveau mot de passe.
C'est sur ce point qu'un script comme je l'imagine est non viable...
 
Je regarde les scripts PS histoire de voir si le niveau de sécurité est acceptable et balancer un truc par SCCM :)
 

PsYKrO_Fred a écrit :

oui bon... après si c'est juste ponctuel.. il ne faut pas non plus être parano ... ou sinon tu utilises psexec et tu scriptes ça...  
 
;)


 
Trop de PC éteint, je vais y passer ma vie le temps que le parc soit à jour...
 
Merci


Message édité par akizan le 28-08-2014 à 09:06:39
Reply

Marsh Posté le 28-08-2014 à 10:54:44    

Par contre :) je suis intéressé de savoir ta méthode... un jour je vais le faire aussi.. :)

Reply

Marsh Posté le 28-08-2014 à 11:11:23    

Niveau script, tu peux utiliser un langage type autoit où ton MDP ne sera pas accessible en clair dans le fichier compilé.
Tu peux en + le crypter dans le code.
Ou alors placer la chaîne cryptée en dehors du code.
Après tu lances l'exécutable via GPO.
 
je dis cela pour ceux qui n'auraient pas la GPP mentionnée. Elle n'est dispo qu'à partir d'un AD niveau 2008, non ?

Reply

Marsh Posté le 28-08-2014 à 12:35:36    

non, rien à voir avec le niveau d'AD (cette supposition a la vie dure !)

Reply

Marsh Posté le 28-08-2014 à 12:35:36   

Reply

Marsh Posté le 28-08-2014 à 12:48:17    

Je@nb a écrit :

non, rien à voir avec le niveau d'AD (cette supposition a la vie dure !)


 
 
Merci de la précision :jap:

Reply

Marsh Posté le 28-08-2014 à 13:21:45    

Attention il te faut au moins une GPMC 2008 minimum.

Reply

Marsh Posté le 28-08-2014 à 13:22:32    

ou windows 7 ou autre

Reply

Marsh Posté le 28-08-2014 à 13:24:10    

Et pour répondre à la question, un post super complet : http://blogs.technet.com/b/askpfep [...] sword.aspx

Reply

Marsh Posté le 29-08-2014 à 08:37:03    

merci pour le lien.
De notre côté, pour une gestion plus simple, on préfèrerait avoir un seul et unique mot de passe.

Reply

Marsh Posté le 29-08-2014 à 09:42:23    

Ce que je propose :
Tu crées un fichier texte sur un partage réseau contenant le mot de passe, tu mets les droits uniquement à "Domain computers" sur le partage (et ntfs).
 
Tu crées un startup script ou un package sccm avec un script (powershell, vbs, whatever) qui va lire le fichier et changer le mdp
 
et zou c'est fini. C'est assez sécure vu qu'il faut un compte machine pour lire le fichier donc sauf si tu lances un psexec -s ou un contexte machine tu n'auras pas accès au fichier

Reply

Marsh Posté le 29-08-2014 à 10:30:30    

Ouaip, ça me plait ça :)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed