Bonjour Hugo,
Existe-t-il une méthode pour pousser en cache des comptes admins dans un environnement active directory.
Je m’explique, comment faire pour prendre la main en mode admin sur un PC hors connexion où on ne s’est jamais connecté (typiquement des commerciaux ayant un client VPN HS) ?
les hash de mot de passe stocké en cache (PBKDF2 je crois? [1]) ne sont pas similaire avec les hash NT ou kerberos de l'AD, et je ne vois donc pas comment un hash pourrait être poussé automatiquement
Par contre il devrait être possible d'utiliser le compte admin local avec l'extension LAPS de microsoft [2] pour avoir quelque chose de relativement sécurisé. LAPS permet d'avoir des mdp admin locaux unique par poste stockés automatiquement d'une manière sécurisé dans l'AD. Je n'ai pas encore eu le temps de le tester en production, mais ça m'a l'air assez intéressant.
Cordialement,
Denis
[1] https://en.wikipedia.org/wiki/PBKDF2 [2] https://technet.microsoft.com/en-us/library/security/3062591.aspx
Merci d’avance
Hugo
Liste de diffusion du FRsAG http://www.frsag.org/