Ensemble des comptes verrouillés, y compris admins [AD] - Infrastructures serveurs - Systèmes & Réseaux Pro
Marsh Posté le 20-01-2008 à 01:46:59
Avec Locksmith sur Easy Recovery Disc de Winternals (payant)
ou Offline NT Registry Editor sur UBCD (gratuit)
tu peux éditer les comptes utilisateur de tous les NT (j'ai testé de NT4 à 2003).
Marsh Posté le 20-01-2008 à 11:24:19
Sur un AD, ça lui fera une belle jambe.
Vinz416 -> ils sont verrouillés comment ? Les comptes sont désactivés ?
Marsh Posté le 20-01-2008 à 14:31:44
T'as qu'à faire une restauration autoritaire si c'est possible
Marsh Posté le 20-01-2008 à 23:29:48
Les comptes ne sont pas désactivés, juste verrouillés.
En gros, un script sympa qui doit tester 3 fois le mot de passe sur chacun des comptes users, y compris admins du domaines Plutot sympa.
Meme le compte admin de l'entreprise, ayant une stratégie de non verrouillage est verrouillé, d'où la grosse pagaille
Pour faire une restauration de quoi que ce soit, je pense qu'il faut minimum un compte admin non ?
edit: à savoir que l'AD est répliqué sur en gros, une 20 ène de DC
Marsh Posté le 20-01-2008 à 23:35:17
Je viens juste d'éditer mon post au dessus.
Le fait d'une réplique sur une 20ène de controlleur, ce n'est pas génant ?
En gros, tu penses qu'à part une restauration, il n'y a aucun moyen de "reprendre le pouvoir" ?
Marsh Posté le 20-01-2008 à 23:42:26
Non ça ne gène pas parce que c'est un compte "local" qui n'est pas répliqué et où tu peux te loguer dessus en mode de restore ad
Bah disons que de tête c'est la seule soluc que je vois. Il y en a peut être une autre mais je ne la vois pas.
J'ai vu ça aussi http://www.jms1.net/nt-unlock.shtml
Marsh Posté le 20-01-2008 à 23:57:43
Ok, donc en dernier recours, la restau
Ton link me semble pas mal, si on obtient l'accès en admin du domaine, cela devrait permettre de déverrouiller tout ca
Merci bien
Marsh Posté le 21-01-2008 à 01:21:36
Alors sur 2000 de mémoire il y avait une faille de secu si tu es anterieur au SP4!
tu boots ton DC sur un CD type BartPE ou autre Live Systeme qui embarque un éditeur de base de registre.
Tu remplaces l'économiseur d'écran de l'invite de session par le composant logiciel enfichable Users and compters(faut que je retrouve la clé de registre).
Tu reboot sur ton DC et tu attends le joli logo Windows 2000 économisateur d'écran et là ho surprise la gestion des users se lance en compte LocalSystem qui, sur 2000 et meme un DC, a tous les droits !!!!
Un conseil retir ce paramétre soit disant de sécurité au niveau probablement de la Default domain policy qui n'a d'interet que de donner la possibilité de faire une attaque DOS.
Sinon si tu as certainement un domaine parent vu la taille de ton domaine (20 DC), tu as un compte administrateur de l'entreprise qui celui ci ne doit pas être sensible à cette GPO, et qui est full admin sur tous les domaines de la foret AD, c'est plus propre et garanti !
Marsh Posté le 21-01-2008 à 18:13:56
Salut,
Ce que tu dis dois se rapprocher du lien fournit plus haut
http://www.jms1.net/nt-unlock.shtml
Il faudrat que je test.
Sinon, il y a bien un admin de l'entreprise, justement censé ne jamais verrouillé, et pourtant ...
Marsh Posté le 02-02-2009 à 18:19:00
Vinz416 a écrit : Salut à tous, |
Nous rencontrons le meme genre de probleme mais sur windows server 2008 standard. Le dossier de la strategie de comptes ainsi que les comptes locales sont cadennasées.
Auriez-vous un idée autre que celle evoqué precedement
Merci d'avance
A++
Marsh Posté le 20-01-2008 à 00:38:34
Salut à tous,
J'ai une petite question sur active directory, sous windows 2000.
Sur un ensemble de controlleurs de domaine d'un AD, et suite à une attaque (surement un script à la con ) l'ensemble des comptes utilisateurs et surtout administrateurs se trouvent verrouillés.
Dans ce cas, ya t'il une parade pour arriver à déverrouiller au moins un compte admin, qui lui permettra de deverrouiller le reste des comptes ?
Merci