EDIT - Poste de travail - Systèmes & Réseaux Pro
Marsh Posté le 25-03-2014 à 23:09:53
Si cela peut t'aider, je connais de nom NAP de chez ms.
http://technet.microsoft.com/fr-fr [...] 54803.aspx
Marsh Posté le 25-03-2014 à 23:59:48
l'accès au domaine ne se fait que à partir des machines dans le domaine, c'est de base
Marsh Posté le 27-03-2014 à 09:14:02
Il faudra juste vérifier que tu ne fais pas de réservation par @MAC au niveau DHCP
Marsh Posté le 30-03-2014 à 10:07:08
Le lien entre la machine et le domaine se fait via un SID.
Ce dernier est stocké dans la base de registre.
Le fait de changer de carte réseau ne modifie pas cet SID.
De plus, si l'accès aux ressources est géré via utilisateur.
Les ressources seront accessibles depuis une machine qui n'est pas dans le domaine. Si la personne possède un login utilisateur dans l'ad, alors elle accèdera au ressource accessible à cet utilisateur depuis une machine quelconque.
Marsh Posté le 31-03-2014 à 13:44:09
Si tu t'es logué correctement une fois à l'AD, le PC stock les infos de connexion en local, donc tu devrais pouvoir ouvrir ta session.
Marsh Posté le 31-03-2014 à 17:38:38
il n'y a aucun lien entre l'AD et l'adresse mac d'une machine et donc on ne pas filtrer les accès au domaine par ces adresses.
il n'y a pas de lien entre le SID d'une machine et le domaine. le SID est strictement local et n'est jamais diffusé sur le réseau sauf pour quelques rares exceptions... certaines appli codés avec les pieds s'en servent mais ne devraient pas.
les machines sont liées au domaine via des tokens ou en français des jetons qui sont valides pour 40jours. je ne me souviens plus de la fréquence de renouvellement mais c'est au moins quotidien. donc tu peux te connecter sur une machine avec tes identifiants du domaine sans qu'elles soient relié a celui-ci dans les 40 jours qui suivent le renouvellement du token.
Marsh Posté le 01-04-2014 à 00:02:41
Attention, je ne parle pas du sid local à la machine (régénéré lors du sysprep).
Je parle du sid "de domaine", ce dernier est généré lors de l'intégration du poste au domaine. C'est l'identifiant de la machine sur le domaine.
Marsh Posté le 01-04-2014 à 01:08:43
ahbahlut a écrit : il n'y a aucun lien entre l'AD et l'adresse mac d'une machine et donc on ne pas filtrer les accès au domaine par ces adresses. |
Tu confonds un peu tout entre le compte machine AD, le SID, le token/tiquet Kerberos, les cached credentials.
Par défaut windows autorise XX (par défaut 10) logins AD à être en cache en local sur la machine. C'est configurable via GPO/template de sécu/registre. Et on parle de nombre de login en cache et non de jours de cache. Même si une machine est offline pendant 1 an, si le login est en cache (et que le mdp de l'utilisateur n'a pas expiré ...) alors il pourra s'y connecter (et même si il a expiré en fait, à tester, c'est juste qu'il va vouloir que tu te connectes au réseau pour le maj mais tu pourrais te logguer qd même)
Marsh Posté le 01-04-2014 à 07:39:02
Je@nb a écrit : Tu confonds un peu tout entre le compte machine AD, le SID, le token/tiquet Kerberos, les cached credentials. |
Pour le SID et l'adresse MAC, non je ne pense pas confondre avec quoi que ce soit, ou alors faudra m'expliquer en quoi ces deux éléments inter-agissent avec l'Active Direcory.
Maintenant pour ce qui est du token/kerberos oui c'était inexact, j'ai pris de gros raccourci et merci pour tes précisions, ça m'a aussi rafraichi la mémoire
Pour le SID : http://blogs.technet.com/b/markrus [...] 91024.aspx
Marsh Posté le 01-04-2014 à 12:05:17
J'ai jamais parle de l'adresse mac, celle ci n'est pas inscrite dans lad. Par contre tu peux enregistrer le uuid de la machine
Marsh Posté le 01-04-2014 à 17:53:19
Le filtrage par adresse mac ne se fait qu'au niveau du réseau, via le protocole NAP.
Rien à voir avec l'Active Directory.
Marsh Posté le 25-03-2014 à 22:48:20
EDIT
Message édité par Profil supprimé le 13-02-2017 à 12:44:19