Quand ActiveDirectory s’emballe…

Hey ! \o/

Un petit article vite fait pour parler d’un problème rencontré sur le parc informatique que je (co-)gère en ce moment, de la solution à ce problème, et surtout d’un souci de sécurité que ça peut poser.

Le problème, pour commencer : 9h45, appel d’un utilisateur paniqué, genre « j’arrive pas à me connecter à mon PC, mais sur la machine d’à côté ça marche, vous avez changé mon mot de passe ?! ». Outre un petit manque de réflexion, il y avait un vrai problème. Je me suis déplacé aussi sec, abandonnant une installation de LaTeX à son triste sort et retardant dont d’autant la rédaction de la nouvelle charte informatique de l’établissement. Je tente une connexion avec la personne en question, et là, Windows Vista (eeeerk) m’insulte :

 

La relation d’approbation entre cette station de travail et le domaine principal a échoué.

 

Pas de souci de mot de passe, donc. Mais un problème de communication entre le client, et le serveur qui stocke les profils du domaine, les comptes utilisateurs et ordinateurs… Les causes de ce message d’erreur sont multiples :

  • dysfonctionnement au niveau du serveur DNS;
  • deux ordinateurs du réseau qui portent le même nom (ça arrive…);
  • tentative d’ouverture de session pendant le laps de temps entre l’enregistrement de la machine cliente par le DHCP et la mise à jour des DNS;
  • etc.

 

Et la solution ? Bon, ici, point de problème de nom sur le réseau, je ne l’ai pas changé sur la machine, les utilisateurs « normaux » n’y ont pas accès. Le délai ? Ça faisait bien 10min que le serveur central avait enregistré le bail DHCP, or la mise à jour DNS est quasi-immédiate. Qu’est-ce qu’il nous reste ?

Ben… un Windows Vista qui, va savoir pourquoi, est du jour au lendemain incapable de communiquer avec le serveur de domaine. Une mise-à-jour système, peut-être ? J’en sais rien, et à la limite…

Bref, voici la marche à suivre pour résoudre ce problème (dans la plupart des cas, du moins !) :

  1. Allumer l’ordinateur si c’est pas déjà fait, et débrancher le câble réseau
  2. Ouvrez votre session administrateur habituelle. Attention, Windows va reconnaître le « Administrateur » et essayer de l’ouvrir en local, du coup pensez à taper VOTREDOMAINE\Administrateur comme login.
  3. Rebranchez le câble réseau.
  4. Cliquez droit sur Ordinateur/Poste de travail, propriétés, puis onglet « Nom de l’ordinateur » (sous Vista/7/8 vous devez cliquer sur « Paramètres systèmes avancés » dans la colonne de gauche, il me semble).
  5. Cliquez sur « ID Réseau » pour lancer l’assistant qui va « réparer » le lien, et suivez-le jusqu’au bout en lui fournissant toutes les infos nécessaires, qui sont celles du compte Administrateur (donc vous gourez pas dans les droits !). En cas d’avertissement comme quoi un compte ordinateur du même nom existe déjà, c’est bien, confirmez que vous voulez utiliser ce compte existant.
  6. Redémarrez la machine.
  7. Connectez-vous comme d’habitude, ce coup-là, tout devrait être revenu dans l’ordre ! 🙂

 

Je vous parlais d’un petit souci de sécurité. Vous aurez remarqué qu’on ouvre une session Administrateur avec un compte « réseau », alors que le câble est débranché. Comment se fait-ce ? Eh bien… Windows garde par défaut les informations de connexion (ainsi que le profil) des 10 derniers comptes utilisateurs qui se sont connectés à la machine. Dans ce cas, c’est bien pratique quand on n’a pas créé de compte Administrateur local, ou que la personne qui se connecte au quotidien n’a pas de droits suffisants.

Mais… on sait tous ici comment Windows stocke ces informations plus que sensibles. Il suffit qu’un malandrin se pointe avec un LiveCD quelconque, récupère les fichiers adéquats, et fasse joujou 10min avec des Rainbow Tables ou autres trucs sympa pour se retrouver avec le login/password de l’Administrateur réseau. Si ça c’est pas über-secure… :mrgreen:

 

J’espère que ce petit post vous aidera à régler ce souci si vous y êtes confronté. Et sinon… passez sous Linux ! 😀

2 réflexions sur “ Quand ActiveDirectory s’emballe… ”

  • 27 septembre 2015 à 15 h 01 min
    Permalink

    merci bien…j’ai pas bien saisi cette paragraphe ***** »Je vous parlais d’un petit souci de sécurité. Vous aurez remarqué qu’on ouvre une session Administrateur avec un compte « réseau », alors que le câble est débranché. Comment se fait-ce ? Eh bien… Windows garde par défaut les informations de connexion (ainsi que le profil) des 10 derniers comptes utilisateurs qui se sont connectés à la machine. Dans ce cas, c’est bien pratique quand on n’a pas créé de compte Administrateur local, ou que la personne qui se connecte au quotidien n’a pas de droits suffisants »*****
    + d’explication svp..
    merci d’avance

    Réponse
    • 6 octobre 2015 à 9 h 29 min
      Permalink

      Salut,

      c’est simplement pour dire que lorsque tu ouvres une session Windows/AD sur un poste réseau, la machine locale copie les informations d’authentification et le profil de ton utilisateur. Mettons que ce matin tu te connectes sur un poste Windows relié à un domaine ActiveDirectory. Ta machine va garder une copie de (l’empreinte de [j’espère…]) ton mot de passe, ainsi que tes paramètres, bureau…
      Du coup, si ce matin ton annuaire AD est hors-service, tu pourras tout de même te connecter à ta machine et bosser.

      Windows garde les 10 derniers profils qui se sont connectés localement.

      Est-ce que c’est plus clair ainsi ?

      Réponse

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *