Centraliser les définitions de GPO dans un domaine

Je partage rapidement un lien vers cet article :

Scenario 2: Editing Domain-Based GPOs Using ADMX Files qui explique comment mettre en place un Magasin centralisé de modèle de GPO sur un domaine. C’est simple et ça permet que tout le monde utilise les même définitions de politiques ‘.admx’ sur un domaine.

Une fois en place, pour ajouter un modèle il suffit de juste de copier les .admx voulus dans ce dossier-là :

\\mon.domaine.com\sysvol\mon.domaine.com\Policies\PolicyDefinitions
(avec leurs infos de langage dans les sous dossiers en-us, fr-fr ou votre langue).

C’est pas long à mettre en œuvre et ça permet d’éviter pas mal de bêtises côté GPO…

@++… Lire la suite

TP Active Directory – Changement de mot de passe, réseau et Windows 7

Pas vraiment un TP aujourd’hui mais plus une nouveauté que j’ai découverte en réinitialisant un mot de passe utilisateur dans un Active Directory.

Le problème

En fait en faisant un changement de mot de passe je me suis rendu compte que le PC freezait pendant quelques secondes avant de réussir.
Un coup de netstat plus tard, j’avais repéré un beau SYN_SENT vers un de nos DC avec le protocole kpasswd côté port réseau.

Que ça veut dire ?

Après une rapide recherche autour de kpasswd, je suis tombé sur l’explication.
Depuis Windows 7, Microsoft implémente kpasswd (protocole et programme Opensource-KRB/MIT) qui est utilisé pour gérer les mots de passes des « principaux » (=comptes, pour simplifier) dans Kerberos.
La plupart des gens pensaient que MS avait fait ça pour des histoires de compatibilité UNIX.

QUENiNi vous dis-je !

Seven essaie systématiquement de changer le mot de passe en kpasswd (et ce, que ce soit sur domaine et DC : en 2003 ou 2008R2 ou plus).
XP lui se comporte différemment, et utilise « SAMR » (il pourra faire du ‘Rap’ comme ça) qui passe sur le 445 en « RPC-Over-SMB » (et du coup la ça passe le filtrage firewall)… Lire la suite