Hello World !
Je viens d'écrire un nouveau paragraphe sur mon site, consacré à la façon de
redéfinir n'importe quel mot de passe (y compris et surtout celui d'un
administrateur) sur un serveur de domaine, alors qu'on a perdu tous les mots
de passe.
La méthode de Petter NORDHAL (avec la disquette ou le CD Linux) ne concerne
que les comptes LOCAUX (infos stockées dans le fichier SAM), et ne peut pas
s'appliquer sur les comptes de domaines (infos stockées dans la base Active
Directory).
Par contre, elle va servir à mettre en place un outil qui lui va pouvoir
redéfinir le mot de passe d'un administrateur du domaine!
http://www.bellamyjc.org/fr/pwdnt.html#domaine
Je décris 2 méthodes :
- une applicable sous W2k SRV et W2K3, assez complexe
Elle est fortement inspirée de celle de Daniel PETRI
(MVP Windows Server System - Exchange Server)
http://www.petri.co.il/reset_domain_admin_password_in_windows_server_2003_ad.htm
Je l'ai rendue AUTOMATIQUE à l'aide de scripts VBS et BAT
de ma conception.
- une applicable seulement sous W2K SRV, très simple
Elle ne nécessite rien de plus.
Mais elle ne fonctionne pas sous W2K3 à cause des
sécurités renforcées de cet OS.
Je rappelle que ce n'est en aucune façon une incitation à l'utilisation
frauduleuse d'ordinateur, mais seulement la description de méthodes
permettant à un administrateur authentique de recouvrer la maitrise d'une
machine après l'oubli de son mot de passe.
Toutefois cela met en évidence la vulnérabilité d'un poste de travail ou
serveur sous Windows (NT, 2000, XP, 2003).
Donc, dans le cas où un ordinateur présente un caractère "sensible", il faut
avant toute chose le protéger physiquement :
- en l'enfermant dans un local protégé
- en définissant un mot de passe suffisamment solide pour la configuration
du BIOS
- en désactivant le lecteur de disquette et de CDROM au niveau du BIOS
Vous pouvez dormir tranquilles à présent ! ;-)
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] -
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Hello World !
Je viens d'écrire un nouveau paragraphe sur mon site, consacré à la façon de
redéfinir n'importe quel mot de passe (y compris et surtout celui d'un
administrateur) sur un serveur de domaine, alors qu'on a perdu tous les mots
de passe.
La méthode de Petter NORDHAL (avec la disquette ou le CD Linux) ne concerne
que les comptes LOCAUX (infos stockées dans le fichier SAM), et ne peut pas
s'appliquer sur les comptes de domaines (infos stockées dans la base Active
Directory).
Par contre, elle va servir à mettre en place un outil qui lui va pouvoir
redéfinir le mot de passe d'un administrateur du domaine!
http://www.bellamyjc.org/fr/pwdnt.html#domaine
Je décris 2 méthodes :
- une applicable sous W2k SRV et W2K3, assez complexe
Elle est fortement inspirée de celle de Daniel PETRI
(MVP Windows Server System - Exchange Server)
http://www.petri.co.il/reset_domain_admin_password_in_windows_server_2003_ad.htm
Je l'ai rendue AUTOMATIQUE à l'aide de scripts VBS et BAT
de ma conception.
- une applicable seulement sous W2K SRV, très simple
Elle ne nécessite rien de plus.
Mais elle ne fonctionne pas sous W2K3 à cause des
sécurités renforcées de cet OS.
Je rappelle que ce n'est en aucune façon une incitation à l'utilisation
frauduleuse d'ordinateur, mais seulement la description de méthodes
permettant à un administrateur authentique de recouvrer la maitrise d'une
machine après l'oubli de son mot de passe.
Toutefois cela met en évidence la vulnérabilité d'un poste de travail ou
serveur sous Windows (NT, 2000, XP, 2003).
Donc, dans le cas où un ordinateur présente un caractère "sensible", il faut
avant toute chose le protéger physiquement :
- en l'enfermant dans un local protégé
- en définissant un mot de passe suffisamment solide pour la configuration
du BIOS
- en désactivant le lecteur de disquette et de CDROM au niveau du BIOS
Vous pouvez dormir tranquilles à présent ! ;-)
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - Jean-Claude.Bellamy@wanadoo.fr
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Hello World !
Je viens d'écrire un nouveau paragraphe sur mon site, consacré à la façon de
redéfinir n'importe quel mot de passe (y compris et surtout celui d'un
administrateur) sur un serveur de domaine, alors qu'on a perdu tous les mots
de passe.
La méthode de Petter NORDHAL (avec la disquette ou le CD Linux) ne concerne
que les comptes LOCAUX (infos stockées dans le fichier SAM), et ne peut pas
s'appliquer sur les comptes de domaines (infos stockées dans la base Active
Directory).
Par contre, elle va servir à mettre en place un outil qui lui va pouvoir
redéfinir le mot de passe d'un administrateur du domaine!
http://www.bellamyjc.org/fr/pwdnt.html#domaine
Je décris 2 méthodes :
- une applicable sous W2k SRV et W2K3, assez complexe
Elle est fortement inspirée de celle de Daniel PETRI
(MVP Windows Server System - Exchange Server)
http://www.petri.co.il/reset_domain_admin_password_in_windows_server_2003_ad.htm
Je l'ai rendue AUTOMATIQUE à l'aide de scripts VBS et BAT
de ma conception.
- une applicable seulement sous W2K SRV, très simple
Elle ne nécessite rien de plus.
Mais elle ne fonctionne pas sous W2K3 à cause des
sécurités renforcées de cet OS.
Je rappelle que ce n'est en aucune façon une incitation à l'utilisation
frauduleuse d'ordinateur, mais seulement la description de méthodes
permettant à un administrateur authentique de recouvrer la maitrise d'une
machine après l'oubli de son mot de passe.
Toutefois cela met en évidence la vulnérabilité d'un poste de travail ou
serveur sous Windows (NT, 2000, XP, 2003).
Donc, dans le cas où un ordinateur présente un caractère "sensible", il faut
avant toute chose le protéger physiquement :
- en l'enfermant dans un local protégé
- en définissant un mot de passe suffisamment solide pour la configuration
du BIOS
- en désactivant le lecteur de disquette et de CDROM au niveau du BIOS
Vous pouvez dormir tranquilles à présent ! ;-)
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] -
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Hello World !
Je viens d'écrire un nouveau paragraphe sur mon site, consacré à la façon
de redéfinir n'importe quel mot de passe (y compris et surtout celui d'un
administrateur) sur un serveur de domaine, alors qu'on a perdu tous les
mots de passe.
La méthode de Petter NORDHAL (avec la disquette ou le CD Linux) ne
concerne que les comptes LOCAUX (infos stockées dans le fichier SAM), et
ne peut pas s'appliquer sur les comptes de domaines (infos stockées dans
la base Active Directory).
Par contre, elle va servir à mettre en place un outil qui lui va pouvoir
redéfinir le mot de passe d'un administrateur du domaine!
http://www.bellamyjc.org/fr/pwdnt.html#domaine
Je décris 2 méthodes :
- une applicable sous W2k SRV et W2K3, assez complexe
Elle est fortement inspirée de celle de Daniel PETRI
(MVP Windows Server System - Exchange Server)
http://www.petri.co.il/reset_domain_admin_password_in_windows_server_2003_ad.htm
Je l'ai rendue AUTOMATIQUE à l'aide de scripts VBS et BAT
de ma conception.
- une applicable seulement sous W2K SRV, très simple
Elle ne nécessite rien de plus.
Mais elle ne fonctionne pas sous W2K3 à cause des
sécurités renforcées de cet OS.
Je rappelle que ce n'est en aucune façon une incitation à l'utilisation
frauduleuse d'ordinateur, mais seulement la description de méthodes
permettant à un administrateur authentique de recouvrer la maitrise d'une
machine après l'oubli de son mot de passe.
Toutefois cela met en évidence la vulnérabilité d'un poste de travail ou
serveur sous Windows (NT, 2000, XP, 2003).
Donc, dans le cas où un ordinateur présente un caractère "sensible", il
faut avant toute chose le protéger physiquement :
- en l'enfermant dans un local protégé
- en définissant un mot de passe suffisamment solide pour la configuration
du BIOS
- en désactivant le lecteur de disquette et de CDROM au niveau du BIOS
Vous pouvez dormir tranquilles à présent ! ;-)
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] -
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Hello World !
Je viens d'écrire un nouveau paragraphe sur mon site, consacré à la façon
de redéfinir n'importe quel mot de passe (y compris et surtout celui d'un
administrateur) sur un serveur de domaine, alors qu'on a perdu tous les
mots de passe.
La méthode de Petter NORDHAL (avec la disquette ou le CD Linux) ne
concerne que les comptes LOCAUX (infos stockées dans le fichier SAM), et
ne peut pas s'appliquer sur les comptes de domaines (infos stockées dans
la base Active Directory).
Par contre, elle va servir à mettre en place un outil qui lui va pouvoir
redéfinir le mot de passe d'un administrateur du domaine!
http://www.bellamyjc.org/fr/pwdnt.html#domaine
Je décris 2 méthodes :
- une applicable sous W2k SRV et W2K3, assez complexe
Elle est fortement inspirée de celle de Daniel PETRI
(MVP Windows Server System - Exchange Server)
http://www.petri.co.il/reset_domain_admin_password_in_windows_server_2003_ad.htm
Je l'ai rendue AUTOMATIQUE à l'aide de scripts VBS et BAT
de ma conception.
- une applicable seulement sous W2K SRV, très simple
Elle ne nécessite rien de plus.
Mais elle ne fonctionne pas sous W2K3 à cause des
sécurités renforcées de cet OS.
Je rappelle que ce n'est en aucune façon une incitation à l'utilisation
frauduleuse d'ordinateur, mais seulement la description de méthodes
permettant à un administrateur authentique de recouvrer la maitrise d'une
machine après l'oubli de son mot de passe.
Toutefois cela met en évidence la vulnérabilité d'un poste de travail ou
serveur sous Windows (NT, 2000, XP, 2003).
Donc, dans le cas où un ordinateur présente un caractère "sensible", il
faut avant toute chose le protéger physiquement :
- en l'enfermant dans un local protégé
- en définissant un mot de passe suffisamment solide pour la configuration
du BIOS
- en désactivant le lecteur de disquette et de CDROM au niveau du BIOS
Vous pouvez dormir tranquilles à présent ! ;-)
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - Jean-Claude.Bellamy@wanadoo.fr
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Hello World !
Je viens d'écrire un nouveau paragraphe sur mon site, consacré à la façon
de redéfinir n'importe quel mot de passe (y compris et surtout celui d'un
administrateur) sur un serveur de domaine, alors qu'on a perdu tous les
mots de passe.
La méthode de Petter NORDHAL (avec la disquette ou le CD Linux) ne
concerne que les comptes LOCAUX (infos stockées dans le fichier SAM), et
ne peut pas s'appliquer sur les comptes de domaines (infos stockées dans
la base Active Directory).
Par contre, elle va servir à mettre en place un outil qui lui va pouvoir
redéfinir le mot de passe d'un administrateur du domaine!
http://www.bellamyjc.org/fr/pwdnt.html#domaine
Je décris 2 méthodes :
- une applicable sous W2k SRV et W2K3, assez complexe
Elle est fortement inspirée de celle de Daniel PETRI
(MVP Windows Server System - Exchange Server)
http://www.petri.co.il/reset_domain_admin_password_in_windows_server_2003_ad.htm
Je l'ai rendue AUTOMATIQUE à l'aide de scripts VBS et BAT
de ma conception.
- une applicable seulement sous W2K SRV, très simple
Elle ne nécessite rien de plus.
Mais elle ne fonctionne pas sous W2K3 à cause des
sécurités renforcées de cet OS.
Je rappelle que ce n'est en aucune façon une incitation à l'utilisation
frauduleuse d'ordinateur, mais seulement la description de méthodes
permettant à un administrateur authentique de recouvrer la maitrise d'une
machine après l'oubli de son mot de passe.
Toutefois cela met en évidence la vulnérabilité d'un poste de travail ou
serveur sous Windows (NT, 2000, XP, 2003).
Donc, dans le cas où un ordinateur présente un caractère "sensible", il
faut avant toute chose le protéger physiquement :
- en l'enfermant dans un local protégé
- en définissant un mot de passe suffisamment solide pour la configuration
du BIOS
- en désactivant le lecteur de disquette et de CDROM au niveau du BIOS
Vous pouvez dormir tranquilles à présent ! ;-)
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] -
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Bonjour,
Sans vouloir diminuer le travail de Jean-Claude,
Mais si, avoue-le, tu veux me néantiser !
je complèterais que
pour éviter que ces techniques ne fonctionnent, il suffit d'utiliser
la commande SysKey dans l'un des modes où la clé n'est pas stockée
sur le serveur.
Exact !
A ma connaissance (La Connaissance s'accroît quand on
la partage, n'est-ce pas), il n'existe pas, aujourd'hui, de moyen
d'outrepasser cette protection, sauf à utiliser des moyens immenses
(comme ceux de la NSA) et beaucoup de temps (plusieurs jours, au
minimum). Les contreparties de SysKey sont relativement lourds et ne
doivent être utilisés que pour protéger des données sensibles.
Bonjour,
Sans vouloir diminuer le travail de Jean-Claude,
Mais si, avoue-le, tu veux me néantiser !
je complèterais que
pour éviter que ces techniques ne fonctionnent, il suffit d'utiliser
la commande SysKey dans l'un des modes où la clé n'est pas stockée
sur le serveur.
Exact !
A ma connaissance (La Connaissance s'accroît quand on
la partage, n'est-ce pas), il n'existe pas, aujourd'hui, de moyen
d'outrepasser cette protection, sauf à utiliser des moyens immenses
(comme ceux de la NSA) et beaucoup de temps (plusieurs jours, au
minimum). Les contreparties de SysKey sont relativement lourds et ne
doivent être utilisés que pour protéger des données sensibles.
Bonjour,
Sans vouloir diminuer le travail de Jean-Claude,
Mais si, avoue-le, tu veux me néantiser !
je complèterais que
pour éviter que ces techniques ne fonctionnent, il suffit d'utiliser
la commande SysKey dans l'un des modes où la clé n'est pas stockée
sur le serveur.
Exact !
A ma connaissance (La Connaissance s'accroît quand on
la partage, n'est-ce pas), il n'existe pas, aujourd'hui, de moyen
d'outrepasser cette protection, sauf à utiliser des moyens immenses
(comme ceux de la NSA) et beaucoup de temps (plusieurs jours, au
minimum). Les contreparties de SysKey sont relativement lourds et ne
doivent être utilisés que pour protéger des données sensibles.
Dans le message :,
Stéphane [MS] a pris la peine d'écrire ce qui
suit :Bonjour,
Sans vouloir diminuer le travail de Jean-Claude,
Mais si, avoue-le, tu veux me néantiser !
Je devine bien ta manoeuvre sournoise de dénigrement systématique ...
;-) ;-) ;-)
Et zut ! Encore raté :-)
Merci pour ce partage d'expérience !
Dans le message :B2198645-CB21-41CE-8B69-775F7ED8B108@microsoft.com,
Stéphane [MS] <spapp@online.microsoft.com> a pris la peine d'écrire ce qui
suit :
Bonjour,
Sans vouloir diminuer le travail de Jean-Claude,
Mais si, avoue-le, tu veux me néantiser !
Je devine bien ta manoeuvre sournoise de dénigrement systématique ...
;-) ;-) ;-)
Et zut ! Encore raté :-)
Merci pour ce partage d'expérience !
Dans le message :,
Stéphane [MS] a pris la peine d'écrire ce qui
suit :Bonjour,
Sans vouloir diminuer le travail de Jean-Claude,
Mais si, avoue-le, tu veux me néantiser !
Je devine bien ta manoeuvre sournoise de dénigrement systématique ...
;-) ;-) ;-)
Et zut ! Encore raté :-)
Merci pour ce partage d'expérience !
Bonjour !
Sans vouloir diminuer la valeur de votre message, je réalise que je suis
beaucoup plus souvent confronté (chez des clients) à des problèmes d'accès
"légal", qu'à des problèmes d'intrusion.
Donc, j'aimerais mieux lire des articles, de Microsoft, donnant les moyens
d'éviter ces problèmes, plutôt que des articles qui entretiennent une
paranoïa latente, en omettant de signaler les risques encourus.
Car, finalement, des utilisateurs qui n'ont plus accès à leurs postes, ou à
leurs données, ont un gros problème de sécurité. Même si ce problème de
sécurité est dû à l'application de règles trop strictes.
Je suis conscient que MS cherche, d'abord, à ne pas offrir le flanc à la
critique. Mais il faudrait au moins prévenir les lecteurs des limites
d'utilisation de ces règles.
Il faut savoir que de nombreux utilisateurs (ou administrateurs), appliquent
au pied de la lettre, et sans réfléchir, les recommandations indiquées dans
des articles comme celui cité.
Avec des résultats affolants.
J'ai un exemple, récent. Je suis intervenu, dans une administration où des
départements entiers n'avaient plus accès aux ordinateurs de la région,
parce que les programmes "non approuvés" avaient été bloqués. Et, parmi ces
programmes non approuvés, il y avait des logiciels de réplication de bases
de données. Ces logiciels résultaient d'un développement spécifique, sous
maîtrise d'ouvrage de la région, mais inconnu du ministère, et donc, "non
approuvés".
Le dit ministère s'appuyait sur les "conseils de Microsoft" (je cite), pour
rédiger des directives d'application obligatoire. Et le représentant du
ministère n'a jamais rien voulu savoir, son rôle étant de faire appliquer
les directives, et pas de faire remonter une information (à chaque
proposition, le réponse était : "les directives du ministère interdisent
cela").
Résultat : des milliers de dossiers, bloqués pendant plusieurs mois, et
plusieurs millions d'euros qui ont "dormi", inutilement, sur des comptes
intermédiaires.
En ce sens, je pense que les informations fournies par JCB seront plus
souvent utiles, que des informations "bloquantes à terme".
@-salutations
Michel Claveau
Bonjour !
Sans vouloir diminuer la valeur de votre message, je réalise que je suis
beaucoup plus souvent confronté (chez des clients) à des problèmes d'accès
"légal", qu'à des problèmes d'intrusion.
Donc, j'aimerais mieux lire des articles, de Microsoft, donnant les moyens
d'éviter ces problèmes, plutôt que des articles qui entretiennent une
paranoïa latente, en omettant de signaler les risques encourus.
Car, finalement, des utilisateurs qui n'ont plus accès à leurs postes, ou à
leurs données, ont un gros problème de sécurité. Même si ce problème de
sécurité est dû à l'application de règles trop strictes.
Je suis conscient que MS cherche, d'abord, à ne pas offrir le flanc à la
critique. Mais il faudrait au moins prévenir les lecteurs des limites
d'utilisation de ces règles.
Il faut savoir que de nombreux utilisateurs (ou administrateurs), appliquent
au pied de la lettre, et sans réfléchir, les recommandations indiquées dans
des articles comme celui cité.
Avec des résultats affolants.
J'ai un exemple, récent. Je suis intervenu, dans une administration où des
départements entiers n'avaient plus accès aux ordinateurs de la région,
parce que les programmes "non approuvés" avaient été bloqués. Et, parmi ces
programmes non approuvés, il y avait des logiciels de réplication de bases
de données. Ces logiciels résultaient d'un développement spécifique, sous
maîtrise d'ouvrage de la région, mais inconnu du ministère, et donc, "non
approuvés".
Le dit ministère s'appuyait sur les "conseils de Microsoft" (je cite), pour
rédiger des directives d'application obligatoire. Et le représentant du
ministère n'a jamais rien voulu savoir, son rôle étant de faire appliquer
les directives, et pas de faire remonter une information (à chaque
proposition, le réponse était : "les directives du ministère interdisent
cela").
Résultat : des milliers de dossiers, bloqués pendant plusieurs mois, et
plusieurs millions d'euros qui ont "dormi", inutilement, sur des comptes
intermédiaires.
En ce sens, je pense que les informations fournies par JCB seront plus
souvent utiles, que des informations "bloquantes à terme".
@-salutations
Michel Claveau
Bonjour !
Sans vouloir diminuer la valeur de votre message, je réalise que je suis
beaucoup plus souvent confronté (chez des clients) à des problèmes d'accès
"légal", qu'à des problèmes d'intrusion.
Donc, j'aimerais mieux lire des articles, de Microsoft, donnant les moyens
d'éviter ces problèmes, plutôt que des articles qui entretiennent une
paranoïa latente, en omettant de signaler les risques encourus.
Car, finalement, des utilisateurs qui n'ont plus accès à leurs postes, ou à
leurs données, ont un gros problème de sécurité. Même si ce problème de
sécurité est dû à l'application de règles trop strictes.
Je suis conscient que MS cherche, d'abord, à ne pas offrir le flanc à la
critique. Mais il faudrait au moins prévenir les lecteurs des limites
d'utilisation de ces règles.
Il faut savoir que de nombreux utilisateurs (ou administrateurs), appliquent
au pied de la lettre, et sans réfléchir, les recommandations indiquées dans
des articles comme celui cité.
Avec des résultats affolants.
J'ai un exemple, récent. Je suis intervenu, dans une administration où des
départements entiers n'avaient plus accès aux ordinateurs de la région,
parce que les programmes "non approuvés" avaient été bloqués. Et, parmi ces
programmes non approuvés, il y avait des logiciels de réplication de bases
de données. Ces logiciels résultaient d'un développement spécifique, sous
maîtrise d'ouvrage de la région, mais inconnu du ministère, et donc, "non
approuvés".
Le dit ministère s'appuyait sur les "conseils de Microsoft" (je cite), pour
rédiger des directives d'application obligatoire. Et le représentant du
ministère n'a jamais rien voulu savoir, son rôle étant de faire appliquer
les directives, et pas de faire remonter une information (à chaque
proposition, le réponse était : "les directives du ministère interdisent
cela").
Résultat : des milliers de dossiers, bloqués pendant plusieurs mois, et
plusieurs millions d'euros qui ont "dormi", inutilement, sur des comptes
intermédiaires.
En ce sens, je pense que les informations fournies par JCB seront plus
souvent utiles, que des informations "bloquantes à terme".
@-salutations
Michel Claveau