L'administrateur administré piégé par sa police de sécurité - Windows & Software
Marsh Posté le 05-04-2004 à 11:03:41
diesirae_2000 a écrit : Bonjour, |
Avant de modifier quoi que ce soit sur un serveur de prod :
- S'assurer d'avoir une sauvegarde système (la faire au cas où)
- Avoir tester l'idée sur un serveur de test
Cela évite ce genre de problème, mais je pense que tu ne referas plus la même erreur
- Si tu redémarres en mode restauration AD, celui-ci n'est pas activé, regardes ce que tu peux faire de ce côté là.
- Si ton arboresence AD n'est pas trop complexe et que tu n'as pas 36 stratégies de sécurité, utilise csvde.exe (fourni par défaut) pour exporter sous format texte (csv ppour être précis) ton arborescence AD.
-> Désinstaller AD (en réexcutant dcpromo.exe) puis redémarrer
-> Réinstaller AD (en réexcutant dcpromo.exe) puis redémarrer
-> Réimporter AD à l'aide de csvde.exe
-> Recréer tes stratégies de sécurité.
C'est tout ce que je vois... Peut-êtree kkun trouvera mieux ! Dans tous les cas bonne chance !
Marsh Posté le 05-04-2004 à 11:55:50
Euh pour la sauvegarde et pour les tests ok ...... enfin j'y penserai la prochaine fois !!
Argh maudits débutants qui vont trop vite !
Trève de plaisanterie, merci beaucoup pour ces idées, je vais essayer ça tout de suite.
Marsh Posté le 05-04-2004 à 12:39:04
connecte toi depuis un poste tiers et recharge la police par défaut. Tu peux également desactiver les stratégies.
Marsh Posté le 05-04-2004 à 12:43:04
krapaud a écrit : connecte toi depuis un poste tiers et recharge la police par défaut. Tu peux également desactiver les stratégies. |
Sauf si il a mis dans sa stratégie (au niveau du domaine : "Default Domain Policies" ou un truc comme ça) qu'aucun utilisateur ne pouvait la modifier. Et apparemment, je crois que ce qu'il a fait
Marsh Posté le 05-04-2004 à 12:46:51
ouais enfinje crois surtout que c'est la stratégie du controleur de domaine qui a été modifiée.
Marsh Posté le 05-04-2004 à 12:51:53
krapaud a écrit : ouais enfinje crois surtout que c'est la stratégie du controleur de domaine qui a été modifiée. |
Je viens de regarder sur mon serveur et la stratégie s'appelle "Default Domain Controllers Policies". Il est recommandé d'ailleurs par le support microsoft de ne surtout pas renommer cette stratégie. De plus, il paraît que pour la stratégie des mdp, on est obligé de le mettre à ce niveau et pas ailleurs (tjrs dixit, le support micorsoft europe). Au cas où, quelqu'un aurait il éssayé autrement avec un retour d'expérience ?
Marsh Posté le 05-04-2004 à 12:58:19
krapaud a écrit : pour la stratégie de quels mots de passe? |
Complexité des mots de passe, nbre de caractères mémorisation des X derniers mots de passe etc... Si tu veux même une stratégie de ce type au niveau de ton domaine, il parait qu'il y'a que dans cette stratégie que ça fonctionne, et il ne faut pas renommer cette stratégie...
edit : à l'époque j'ai gobé la bonne parole mais c'est vrai que maintenant, je me demande...
Marsh Posté le 05-04-2004 à 12:59:54
bah moi je la met au niveau de mes OU, pas dans les default policies.
de toute façon les mots de passe admin c'est moi qui les spécifie et la durée de vie aussi, pas envie d'en changer tous les quatre matins!
Marsh Posté le 05-04-2004 à 13:00:37
de toute façon je ne touche pas au default policies c'est plus simple
Marsh Posté le 05-04-2004 à 13:01:24
krapaud a écrit : bah moi je la met au niveau de mes OU, pas dans les default policies. |
Oui mais c'est si tu veux appliquer cette stratégie au niveau de tes utilisateurs.
Donc tu as pu définir différentes stratégies de mot de passe pour différents utilisateurs de ton même domaine ???
Marsh Posté le 05-04-2004 à 14:14:59
cedcox a juste, on ne peut definir qu'une seule strategie de securite des mdp pour les utilisateurs du domaines, et elle doit ce trouver au niveau du domaine.
si on definit des strategies de secu de mdp au niveau des OU ca affecte les comptes user local des machines presente sous ces OU, pas les comptes user du domaine.
sinon pkoi on pourrait pas renommer la strategie par defaut du domaine? je doute que ca ai une incidence sur quoi que ce soit, qq un sait?
enfin bon y'a pas grand interet a la renommer aussi mais bon...
Marsh Posté le 05-04-2004 à 14:32:26
diesirae_2000 a écrit : Bonjour, |
et partir d'un poste XP qui n'est pas dans le domaine, si tu lances ta mmc en faisant un "executer en tant que" ?!
Marsh Posté le 05-04-2004 à 15:24:04
Exécuter mmc en tant que ?
Je ne pige pas trop.
Moi j'ai déjà essayé ceci : gpedit.msc /gpcomputer: "nom du serveur".
Mais ce petit malin de w2ks ne file pas pour autant les droits de modif.
Marsh Posté le 05-04-2004 à 17:31:00
krapaud a écrit : connecte toi depuis un poste tiers et recharge la police par défaut. Tu peux également desactiver les stratégies. |
Euh comment je fais ça au juste SVP ?
Merci
Marsh Posté le 05-04-2004 à 17:44:15
tu peux tester en utilisant la commande secedit pour recharger les param de secu par defaut, y'a un model particulier pour les controleurs de domaine.
Marsh Posté le 05-04-2004 à 17:51:00
Quand on crée des policies, elles sont stockées dans un bête dossier sur le disque dur.
Supprimer ou déplacer les fichiers correspondants revient à désactiver les policies.
Je crois que le chemin est dans le genre :
C:\WINNT\security\templates\policies
Marsh Posté le 06-04-2004 à 08:11:01
les gpo sont sous sysvol, sous policies. par contre elles sont identifiées par leurs guid, on peut le connaitre en allant voir les proprietes de la gpo ou avec adsiedit, peut etre qu'avec ntdsutil aussi ont peut voir ca? si t'a pas trop de gpo tu peux essayer d'aller a la peche.
Marsh Posté le 06-04-2004 à 08:18:09
Hello,
bon merci pour toutes ces nouvelles pistes. Je vais essayer tout ça au plus tôt.
J'ai déjà déplacé les policies comme le suggérait Latinus, mais comme tout le monde bosse déjà je ne peux pas trop rebooter pour le moment .. à suivre.
Pour Knives, quand tu parles de lancer par exemple secedit, il se trouve dans le répertoire winnt/system32 ? ou tu le lances via kkechose d'autre ?
en tout cas merci à tous pour votre aide, à l'instar des vedettes de la TV réalité moi aussi maintenant je peux dire que "j'ai beaucoup appris sur moi même" et qu'on ne s'improvise pas administrateur réseau ;-)
Marsh Posté le 06-04-2004 à 08:51:24
l'interet de secedit dans ta situation c que c un outils en ligne de commande et que donc il overcome tes soucis de mmc qui refuse de ce lancer
il y'a une console mmc qui est l'equivalent de secedit bien plus agreable a utiliser.
tu n'a pas besoin de redemarrer pour actualiser les gpo, avec secedit tu peux faire ca en live "secedit /refreshpolicy machine_policy /enforce" ou computer_policy ou un truc dans ce genre, check l'aide si ca marche pas.
faut que tu aille dans sysvol pour modifier ta gpo, pas dans ..\security\templates\policies, ca n'aura aucun effet ca.
Marsh Posté le 06-04-2004 à 10:28:05
knives a écrit : tu peux faire ca en live "secedit /refreshpolicy machine_policy /enforce" ou computer_policy ou un truc dans ce genre, |
secedit /refreshpolicy MACHINE_POLICY /enforce
secedit /refreshpolicy USER_POLICY /enforce
Marsh Posté le 06-04-2004 à 10:30:11
Sinon tu redemare le serveur en mode sans echec avec le support réseau, et la tu peux modifier les GPO. (Comme elle ne sont pas applique tu y as acces)
Marsh Posté le 06-04-2004 à 10:59:02
sylvaindns a écrit : Sinon tu redemare le serveur en mode sans echec avec le support réseau, et la tu peux modifier les GPO. (Comme elle ne sont pas applique tu y as acces) |
Citation : |
Mon premier post Il me semblait bien que cela pouvait marcher...
Marsh Posté le 06-04-2004 à 11:16:57
Désolé pour le chemin foireux... ptit problème de mémoire
Marsh Posté le 06-04-2004 à 11:50:36
cedcox a écrit : |
Yeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeees
Alors là, moi je dis chapeau !
Je viens de créer 2 .bat pour lancer cette commande à chaud (passke évidemment j'avais aussi bloqué l'accès à "Exécuter" ).
Et là Ô miracle tout il est redevenu comme avant.
Primo je dis c'est logique, passke ça me paraissait fou qu'on puisse s'auto bloquer comme ça.
Et deuxio : Un ENORME merci à vous tous sans qui je serais toujours dans la mouise.
Tertio : je vais pouvoir éteindre les cierges autours du serveur.
Encore mille mercis.
RenO
Marsh Posté le 06-04-2004 à 13:17:14
c'est pour ça que je ne touches jamais aux stratégies par défaut
Marsh Posté le 06-04-2004 à 13:42:20
krapaud a écrit : c'est pour ça que je ne touches jamais aux stratégies par défaut |
+1
J'ai même encore le powerpoint de MS sur le sujet :
-> cpobien de renommer, déplacer, supprimer, modifier les stratégies par défauts
-> toujours faire les test sur un serveur de test ressemblant au serveur de prod
-> modifier les stratégies une à une
-> Ne jamais déplacer le serveur en dehors de sa stratégie
-> etc...
Il faudrait que je regarde pour le mettre en téléchargement pour tout le monde car il contient quelques infos toujours utiles
Marsh Posté le 06-04-2004 à 14:09:25
donc t'a resolu ton prb juste en deplacant C:\WINNT\security\templates\policies ?
zut y'a qq chose qui m'echape, je vois pas trop le rapport :\
Marsh Posté le 06-04-2004 à 14:11:13
cedcox a écrit : |
je l'ai paumé dans mon dernier crash disque
Marsh Posté le 06-04-2004 à 14:11:32
tu ne pouvais pas simplement passer par les outils d'administration AD ?
Marsh Posté le 06-04-2004 à 14:16:06
GPMC n'est pas porté sur Win2K et ça c'est balot parce que c'est plus simple et rapide qu'une console mais bon.
Remarque je n'ai jamais essayé un client XP avec GPMC dans un AD 2k
Marsh Posté le 06-04-2004 à 14:16:58
Microsoft a écrit : tu ne pouvais pas simplement passer par les outils d'administration AD ? |
t'as lu le topic toi?
non !
Marsh Posté le 06-04-2004 à 14:17:24
knives a écrit : donc t'a resolu ton prb juste en deplacant C:\WINNT\security\templates\policies ? |
relis aussi... ce n'est pas le bon chemin.... je m'avais trompé.
Marsh Posté le 06-04-2004 à 14:23:13
>latinus: j'ai lu le topic et à part le fait qu'il ne puisse pas lancer une console mmc, je vois pas non ...
Marsh Posté le 06-04-2004 à 14:27:02
j'ai cru comprendre qu'il n'y avait plus accès non plus...
Marsh Posté le 06-04-2004 à 14:31:11
à priori, il a bloqué la commande executer via des stratégies, rien ne l'empêchait de lancer le raccourci "utilisateurs et ordinateurs AD" !
Marsh Posté le 06-04-2004 à 14:35:23
Ben en fait je pouvais lancer mmc, mais pas modifier quoi que ce soit dedans.
Et mon problème a été résolu non pas en déplacant winnt/security/templates/policies, mais en exécuant la commande secedit.
Marsh Posté le 05-04-2004 à 10:46:04
Bonjour,
Voici mon prob, serveur sous w2ks.
COmme j'ai installé depuis peu le TSE, j'ai voulu limiter les droits des futurs utilisateurs pour ne pas qu'il me plantent le serveur.
J'ai donc crée une belle police de sécurité sur le domaine ...
Voilà, c'est seulement après tout ça que j'ai appris que ces limitations s'appliquent à TOUS les users, y compris l'admin (ça me parait fou mais bon).
Donc maintenant je suis bloqué même en compte admin, je ne peux pas lancer gpedit.msc en mode création, je ne peux pas faire grand chose.
Par contre j'ai un accès au disque du serveur par le biais d'une connexion réseau ...
Y-a-t-il une solution par le biais du démarrage en mode sans échec ?
Ou une autre solution à l'amiable avant le reformatage du serveur ???
Au secours !!! j'ai peur ;-)
Merci
RenO