Forum Tranquil IT

Bonjour,

Est ce qu'il existe une manière propre de changer le mot de passe administrateur local sur un poste en passant par WAPT.
Par "propre", j'entends que le mot de passe ne risque pas de se retrouver sur la machine après l'opération (je sais le faire avec un script powershell, mais si le paquet contenant le script reste sur la machine... ça ne me semble pas être l'idée du siècle).
Oui, je sais, on peut faire ça avec des GPO, mais dans mon cas, ce n'est pas adapté (l'explication ici du pourquoi serait fastidieuse et passablement inutile).

Merci d'avance

Bonjour,

Que ce soit pas script Powershell/Batch/VBS/Kix ou paquet WAPT, d'un point de vue sécurité la solution n'est pas viable puisque le mot de passe devra passer en clair à un moment.

C'est pratique sur le moment pour récupérer la main sur une machine où WAPT est installé mais dommageable si quelqu'un tombe sur le contenu du paquet dans votre dépôt.

La préconisation ANSSI est d'utiliser LAPS pour que les mots de passes locaux soient stockés dynamiquement dans Active Directory et uniques pour chaque machine :

• https://www.cert.ssi.gouv.fr/actualite/ ... 6-ACT-008/
• https://blogs.technet.microsoft.com/arn ... tion-laps/

Cordialement,

Alexandre

PS : à ceux qui seraient tentés de préconiser CPAU, je vous invite à lire ce post qui détaille comment il est trivial de décrypté un fichier généré par CPAU (certificat expiré) : https://www.nth-dimension.org.uk/blog.php?id=90

erict a écrit : ↑01 juin 2018 - 16:37 (l'explication ici du pourquoi serait fastidieuse et passablement inutile).

Je comprend cependant il faudrait tout de même nous exposer votre problématique, cela nous permettra peu être de vous fournir une solution plus adaptée

sfonteneau a écrit :

erict a écrit : ↑01 juin 2018 - 16:37 (l'explication ici du pourquoi serait fastidieuse et passablement inutile).

Je comprend cependant il faudrait tout de même nous exposer votre problématique, cela nous permettra peu être de vous fournir une solution plus adaptée

Pour résumer simplement : L'utilisation de WAPT, chez nous, est censé donner une souplesse aux collègues qui n'ont pas accès aux GPO, et de leur permettre d'agir sur des conf globales sur les postes qu'ils gèrent dans leurs secteurs (notamment des salles de TP, par exemple).
Ceci dit, les mots de passe n'ayant pas a priori à être changés régulièrement, ou dans l'urgence, ce n'est pas non plus un point crucial. S'il y a un moyen, autant l'utiliser. Sinon, ça restera dans le cadre des GPO.

Merci pour vos réponses claires et complètes.

Cordialement
E. trezel

L'utilisation du groupe waptselfservice n'est pas quelque chose qui fonctionne chez vous ?

sfonteneau a écrit : L'utilisation du groupe waptselfservice n'est pas quelque chose qui fonctionne chez vous ?

Non, on est en version community.

Le groupe waptselfservice est dispo en community.

La version community ne permet pas en revanche de définir la liste des paquet auquel a accès l'utilisateur.

Dans la version community, l'utilisateur a accès a tout ou a rien.

sfonteneau a écrit : ↑04 juin 2018 - 12:30 Le groupe waptselfservice est dispo en community.

La version community ne permet pas en revanche de définir la liste des paquet auquel a accès l'utilisateur.

Dans la version community, l'utilisateur a accès a tout ou a rien.

Oui, effectivement, je confonds. Néanmoins, je ne comprends en quoi cette focntionnalité pourrait répondre à ma demande de départ et la contrainte que j'ai décrite. (L'accès à WAPT est offert à tous les collègues qui le souhaitent (je ne parle pas des utilisateurs finaux), mais pas l'accès à l'AD/GPO).

Le groupe waptselfservice n'est pas obligatoirement créé sur l'AD.

Vous pouvez créer le groupe waptselfservice localement sur la machine et ajouter les utilisateurs autorisé dans ce groupe. (Donc sans passer par l'AD)

Vous pouvez d’ailleurs gérer cela a travers un paquet wapt.

Sinon vous pouvez gérer avec :

waptservice_password =

https://www.wapt.fr/fr/doc/Configuratio ... agent-wapt

Je comprends bien, mais ma demande du début était : changer le mot de passe admin du poste proprement, pas celui du service WAPT.

Bref, je vais continuer de passer par les GPO pour ça.

Merci de votre aide
E.T.