Bonjour,
J’ai actuellement un contrôleur de domaine Active Directory servi par un serveur Samba 4.5.12 sous Debian 9.4.
Je cherche à savoir s’il existe un moyen d’avoir un mot de passe passe-partout (qui ouvre tous les comptes du domaine). Il faut, bien sûr que le mot de passe de l’utilisateur fonctionne toujours.
Merci.
Peut être qu’attribuer le même mot de passe à tous les utilisateurs fonctionne aussi, tout simplement.
cela s’appelle un mot de passe admin ou root 
selon si il existe un ou plusieurs domaine, les comptes admin de domaine ont la ce droit.
Oui, mais si je fais ça, tous les utilisateurs auront le même mot de passe, ce n’est pas du tout ce que je veux !
Oui, c’est bien de me dire comment ça s’appele, mais ça ne m’aide pas plus que ça…
Je ne veux faire ça que sur un seul domaine et je n’en ai qu’un.
Tu veux dire que si j’utilise mon mot de passe de compte admin du domaine avec un utilisateur du domaine, je peux me connecter ?
Je viens d’essayer, ça n’a pas l’air de fonctionner, sans doute faut-il activer quelque chose avant, non ?
Pourtant c’est comme ça que ça fonctionne pour ma part au taff -après je règle pas les GPO non plus :/) :
Domain Admins
Users container
This group is automatically added to the corresponding Administrators group in every domain in the forest. It has complete control over all domain controllers and all directory content stored in the domain and it can modify the membership of all administrative accounts in the domain.
A voir du côté de la configuration de l’active directory dans ce cas mais j’ai un doute sur les droits du coup que l’utilisateur que utilise a, est-il réellement un admin domaine ou simplement une sorte de power user dopé ?
Ou alors, tu peux tout simplement te connecter en root et faire su - utilisateur
Je n’ai aucun groupe de ce nom dans le domaine, mais j’ai le groupe « Domain Admins ».
Voici ma fiche utilisateur (ldbsearch -H /var/lib/samba/private/sam.ldb '(cn=gilles)') :
dn: CN=gilles,CN=Users,DC=ad,DC=ati33,DC=lan
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: gilles
instanceType: 4
whenCreated: 20170428091917.0Z
uSNCreated: 4081
name: gilles
objectGUID: 2390ffc4-906a-4839-aafa-8f374d502eb7
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 0
primaryGroupID: 513
objectSid: S-1-5-21-111020615-793362270-4169443039-3008
sAMAccountName: gilles
sAMAccountType: 805306368
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=ad,DC=ati33,DC=lan
homeDirectory: /srv/utilisateurs/home/gilles
accountExpires: 137303967990000000
lastLogoff: 137303967990000000
logonHours:: ////////////////////////////
userAccountControl: 512
memberOf: CN=administratifs,CN=Users,DC=ad,DC=ati33,DC=lan
memberOf: CN=Domain Admins,CN=Users,DC=ad,DC=ati33,DC=lan
memberOf: CN=glpi,CN=Users,DC=ad,DC=ati33,DC=lan
memberOf: CN=info,CN=Users,DC=ad,DC=ati33,DC=lan
memberOf: CN=thunderbird,CN=Users,DC=ad,DC=ati33,DC=lan
uid: 3008
uidNumber: 3008
telephoneNumber: 1021
displayName: Gilles MOREL
givenName: Gilles
sn: MOREL
pwdLastSet: 131390023370000000
mail: gilles@mail.domain
userPrincipalName: gilles@ad.ati33.lan
lastLogonTimestamp: 131689395348807700
whenChanged: 20180423064534.0Z
uSNChanged: 11978
lastLogon: 131693052519046430
logonCount: 554
distinguishedName: CN=gilles,CN=Users,DC=ad,DC=ati33,DC=lan
C’est l’utilisateur dont j’ai tapé le mot de passe.
Est-ce que ça ne serait pas quelque chose à ajouter aux utilisateurs auquels l’administrateur aura accès avec son mot de passe ?