Utilisateur admin local verrouille admin du domaine

[Scoubi21]

Bonjour,
nous venons de mettre en place une gpo qui verrouille les comptes apres 3 echecs d'ouvertures de session.
Dès cette mise en place le compte administrateur du domaine s'est verrouillé.
On a regardé si des services, des batchs utilisaient ce compte sans trouver.

Apres avoir mis en place un audit on s'est aperçu qu'il s'agissait de personnes qui utilisaient un le compte administrateur local pour se se connecter en local sur leur poste.
Apres verification cela fait la même chose avec le compte administrateur local des serveurs.

J'en perd mon latin.
Avez vous une idée ?
Merci.

[le-novice]

un Dc n a pas de compte admin local
sinon tu peux mettre le mot de passe n expire jamais pour le compte administrateur du domaine

[techburomat]

bonjour,

un Dc n a pas de compte admin local
sinon tu peux mettre le mot de passe n expire jamais pour le compte administrateur du domaine

Je pense que "Scoubi21" parle de l'administrateur local de la machine sur laquelle l'utilisateur ouvre la session.

[BZP]

Ton event de sécurité 534 sur ton PDC doit t'indiquer d'ou vient le vérouillage, cela te permet de localiser le nom NetBIOS de la machine (checker les sessions TS avec un mot de passe périmé, les scripts, scheduled tasks, les browsers avec mot de passe enregistrés etc.). Utilise l'outils EventComb.exe (ressources kit) pour faciliter la recherche.

[techburomat]

bonsoir,

Pourquoi n'exclues-tu pas le compte administrateur du domaine de l'exécution de ta GPO.

[Scoubi21]

bonsoir,

Pourquoi n'exclues-tu pas le compte administrateur du domaine de l'exécution de ta GPO.

Ce serait effectivement une solution, mais j'aimerais comprendre pourquoi un utilisateur local d'une machine interfere avec un compte de domaine. Dans mon cas c'est pas de bol puisqu'il s'agit de l'administrateur.
En plus on peut supposer que ça fait la même chose avec tout autre compte ayant le même login local qu'un éventuel login de domaine.

[Scoubi21]

bonjour,

un Dc n a pas de compte admin local
sinon tu peux mettre le mot de passe n expire jamais pour le compte administrateur du domaine

Je pense que "Scoubi21" parle de l'administrateur local de la machine sur laquelle l'utilisateur ouvre la session.

Effectivement "techburomat" tu as bien cerné mon probleme.

[Scoubi21]

Ton event de sécurité 534 sur ton PDC doit t'indiquer d'ou vient le vérouillage, cela te permet de localiser le nom NetBIOS de la machine (checker les sessions TS avec un mot de passe périmé, les scripts, scheduled tasks, les browsers avec mot de passe enregistrés etc.). Utilise l'outils EventComb.exe (ressources kit) pour faciliter la recherche.

On a bien repéré le nom de la machine qui était concernée (c'était la mienne ). Je me suis fait accusé de tous les maux, sauf que j'ai fait la même chose sur 2 autres machines: c a d me connecter avec le compte administrateur local de la machine, bling compte administrateur du domaine verrouillé en 3 secondes avec comme machine incriminée les machines sur lesquelles je venais de me connecter.
Donc c'est un probleme sur tous nos postes. Sauf que, l'ingénieur systeme a voulu installer un serveur avec le compte administrateur local du serveur et patatra: revérouillé.
Donc c'est un probleme général sur notre domaine......

[bigstyle]

Le compte admin ne peut pourtant pas etre verrouillé a cause d'une succession de mauvais mot de passe , c'est bizarre...

Il s'agit bien du compte admin et pas d'un compte utilisé "en tant qu'admin" ?

[Scoubi21]

Le compte admin ne peut pourtant pas etre verrouillé a cause d'une succession de mauvais mot de passe , c'est bizarre...

Il s'agit bien du compte admin et pas d'un compte utilisé "en tant qu'admin" ?

Oui, je te le confirme.
Il s'agit du compte administrateur local qui bloque le compte administrateur de domaine: echec d'ouverture de session, mot de passe incorrect.
Je te le confirme aussi c'est extremement bizarre.
C'est comme si on utilisait les credentials locales pour attaquer des ressources reseaux de maniere automatique. Je patauge un peu......

[bigstyle]

Salut,

désolé pour l'attente je suis assez occupé en ce moment.

Tu as pu avancer ?
Actives l'audit sur tes DC afin d'avoir des renseignements sur le compte et l'ordinateur qui verrouille ton compte.

[techburomat]

bonjour,

Ta GPO est en tête du domaine, ou dans une OU à cet effet ?