compte Administrateur désactivé=> autre e-mail?

Le
Alain Bourgeois
Chers tous,


j'ai un sbs 2003 et j'ai désactivé le compte Administrateur pour des
raisons évidentes de sécurité.

J'ai le message suiivant dans l'event viewer:
"L'utilisateur Administrateur@mondomaine.fr désactivé n'a pas de SID de
compte principal. Utilisez la console MMC Active Directory pour définir
un compte actif comme le compte principal de cet utilisateur."

La console active directory j'ai trouvé. Mais "définir un compte actif
comme le compte principal de cet utilisateur", ce n'est pas très
clair Cela veur-il dire "mettre un des e-mails existants et actifs
comme adresse e-mail pour cet utilisateur désactivé" (style
alain@mondomaine.fr)? Il donne un message d'avertissement quand on le
fait mais il accepte de l'enregistrer.

Merci,
Alain
Vos réponses
Trier par : date / pertinence
GG [MVP]
Le #7634201
Bonjour,

j'ai un sbs 2003 et j'ai désactivé le compte Administrateur pour des
raisons évidentes de sécurité.



L'evidence, je ne la connais pas, pouvez-vous nous en dire un peu
plus sur, encore une fois, cette conceté comme diait JCB. :)

--
Cordialement.
GG.
http://sbsfr.free.fr/forums/
Alain Bourgeois
Le #7634171
Ben si quelqu'un veut se loguer sans infos sur le sbs, il n'a qu'à trouver
le pass du user "Administrateur"
Si ce compte est désactivé et qu'un autre compte est "domain admin", il
doit trouver un autre username ET le pass correspondant.
Win XP désactive d'ailleurs ce compte par défaut.
Une autre solution serait peut-être de le renommer au lieu de le
désactiver.
Ceci dit, ca ne résoud pas le problème de mails envoyés à une boite qui
n'est jamais lue (vu que personne ne se logue comme administrateur et
qu'il n'y a pas d'informaticien dans cette société).

Alain


"GG [MVP]" wrote:

Bonjour,

> j'ai un sbs 2003 et j'ai désactivé le compte Administrateur pour des
> raisons évidentes de sécurité.

L'evidence, je ne la connais pas, pouvez-vous nous en dire un peu
plus sur, encore une fois, cette conceté comme diait JCB. :)

--
Cordialement.
GG.
http://sbsfr.free.fr/forums/


GG [MVP]
Le #7634131
Bonjour,

qu'il n'y a pas d'informaticien dans cette société).



Vous non plus. Mais bon relancer l'assistant d'analyse et
rapports et suivez le guide, il faut simplement savoir lire.
--
Cordialement.
GG.
http://sbsfr.free.fr/forums/
Jeff
Le #7634071
On Fri, 02 Feb 2007 21:30:54 +0100, Alain Bourgeois

Chers tous,


j'ai un sbs 2003 et j'ai désactivé le compte Administrateur pour des
raisons évidentes de sécurité.



Ayant déjà vu cette erreur je me permet d'apporter quelques lumières.

Par ailleurs, juste pour enfoncer le clou, on met d'abord un mot de
passe fort pour "des raisons évidentes de sécurité" et on active les
stratégies de mot de passe et de verrouillage de compte adéquates
(pour ceux qui sont à l'aise avec les stratégies de groupe). La
désactivation (ou renommage) du compte administrateur relève d'une
stratégie de haute sécurité (niveau CIA) qui ne ne concerne pas le SBS
de Mr tout le monde. Résultat, vous vous êtes tiré un coup de fusil
dans le pied.

Cette erreur 9548 se produit lorsqu'un compte utilisateur avec un
compte exchange est coché "désactivé ". (cf article base de
connaissance http://support.microsoft.com/kb/555410/en-us)

Apparemment, il est possible de s'en débarrasser, mais au prix de
manipulations effectuées aux risques et périls du perprétateur
inexpérimenté. (http://www.msexchange.org/articles/NoMAS-Tool.html)

Pour rester dans la philosopihie SBS, le plus simple n'est-il pas de
laisser ce compte actif et de lui mettre un mot de passe fort?

JF


J'ai le message suiivant dans l'event viewer:
"L'utilisateur désactivé n'a pas de SID de
compte principal. Utilisez la console MMC Active Directory pour définir
un compte actif comme le compte principal de cet utilisateur."

La console active directory j'ai trouvé. Mais "définir un compte actif
comme le compte principal de cet utilisateur", ce n'est pas très
clair... Cela veur-il dire "mettre un des e-mails existants et actifs
comme adresse e-mail pour cet utilisateur désactivé" (style
)? Il donne un message d'avertissement quand on le
fait mais il accepte de l'enregistrer.

Merci,
Alain


Antoine Leca
Le #7634041
Alain Bourgeois écrivit dans news::
Ben si quelqu'un veut se loguer sans infos sur le sbs, il n'a qu'à
trouver le pass du user "Administrateur"
Si ce compte est désactivé et qu'un autre compte est "domain admin",
il doit trouver un autre username ET le pass correspondant.



Est-ce si difficile ?
À l'intérieur de l'entreprise (une fois authentifié), une simple
consultation LDAP donne la liste de tous les comptes du groupe
"DomainAdmin".
Depuis l'extérieur, c'est peut-être un poil plus coton, mais a priori la
difficulté doit être très inférieure à la difficulté de craquer le mot de
passe (et de toutes manière un pirate va commencer par craquer un mot de
passe utilisateur, et sera revenu au cas précédent...)


Win XP désactive d'ailleurs ce compte par défaut.



Euh, il y a un léger détail, c'est que par défaut sous xp le mot de passe
est simple à trouver... Et dans la philosophie xp, il est plus facile de
désactiver un compte que de demander à l'utilisateur de mettre un mot de
passe fort (ou faible, d'ailleurs).


Une autre solution serait peut-être de le renommer au lieu de le
désactiver.



Il s'appelera toujours S-1-5-21-x-y-z-500...
Sachant que le nom varie avec la langue d'installation, je pense que la
majorité des pirates pas trop nunuches cherchent par le SID.

Par contre, il peut être plus utile de créer un « pot de miel » (compte
destiné à attirer les pirates mais sans possibilités de compromission) nommé
Administrador.
Si on a du temps à perdre, ajouterai-je.


Ceci dit, ca ne résoud pas le problème de mails envoyés à une boite
qui n'est jamais lue (vu que personne ne se logue comme
administrateur et qu'il n'y a pas d'informaticien dans cette société).



On met un utilisateur pas complètement nigaud avec les droits de lecture
(pas effacement) sur la dite boîte, et le tour est joué.
Et bien sûr, on paramètre correctement Exchange (et l'anti-virus, etc.) pour
que les rapports etc soit correctement dirigés vers une boîte supervisée,
pas dans une poubelle.

S'il n'y a pas du tout d'informaticien, le problème ce sera plutôt comment
gérer le mot de passe Administrateur, ÀMHA.
La méthode la plus mauvaise, toujours ÀMHA, étant que ce mot de passe reste
à seule connaissance de l'informaticien/la SSII qui a fait l'installation
initiale.


Antoine
Alain Bourgeois
Le #7633991
Je vais suivre ce conseil.
Merci.

Jeff wrote:

On Fri, 02 Feb 2007 21:30:54 +0100, Alain Bourgeois

>Chers tous,
>
>
>j'ai un sbs 2003 et j'ai désactivé le compte Administrateur pour des
>raisons évidentes de sécurité.

Ayant déjà vu cette erreur je me permet d'apporter quelques lumières.

Par ailleurs, juste pour enfoncer le clou, on met d'abord un mot de
passe fort pour "des raisons évidentes de sécurité" et on active les
stratégies de mot de passe et de verrouillage de compte adéquates
(pour ceux qui sont à l'aise avec les stratégies de groupe). La
désactivation (ou renommage) du compte administrateur relève d'une
stratégie de haute sécurité (niveau CIA) qui ne ne concerne pas le SBS
de Mr tout le monde. Résultat, vous vous êtes tiré un coup de fusil
dans le pied.

Cette erreur 9548 se produit lorsqu'un compte utilisateur avec un
compte exchange est coché "désactivé ". (cf article base de
connaissance http://support.microsoft.com/kb/555410/en-us)

Apparemment, il est possible de s'en débarrasser, mais au prix de
manipulations effectuées aux risques et périls du perprétateur
inexpérimenté. (http://www.msexchange.org/articles/NoMAS-Tool.html)

Pour rester dans la philosopihie SBS, le plus simple n'est-il pas de
laisser ce compte actif et de lui mettre un mot de passe fort?

JF

>
>J'ai le message suiivant dans l'event viewer:
>"L'utilisateur désactivé n'a pas de SID de
>compte principal. Utilisez la console MMC Active Directory pour définir
>un compte actif comme le compte principal de cet utilisateur."
>
>La console active directory j'ai trouvé. Mais "définir un compte actif
>comme le compte principal de cet utilisateur", ce n'est pas très
>clair... Cela veur-il dire "mettre un des e-mails existants et actifs
>comme adresse e-mail pour cet utilisateur désactivé" (style
>)? Il donne un message d'avertissement quand on le
>fait mais il accepte de l'enregistrer.
>
>Merci,
>Alain


Publicité
Poster une réponse
Anonyme