[RESOLU] Maniere propre dechanger mdp local avec WAPT ?

Questions about WAPT Packaging / Requêtes et aides autour des paquets Wapt.
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
erict
Messages : 56
Inscription : 22 déc. 2017 - 19:09

01 juin 2018 - 16:37

Bonjour,

Est ce qu'il existe une manière propre de changer le mot de passe administrateur local sur un poste en passant par WAPT.
Par "propre", j'entends que le mot de passe ne risque pas de se retrouver sur la machine après l'opération (je sais le faire avec un script powershell, mais si le paquet contenant le script reste sur la machine... ça ne me semble pas être l'idée du siècle).
Oui, je sais, on peut faire ça avec des GPO, mais dans mon cas, ce n'est pas adapté (l'explication ici du pourquoi serait fastidieuse et passablement inutile).

Merci d'avance
Avatar de l’utilisateur
agauvrit
Expert WAPT
Messages : 238
Inscription : 17 nov. 2016 - 10:25
Localisation : Nantes
Contact :

01 juin 2018 - 17:04

Bonjour,

Que ce soit pas script Powershell/Batch/VBS/Kix ou paquet WAPT, d'un point de vue sécurité la solution n'est pas viable puisque le mot de passe devra passer en clair à un moment.

C'est pratique sur le moment pour récupérer la main sur une machine où WAPT est installé mais dommageable si quelqu'un tombe sur le contenu du paquet dans votre dépôt.

La préconisation ANSSI est d'utiliser LAPS pour que les mots de passes locaux soient stockés dynamiquement dans Active Directory et uniques pour chaque machine : Cordialement,

Alexandre

PS : à ceux qui seraient tentés de préconiser CPAU, je vous invite à lire ce post qui détaille comment il est trivial de décrypté un fichier généré par CPAU (certificat expiré) : https://www.nth-dimension.org.uk/blog.php?id=90
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

01 juin 2018 - 17:22

erict a écrit : 01 juin 2018 - 16:37 (l'explication ici du pourquoi serait fastidieuse et passablement inutile).

Je comprend cependant il faudrait tout de même nous exposer votre problématique, cela nous permettra peu être de vous fournir une solution plus adaptée
erict
Messages : 56
Inscription : 22 déc. 2017 - 19:09

04 juin 2018 - 09:53

sfonteneau a écrit :
erict a écrit : 01 juin 2018 - 16:37 (l'explication ici du pourquoi serait fastidieuse et passablement inutile).
Je comprend cependant il faudrait tout de même nous exposer votre problématique, cela nous permettra peu être de vous fournir une solution plus adaptée
Pour résumer simplement : L'utilisation de WAPT, chez nous, est censé donner une souplesse aux collègues qui n'ont pas accès aux GPO, et de leur permettre d'agir sur des conf globales sur les postes qu'ils gèrent dans leurs secteurs (notamment des salles de TP, par exemple).
Ceci dit, les mots de passe n'ayant pas a priori à être changés régulièrement, ou dans l'urgence, ce n'est pas non plus un point crucial. S'il y a un moyen, autant l'utiliser. Sinon, ça restera dans le cadre des GPO.

Merci pour vos réponses claires et complètes.

Cordialement
E. trezel
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

04 juin 2018 - 11:04

L'utilisation du groupe waptselfservice n'est pas quelque chose qui fonctionne chez vous ?
erict
Messages : 56
Inscription : 22 déc. 2017 - 19:09

04 juin 2018 - 12:10

sfonteneau a écrit : L'utilisation du groupe waptselfservice n'est pas quelque chose qui fonctionne chez vous ?
Non, on est en version community.
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

04 juin 2018 - 12:30

Le groupe waptselfservice est dispo en community.

La version community ne permet pas en revanche de définir la liste des paquet auquel a accès l'utilisateur.

Dans la version community, l'utilisateur a accès a tout ou a rien.
erict
Messages : 56
Inscription : 22 déc. 2017 - 19:09

04 juin 2018 - 14:19

sfonteneau a écrit : 04 juin 2018 - 12:30 Le groupe waptselfservice est dispo en community.

La version community ne permet pas en revanche de définir la liste des paquet auquel a accès l'utilisateur.

Dans la version community, l'utilisateur a accès a tout ou a rien.
Oui, effectivement, je confonds. Néanmoins, je ne comprends en quoi cette focntionnalité pourrait répondre à ma demande de départ et la contrainte que j'ai décrite. (L'accès à WAPT est offert à tous les collègues qui le souhaitent (je ne parle pas des utilisateurs finaux), mais pas l'accès à l'AD/GPO).
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

04 juin 2018 - 14:34

Le groupe waptselfservice n'est pas obligatoirement créé sur l'AD.

Vous pouvez créer le groupe waptselfservice localement sur la machine et ajouter les utilisateurs autorisé dans ce groupe. (Donc sans passer par l'AD)

Vous pouvez d’ailleurs gérer cela a travers un paquet wapt.

Sinon vous pouvez gérer avec :

waptservice_password =

https://www.wapt.fr/fr/doc/Configuratio ... agent-wapt
erict
Messages : 56
Inscription : 22 déc. 2017 - 19:09

04 juin 2018 - 16:51

Je comprends bien, mais ma demande du début était : changer le mot de passe admin du poste proprement, pas celui du service WAPT.

Bref, je vais continuer de passer par les GPO pour ça.

Merci de votre aide
E.T.
Verrouillé