Bonjour,

Je vais devoir changer le mot de passe de l'administrateur de mon domaine (Active Directory 2003SRV). Je vais aussi devoir changer les mots de passe des comptes de services.
J'évalue mal les conséquences et les risques, queqlu'un l'a déjà fait ?
merci

Jean-Marc

pas encore mais la réponse m'interesse je dois aussi le faire... nouvelle procédure de séuc

Ouaip, pas de réponse sur le sujet un peu partout, ça doit faire peur
Pour l'instant, j'énumère déjà tous les services qui démarrent avec le compte administrateur, sur une quinzaine de serveur Sans compter les autres comptes de services qui ont aussi des droits admin auxquels je dois aussi appliqué un nouveau mot de passe...

Par sécurité, tu devrais créer avant tout un 2eme compte administrateur et ouvrir une session avec ce compte au moins une fois sur chaque serveur.
Ca te donnera une porte de secours.

Pense également au temps de synchro des controleurs de domaine.
Si tu as des sites distants, tu as peut-être des heures ou la synchro se fait...
En local, ca va entre 2 et 20 minutes suivant la charge des controleurs (j'ai déja vu des cas dépassant 10 minutes...).

Une petite surveillance accrue des logs (observateur d'évènement) pendant 1 ou 2 jours devrait aussi t'aider.

C'est un peu risqué, mais je me demande s'il ne faudrait pas redémarrer tous les serveurs 1 par 1 (après avoir vérifié que le nouveau mot de passe est reconnu) pour vérifier que les différents services marchent...

Sinon, ne pas oublier que si le mot de passe n'est pas reconnu, la machine est censée interroger le controleur principal pour justement vérifier si le mot de passe n'a pas changé entre temps(j'ai testé, ca marche :-) , mai pas testé avec le compte administrateur).

Bon, tout ca c'est sous W2K, mais je pense que ca doit encore être pareil sous W2K3...

Alors, bilan des courses :
- Les services qui utilisaient le compte administrateur du domaine pour démarrer ne démarre plus. Je dois à la mano aller changer le mot de passe administrateur dans la connexion du service pour qu'il démarre. Mais si je redémarre le serveur, re-belotte
- Ma sauvegarde ne connecte plus aux agents sur les serveurs clients (sauvegarde sous Arcserve avec des agents "fichiers ouverts", bases SQL et sauvegarde niveau BAL sous exchange).
- Mon serveur Antivirus ne voulait plus marcher (McAfee Entreprise 8.0 sous EPO 3.6). J'ai du le réinstaller.

Sinon, ça baigne

mdr!
ah bin je sais à quoi m'attendre !
si t'as plus de détails sur la sauvegarde je prends
les services comme exchange par exemple? parceque il ne démarre qu'en mode system si je me souviens bien ?
c quoi tes services?

Mes services Exchange tournent avec un compte de service du domaine avec un nom explicite mais pas le compte administrateur. Les services qui déconnent sont uniquement ceux qui tournaient avec le compte administrateur, comme les agents Arcserve et les services de mon antivirus. Ces deux applis se réinstallent facilement, ce qui me gène le plus c'est WSUS (le service Update), les services SQL et SMS2003.
L'essentiel c'est que ça tourne, je verrai plus tard comment corriger ces défauts.
Mais pour l'Active Directory en lui même, aucun problème.
Faut aussi que je fasse un script pour changer le mot de passe du compte administrateur local des machines qui sont faites à l'aide d'un serveur RIS (net user administrateur <password> (dans lequel il faut bien sûr remplacer <password> par le mot de passe)) - on peut aussi crypter ce mot de passe mais faudrai déjà qu'un user aille chercher ce script !
Voili voilou

Par contre, j'aimerai bien la main sur un soft de SnortSam, DCPC, qui me permettrait de changer le mot de passe local rapidement, mais je ne trouve aucun lien sur la version freeware

euh t'as pense au mdp du compte qui permet de restaure l'AD ??

je sais que l'on doit taper un mdp a l'installation de l'AD, mdp qui servira a restaurer l'AD je crois, et qui est independant de tout compte admin (local ou pas)

Ah non, j'avais pas pensé à celui-là ! j'vais voir ça aussi, en plus du reste !

pkoi je m'en doutais

c'est bien le MDP qui est hyper crucial et que tout le monde oublie