Dans l’article d’aujourd’hui nous verrons comment rétablir la relation d’approbation entre un contrôleur de domaine et une station de travail avec trois différentes méthodes.
La relation de confiance entre l'AD et l'ordinateur est basée sur le mot de passe du compte de l'ordinateur qui est enregistré comme faisant partie de l'objet ordinateur dans l'AD.
La raison pour laquelle ce problème se produit est une incompatibilité de mot de passe. On considère généralement que les mots de passe sont attribués à un compte d'utilisateur. Cependant, dans les environnements Active Directory, chaque compte d'ordinateur possède également un mot de passe interne. Si la copie du mot de passe du compte d'ordinateur qui est stockée dans le serveur membre n'est pas synchronisée avec la copie du mot de passe qui est stockée dans le contrôleur de domaine, la relation d'approbation est rompue.
L’erreur en question s’affiche lorsqu’un utilisateur essaie de se connecter à sa station de travail et que la relation d’approbation entre le contrôleur de domaine et la station en question est rompu
La première méthode consiste à réinitialiser le compte PC via l’outil intégré " users and computers"
La deuxième méthode consiste à utiliser un outil CLI intégré par Microsoft dans Windows serveur plutôt que l’outil GUI suscité, puis de faire un rejoin de la machine au domaine.
c:\>dsmod computer "cn=windows10client,cn=Computers,dc=redteam,dc=local" -reset
pour récupérer "distinguishedName" il faut d’abord afficher les options avancées dans "users and computers"
Aller dans l'editeur d'attibuts -> distinguishedName
la 3ᵉ méthode consiste à exécuter une commande du côté du client : (ne nécessite pas de sortir et faire un rejoin au domaine).
Pour cette commande, il est conseillé à ce que les administrateurs aient toujours un compte administrateur de secours (backdoor) sur les comptes ordinateurs des utilisateurs pour utiliser cette commande en cas de désactivation du compte.
C:\Windows\system32>nltest.exe /server:machine_client /sc_reset:nom_domaine\nom_du_serveur
bizarrement et dans la syntaxe de cette commande et pour des raisons que j’ignore et qui d’ailleurs ne sont dans aucune documentation que j’ai pu lire, je ne sais pas pourquoi dans la partie /server: y a le nom de la machine client qui vient ! En fait, pourquoi appeler ça /serveur alors que c’est le nom de la machine client qu’il faut mettre
Enfin, et après bien sur avoir rétablie la relation d’approbations, et pour vérifier que l'approbation s'est bel et bien rétablie, on peut exécuter une commande PowerShell sur le pc client qui nous permettra d’avoir un retour de type booléen "True" "False" sur l’existence de la relation d’approbations.
C:\Windows\system32>powershell
PS C:\Windows\system32> Test-ComputerSecureChannel -Repair (il faut exécuter la commande via un compte admin du domaine sur le pc du client)