Entra ID

https://entra.microsoft.com

Azure Active Directory (AAD) s’appelle maintenant “Entra ID”.
C’est une solution de gestion des identités et d’authentification, avec 2FA, SSO etc…

Autre portail accessible, via le portail Azure :
https://aad.portal.azure.com/#dashboard

Cout

https://www.microsoft.com/fr-fr/security/business/microsoft-entra-pricing

Différents niveau de prix.
Niveau basique gratuit.
Niveau P1 (Premium 1) inclus dans Microsoft 365 Business Premium (et non Standard)

Le niveau gratuit semble suffire pour une gestion basique.

Réinitialisation de mot de passe libre-service

Non disponible dans les services gratuit. Nécessite Microsoft Entra ID Premium (P1/P2).

2FA/MFA

memo.raphaelguetta.fr/post/entra-mfa

Entra Domain Services

Anciennement Azure Active Directory Domain Services (AADDS).
Entra DS Permet de fournir des fonctionnalités de domaine hébergées sur Azure (sans controleur de domaine).
MS appelle ça un “domaine managé” (ou domaine géré).

Il me semble que c’est dédié à l’administration centralisée de serveurs, mais pas pour les machines utilisateurs (le domaine managé n’est pas accessible sans VPN).

Synchronisation avec un AD local

Identité hybride

Présentation chez MS
Lorsqu’un utilisateur possède une identité commune sur les services clouds et le système sur site (on-premises), MS appelle ça une identité hybride.

Il y’a plusieurs façons d’obtenir des identités hybrides.

Password hash Sync : le hash du mot de passe local est synchronisé vers Entra ID ; permet de se connecter directement auprès des services MS avec le même mot de passe que sur le domaine local

Pass-through authentication : les demandes d’authentification auprès du cloud sont transmises au serveur AD on-premises qui les valide

Federation : si l’authentification n’est pas faite par Entra ID mais par un système externe, qui peut avoir ses propres contraintes.

Gestion des utilisateurs

Désactiver l’expiration du mot de passe

Peut se faire en interface web pour l’ensemble des utilisateurs, mais pour du cas par cas, peut uniquement se faire depuis Powershell.

Appareils

https://brouillons.raphaelguetta.fr/post/entra-jonction-appareils

Les appareils peuvent être enregistrés (Entra registered), joints (Entra joined) ou en jonction hybride (Entra hybrid-joined).
https://www.it-connect.fr/inscription-machines-entra-id-registered-joined-hybrid-joined/

https://learn.microsoft.com/en-us/entra/identity/devices/faq

https://learn.microsoft.com/en-us/entra/identity/devices/manage-stale-devices

Comportement de Win 11 lors de l’OOBE

Pc Win 11 Pro : s’il est setup en tant que “pour le travail ou l’école” :

• si adresse quelconque, message comme quoi ça n’appartient pas à un compte MS pro ou scolaire
• si adresse hotmail, même message d’erreur
• avec adresse qui appartient bien à un domaine géré chez MS 365, le poste apparaît dans Entra ID en tant que “Microsoft Entra joined”.

Pour pouvoir joindre un domaine, il faut se déconnecter de AzureAD (Entra) dans Paramètres -> Comptes -> Accès Professionnel ou Scolaire ; le poste disparaît alors de la liste dans Entra ID.

Généralités

https://learn.microsoft.com/en-us/entra/identity/devices/troubleshoot-hybrid-join-windows-current

La jonction hybride ne peut se faire que lorsque le poste est déjà joint à un domaine.

Plusieurs possibilités existent pour établir cette jonction. Celle décrite en méthode principale par MS va concerner l’ensemble des postes de la forêt. Elle se fait via Entra Connect Sync, avec une configuration complémentaire (facultative pour la synchro des users/passwords, mais obligatoire pour la jonction hybride généralisée).

Prérequis

En tous les cas, il faudra :

• une synchro des utilisateurs/passwords via Entra Connect Sync
• les droits Administrateur d’entreprise pour la forêt locale
• l’autorisation des utilisateurs de joindre leur machine à Entra ID (c’est un paramètre sur l’annuaire Entra)
• l’accès à certaines URLs Microsoft (voir les détails chez MS ; en l’absence de proxy/firewall/DPI ça ne devrait pas être un souci)

Le paramétrage de la jonction hybride passe par la création d’un point de connection de service (SCP).

Jonction manuelle et contrôlée

Permet de déployer la jonction hybride sur seulement les OU choisies, à fins de test.

https://learn.microsoft.com/en-us/entra/identity/devices/hybrid-join-manual

https://learn.microsoft.com/en-us/entra/identity/devices/hybrid-join-control

Dans mon cas, j’avais déjà activé le SCP via Entra connect Sync avant de le faire manuellement ; si les étapes suivantes ne suffisent pas, peut-être que d’autres étapes, automatisées par Entra Connect Sync sont nécessaires.

Supprimer le SCP si déjà existant

Il faut s’assurer que le SCP est absent de la configuration du DC local.
Pour ceci, lancer la modification ADSI adsiedit.msc et naviguer dans :

• “Configuration [dcname.domain.com]”
• “CN=Configuration,DC=domain,DC=com”
• “CN=Services”
• “CN=Device Registration Configuration”
• clic-droit sur “CN=62a0ff2e-97b9-4513-943f-0d221bd30080” -> “Propriétés” -> “Éditeur d’attributs”
• trouver, si elles existent, les valeurs azureADId et azureADName
• sur chacune d’elles, si elles existent, Modifier -> Supprimer

Déployer les entrées de registre sur les postes clients

Il est nécessaire de déployer les valeurs “TenantId” et “TenantName” sous la clé “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD” .

Pour ceci, on passe par une GPO :

• Config ordi -> Préférences -> Paramètres Windows -> Registre -> Nouvel élément registre (à faire 2 fois)
• Update
• HKLM
• Chemin d’accès : SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD
• Nom de valeur : TenantId et TenantName
• Type : REG_SZ
• Valeur : l’ID du tenant (trouvable sur la page d’accueil d’Entra) et le nom de tenant (type monentreprise.onmicrosoft.com , ou utiliser un domaine personnalisé qui a été validé sur MS)

Finalisation

Il faut ensuite attendre (ou déclencher) la synchro Entra Connect Sync (après avoir déployé les clés de registre sur le client). Il apparaîtra dans Entra en tant que “En attente” (Pending).
On peut alors redémarrer le poste pour finaliser la jonction hybride, ou le faire manuellement en administrateur avec la commande dsregcmd /debug /join.
Le poste sera alors considéré comme “hybrid-joined” dans Entra ID avec une date d’inscription.
Cette entrée devrait remplacer l’entrée précédente de type “registered” si elle était présente. On perd également l’information sur la personne qui a joint son compte MS (on le voyait en registered, on ne le voit plus en hybrid-joined). Je suppose qu’on peut retrouver cette info avec Intune.

Si ce n’était pas le cas :

• vérifier que la synchronisation Entra Connect Sync a bien été effectuée récemment, sans erreur
• attendre suffisamment longtemps pour que l’ensemble serveur/client/Entra soit dans le même état (peut prendre 30 minutes)
• vérifier dans Entra -> Appareils que l’appareil est bien présent ; si son type de jointure est “hybrid-joined”, vérifier que son état “Inscrit” est bien une date, et non “En attente”
• s’il est “En attente”, essayer de redémarrer le client, ou lancer dsregcmd /debug /join
• vérifier avec dsregcmd /status s’il y a d’éventuelles erreurs

Suppression de la jonction

Pour sortir définitivement un poste d’Entra ID, je n’ai pas trouvé d’autre solution que de quitter le domaine puis le joindre à nouveau.

Pour quitter la jonction hybride, il faut entrer dans une invite de commande en administrateur et lancer la commande :
dsregcmd /debug /leave
Cette commande met quelques secondes à aboutir, et l’appareil se retrouve instantanément déconnecté (visible dans le résultat de dsregcmd /status).

Tant que les clés de registre TenantId et TenantName restent présentes, il est toujours possible de re-joindre Entra en entrant dsregcmd /debug /join.
Si on les supprime, la jonction hybride ne fonctionnera plus.

Ceci a également pour effet de supprimer complètement l’appareil de Entra ID. Toutefois, si Entra Connect Sync continue de fonctionner sur le serveur, cet appareil sera re-synchronisé à la prochaine sync en tant que hybrid-join, et en “Pending”. Ça semble être lié à son objectGUID.
Pour qu’il ne soit plus du tout synchronisé, il faut sortir le poste du domaine, puis supprimer le compte Ordinateur sur le DC, puis re-joindre le domaine. La nouvelle entité aura un objectGUID différent, ce qui lui permettra de ne pas être considéré comme hybrid-join lorsqu’il est synchronisé.

Dépannage

https://learn.microsoft.com/en-us/entra/identity/devices/troubleshoot-hybrid-join-windows-current

Suppression accidentelle du poste dans Entra ID

Si un poste est supprimé dans Entra ID sans défaire la jonction avant, celui-ci se pensera toujours hybrid-joined, mais pas Entra ID.
Il réapparaîtra dans Entra ID au cours de la prochaine synchro, mais restera en l’état “Pending”.
Pour être réellmeent ré-enregistré, il est nécessaire de faire dsregcmd /debug /leave puis dsregcmd /debug /join (qui nécessitera une connectivité au DC).
À voir si ça peut être automatisé via GPO ?

Préalables

https://learn.microsoft.com/fr-fr/azure/storage/files/storage-files-identity-ad-ds-enable

Ces paramètres s’activeront sur tous les partages du compte.

Conditions :

• nécessite un DC (on-prem ou éventuellement en VM ; ici on-prem)
• nécessite une connectivité permanente des clients au DC
• supporte uniquement les hybrid-users (donc synchro depuis le DC vers Entra ID)
• 1 seule forêt
• accorde des droits uniquement aux Users, pas aux Computers
• avoir accès à une machine jointe au domaine et sur le même réseau que le DC

Il semble possible de monter le partage depuis une machine non-jointe au domaine.

Il faut vérifier que le compte de stockage n’a pas déjà une source d’AD configurée ; si oui, il faut d’abord la désactiver.

Activation

Il faut inscrire le compte de stockage en tant que Computer (ou service logon account) sur l’AD local.

Installation des modules

On utilise le module AzFilesHybrid qui automatise une partie du processus. Des instructions pour le faire manuellement sont disponibles sur la page chez MS.

Téléchargement du module sur cette page Github

On dézippe les fichiers, et on les installe avec .\CopyToPSPath.ps1 (devrait les mettre dans %username%\Documents\WindowsPowerShell\Modules\ )

Lors de l’import Import-Module AzFilesHybrid , j’ai du installer PowershellGet, et donc lancer la commande en tant qu’admin.
Au lancement suivant, il m’a proposé d’installer 2 autres modules nécessaires, Az et Az.storage.
On peut aussi les installer manuellement avec install-module Az -AllowClobber (AllowClobber permet de forcer l’installation, même si ce module existe déjà dans le système mais en version différente).

Il faut aussi le module “ActiveDirectory” , qui s’installe avec les RSAT (Remote Server Administration Tools).
Pour les installer, on peut les télécharger, ou passer par l’ajout de fonctionnalités Windows dans “Programme et fonctionnalités, ou passer par Powershell.
Pour ceci, en admin, on peut déjà vérifier ce qui est installé :
Get-WindowsCapability -Name RSAT* -Online | Select-Object -Property DisplayName, State
et on regarde la colonne “State”.

On installe :
Add-WindowsCapability –Online –Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0"
puis
Import-Module ActiveDirectory

Activation

Il faut Powershell 5.1 ! Ne semble pas fonctionner avec les versions plus récentes, comme la 7.

Il faut faire les manipulations depuis un poste joint au domaine, et depuis un utilisateur avec au minimum les rôles Azure “Lecteur” sur le groupe de resources (contenant le compte de stockage) et “Contributeur” sur le compte de stockage.
Si on est Owner ou Contributeur sur l’abonnement Azure, ça devrait être OK.
Il faut aussi avoir le droit de créer des objets sur l’AD local.

Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser
Import-Module -Name AzFilesHybrid
Connect-AzAccount
$SubscriptionId = "<your-subscription-id-here>"
$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"
$SamAccountName = "<sam-account-name-here>"
(SamAccountName est le nom du “Computer” qui VA être créé sur l’AD ; max 15 caractères)

Select-AzSubscription -SubscriptionId $SubscriptionId

Join-AzStorageAccount -ResourceGroupName $ResourceGroupName -StorageAccountName $StorageAccountName -SamAccountName $SamAccountName
(pour cette étape, il est nécessaire d’être connecté au DC)

Le compte Computer sur l’AD est désormais créé.

Si besoin de débuguer l’accès, on peut lancer cette commande :
Debug-AzStorageAccountAuth -StorageAccountName $StorageAccountName -ResourceGroupName $ResourceGroupName -Verbose
qui permettra notamment d’avoir l’info du type d’auth actuellement activé sur ce compte de stockage.

Droits sur le partage

Portail Azure -> Partage en question -> IAM -> Ajouter -> une attribution de rôle
Rechercher “SMB” et choisir “Collaborateur de pargae SMB” (pour ceux qui doivent simplement travailler sur les fichiers du partage)
Choisir “Utilisateur, Groupe ou UPN” puis choisir l’utilisateur ou le groupe en question (issu de l’AD)

Ensemble de modules Az

https://learn.microsoft.com/en-us/powershell/azure/install-azps-windows

Install-Module -Name Az -Repository PSGallery -Force

Va installer plein de sous-modules

Module Azure AD

Install-Module -Name AzureAD
Connect-AzureAD

Module Azure Storage

Install-Module -Name Az.Storage
Connect-AzAccount

Gestion des utilisateurs

Désactiver l’expiration du password pour 1 utilisateur

$mail = "testcloud@escda.fr"
Set-AzureADUser -ObjectId $mail -PasswordPolicies DisablePasswordExpiration

Présentation

Présentation chez MS
Planification
Guide de déploiement

Fonctionne par groupe de synchronisation (sync group), qui associe un/plusieurs point(s) de terminaison local (server endpoint : le chemin sur le serveur) et un point de terminaison distant (cloud endpoint : un partage Azure Files).
Pass par l’installation d’un agent sur chaque serveur à configurer (supporté à partir de Server 2016, ou 2012R2 avec Windows Management Framework).

Sur le serveur, il est nécessaire que le lecteur soit en accès direct (propriétaire du filesystem), et en NTFS.
Les liens durs et symboliques seront ignorés.

L’accès par clé doit être activé sur le compte de stockage.

Les données seront synchro en bi-directionnel ; toutefois, la propagation cloud -> serveurs locaux sera plus lente que le sens inverse (“This is because Azure Files today lacks an efficient change detection mechanism like Windows Server has, so changes to the Azure file share directly will take time to propagate back to the server endpoints”).
En gros une tâche planifiée (“change detection job”) est déclenchée toutes les 24h, l’agent va alors scanner tous les fichiers et détecter les changements.

Il faut déployer un “Storage Sync Service”.
Un serveur ne peut faire partie que d’un seul “Storage sync Service”. MS conseille globalement d’utiliser un seul SSS.

Maximum 30 partages par serveur.

Mise en place de l’infrastructure

Préparation du serveur

Sur chaque serveur sur lequel l’agent de sync sera installé, désactiver “Internet Explorer Enhanced Security Configuration”.
Gestionnaire de serveur -> Serveur local -> Section “Proprietés” -> Configuration de sécurité renforcée d’IE -> les 2 à Non

Création du Storage Sync Service (SSS)

Azure portal -> Create ressource
chercher “Azure File Sync” -> Create
Choisir l’abonnement Azure ; choisir le groupe de ressources concerné ; donner un nom ;
Le réseau devrait être ok par défaut; Valider la création.

Installation de l’agent de synchronisation

Télécharger ici le paquet correspondant à la version du serveur.
Install classique.
Sera installé dans le dossier : C:\Program Files\Azure\StorageSyncAgent\
Peut être configuré pour utiliser Windows Update.

Inscription du serveur auprès du service de sync

Il faut avoir les rôles Owner ou Contributor sur le SSS.

Au lancement de l’interface Azure Files Sync, il est demandé d’inscrire le serveur. On choisit “AzureCloud”, on se connecte, et on sélectionne la bonne ressource.
Si l’interface ne se lance pas, lancer C:\Program Files\Azure\StorageSyncAgent\ServerRegistration.exe

On peut alors le voir sur le portail Azure, sur la ressource SSS, dans “Sync -> Registered servers”

Création du groupe de synchro

Un groupe de synchro équivaut à un dossier cloud.
Il faut faire la suite pour chaque nouveau groupe de synchronisation.

Azure Portal -> trouver la ressource (par exemple via le groupe de ressource, ou le menu de service “Storage Sync Services”

Sync -> Sync groups -> Create sync group
On donne un nom, on choisit l’abonnement, le compte de stockage, le partage Azure
Le groupe de synchro est alors créé, mais n’a aucun “server endpoint”

Création du point de terminaison serveur

Il faut maintenant créer un SEP (Server EndPoint).
À faire sur chacun des serveurs qui sera dans le groupe de synchro.
Attention, le choix du lecteur et du chemin sur le serveur est définitif ! Il ne pourra pas être modifié par la suite.

Ouvrir le groupe de synchro -> Add server endpoint
Choisir le serveur
Entrer le chemin local des données à synchroniser (avec la lettre de lecteur)
Activer si besoin le cloud tiering

Initial sync : uniquement disponible pour le 1e serveur que l’on synchronise.
MS conseille de conserver “Merge” dans la majorité des cas, même si la source ou la destination est vide.

Initial download : aucun impact si le partage est vide.
“Namespace first, then content” semble adapté pour avoir toutes les données en local.
Ne pourra pas être changé par la suite !

On peut alors valider ; ça va créer le SEP, et la synchro sera déclenchée quelques temps plus tard.

Forcer la synchro

On peut forcer la synchro depuis le cloud vers le serveur avec la commande Invoke-AzStorageSyncChangeDetection.
https://learn.microsoft.com/en-us/powershell/module/az.storagesync/invoke-azstoragesyncchangedetection

On définit nos ressources :

$rgname = "myressourcegroup"  
$sss = "mysyncservice"  
$sgname = "mysyncgroup"

Ensuite, on récupère le GUID du point de terminaison cloud :

$cep = (Get-AzStorageSyncCloudEndpoint -ResourceGroupName $rgname -StorageSyncServiceName $sss -SyncGroupName $sgname).CloudEndpointName

puis on force la synchro :

Invoke-AzStorageSyncChangeDetection -ResourceGroupName $rgname -StorageSyncServiceName $sss -SyncGroupName $sgname -Name $cep

Dépannage

https://learn.microsoft.com/en-us/troubleshoot/azure/azure-storage/files/file-sync/file-sync-troubleshoot-sync-errors

Décommissioner un serveur

https://learn.microsoft.com/en-us/azure/storage/file-sync/file-sync-server-endpoint-delete

Si on veut retirer un serveur, il faut d’abord s’assurer que tous ses changements on bien été transférés vers le cloud.
Observateur d'evts -> Journaux des applications et services -> Microsoft -> File Sync -> Agent -> Telemetry
Chercher un evt 9102 récent.

Autres indications sur le portail Azure :
Storage accounts -> file share -> used size
SSS -> Sync group

• 0 persistent sync error
• server endpoint -> sync status
• Upload et Download ont des timestamps récents

Pour être sûrs que des nouvelles données ne soient plus écrites sur le serveur, on désactive le partage réseau du serveur.
ATTENTION, ne pas modifier les droits d’accès sur le serveur pour empêcher l’accès, sinon cette modification sera répliquée sur Azure.
S’il n’est pas possible de supprimer le partage (par exemple plusieurs dossiers partagés sous un seul chemin), il faudra changer le chemin d’accès sur le serveur (par ex. renommer le dossier) à la fin de la manip.

On peut alors supprimer le “server endpoint”, puis le “cloud endpoint”, puis le groupe de synchro.

Powershell

cd 'C:\Program Files\Azure\StorageSyncAgent'
Import-Module -Name .\StorageSync.Management.ServerCmdlets.dll/subscriptions/114f9a3c-73d1-4aa8-bf49-16617988e42a/resourceGroups/GroupeRessourcesESCDA/providers/Microsoft.StorageSync/storageSyncServices/ServiceSynchroFichiers/registeredServers/6a7b6254-cfb5-438e-9189-0f011cbb5b1f

NE FONCTIONNE PAS FINALEMENT lors du chiffrement systeme du 2e OS, l’entete du 1er OS déjà chiffré est remplacée par l’entete du 2nd. Le 1er OS est alors “déverrouillé” avec le password du 2e OS, mais la partition est illisible et ça fait écran bleu avec fichier introuvable. On peut réparer la situation uniquement avec le veracrypt rescue disk créé au moment du chiffrement du 1er os, et choisir l’option “k” . Ceci rendra toutefois le 2e OS non bootable à son tour.

Essayer avec bitlocker pour le 2e OS ?

Ancien article :

But : avoir 2 installs Windows distinctes (en + d’une debian), chacune chiffrée par Veracypt, et que le choix se fasse via GRUB et sans avoir à choisir au sein de windows boot manager.

Si 2 installs Windows coexistent au sein d’une même ESP, alors ils partageront la même BCD, et comme le choix de l’OS intervient après le boot de l’OS et donc du déchiffrement Veracrypt, ça rend la solution non viable.

Solution (hacky) : avoir 2 ESP.

Structure du disque (table GPT) :

• 1 partition ESP1 (FAT32, 500m, flag boot)
• 1 partition ESP2 (FAT32, 500m, SANS le flag boot)
• 1 partition WIN1 (NTFS, 50G ou +)
• 1 partition WIN2 (NTFS, 50G ou +)
• partitions nécessaires pour Debian, avec éventuellement LUKS (auquel cas 1 partition pour /boot )

Démarche générale :

• Installer Win1

• Installer Debian

• Vérifier le double-boot via GRUB

• Installer Veracrypt sur Win1, chiffrer la partition système (ceci remplace notamment EFI\Microsoft\Boot\bootmgfw.efi par le lanceur de Veracrypt)

• Vérifier le boot de Win1 chiffré en direct, puis via GRUB. Remettre GRUB en lanceur par défaut dans l’UEFI

• Booter Debian, copier le code GRUB (section dans /boot/grub/grub.cfg) de lancement de Win1 dans /etc/grub.d/40_custom pour être sûr de le conserver(on peut renommer l’entrée pour + de clarté)

• Via efibootmgr, supprimer les 2 entrées Veracrypt et Windows Boot Manager (essentiel pour éviter les conflits)

• Via Gparted enlever le flag boot sur ESP1, le positionner sur ESP2

• update-grub (il ne devrait plus avoir d’autre OS détécté par os-prober, seulement l’entré manuelle)

• Installer Win2

• Vérifier le triple-boot via GRUB

• Installer Veracrypt sur Win2, chiffrer la partition système

• Booter Debian, copier le code GRUB de lancement de Win2 dans /etc/grub.d/40_custom

• Via efibootmgr, supprimer les 2 entrées Veracrypt et Windows Boot Manager

• Via Gparted enlever le flag boot sur ESP2, le positionner sur ESP1

• update-grub

Normalement grub sera le seul OS référencé par l’EFI, il y’aura 1 entrée pour chacun des windows chiffrés, et chaque windows sera complètement indépendant d’un point de vue fichiers de démarrage.
On peut toutefois toujours monter la partition d’une install windows depuis l’autre en fonctionnement.

https://www.thomas-krenn.com/en/wiki/Link_Aggregation_and_LACP_basics
https://fr.wikipedia.org/wiki/IEEE_802.3ad

LAG : Link Aggregation Group : agrégation statique (tous les paramètres sont manuels)

LACP : Link Aggregation control Protocol : configuration automatique des propriétés du lien entre 2 périphériques ; les 2 doivent supporter LACP sinon ça ne fonctionne pas. Spécification IEEE 802.3ad

Synology

Selon mes tests, le Adaptative Load Balancing répartit bien le flux lors d’un téléchargement sur 2 PC en parallèle (le Synology choisit le chemin), mais le flux n’est pas réparti en envoi (le switch envoie les 2 connexions sur le même port).

En mode LACP (si le switch le supporte), la connexion est répartie aussi bien en envoi qu’en réception (1Gbps sur 2 connexions simultanées).

BitLocker est un système de chiffrement de périphérique. Le contenu d’une partition est chiffré grâce à la FVEK (Full-Volume Encryption Key), elle-même chiffrée par la VMK (Volume Master Key), elle-même pouvant être chiffrée par différents moyens (les “protecteurs”, par exemple un password, ou le TPM).

Si il y’a un triangle jaune sur un périphérique, c’est que BitLocker n’est pas réellement activé. Les données sont chiffrées, mais aucun protecteur n’est en place pour protéger la clé de déchiffrement.

Lors d’une installation Windows sur un poste possédant une puce TPM, l’installation sera automatiquement (à vérifier ?) chiffrée pour utiliser Bitlocker.

Bitlocker se gère via le panneau de configuration (sur un Win10 Famille, c’est “Chiffrement de l’appareil)” ou en CLI avec manage-bde.

en CLI

Sous Windows avec le disque déverrouillé :
manage-bde -status
manage-bde -protectors C: -get

Si pas de protecteurs, on peut simplement désactiver le chiffrement avec
manage-bde -off LETTER:
Ça prendra un certain temps, pour réécrire les données non-chiffrées.

Linux

Si on veut accéder à cette partition depuis Linux, il faut utiliser l’outil dislocker, disponible dans les dépôts Debian.
sudo apt install disklocker

Cette ligne crée un nouveau document dont le nom suffixé de “-grayscale” input=mycolordoc.pdf output=$(echo "$input" | sed 's/.pdf$/-grayscale.pdf/') gs -sDEVICE=pdfwrite -sColorConversionStrategy=Gray -dProcessColorModel=/DeviceGray -dCompatibilityLevel=1.4 -dNOPAUSE -dBATCH -sOutputFile="${output}" "${input}"

https://superuser.com/questions/104656/convert-a-pdf-to-greyscale-on-the-command-line-in-floss

Généralités

DC : Domain Component (ce qui définit le domaine lui-même) OU : Organisation Unit (une organisation à l’intérieur du domaine, décidée par le service informatique ; non obligatoire) CN : Common Name (le nom courant d’un objet, par exemple “myUser”) DN : Distinguished Name (+- un chemin absolu, qui identifie l’objet de manière unique dans le répertoire ; comprend forcément des références aux DC et au CN, et éventuellement aux OU)

Exemple de DN : CN=OpenVPN,OU=OpenVPN,OU=IT,DC=paris,DC=myCompany,DC=com
Il s’agit du nom courant “OpenVPN” (un utilisateur), situé dans l’OU “OpenVPN”, elle-même située dans l’OU “IT”, elle-même située dans le domaine “paris.mycompany.com”

On peut obtenir le DN de n’importe quel objet dans Utilisateurs et ordinateurs Active Directory en faisant un clic-droit sur l’objet -> Éditeur d'attributs, puis en cherchant l’attribut distinguishedName (taper dist au clavier devrait amener dessus).

Recherche dans l’Active Directory depuis Linux

On peut utiliser le logiciel ldapsearch, disponible dans le paquet ldap-utils.

sudo apt install ldap-utils

On utilisera les flags suivants :

-H pour spécifier l'annuaire ldap (ou le serveur AD)
-x pour une authentification simple
-W pour demander le password
-D pour spécifier l'utilisateur utilisé pour se connecter auprès de l'AD ; ce peut être l'adresse mail (user@contoso.com) ou le DN de l'objet
-b pour définir le chemin de base de la recherche ; par exemple DC=paris,DC=myCompany,DC=com
-LLL pour supprimer les commentaires et la version de LDAP de l'affichage des résultats

On peut ensuite définir un ou plusieurs filtres pour sélectionner les objets désirés ; par exemple (sAMAccountName=Administrateur)" pour sélectionner l’objet dont le nom de compte est Administrateur ; on peut passer plusieurs filtres, avec la syntaxe suivante : (&(sAMAccountName=Administrateur)(memberOf=CN=myGroup,OU=Groups,OU=IT,DC=paris,DC=myCompany,DC=com)

Enfin, on peut choisir un attribut à afficher, pour ne récupérer que ce champ dans la liste des résultats. Par exemple "name" pour récupérer le nom du compte.

Ceci nous donne la syntaxe suivante pour rechercher le nom des membres du groupe

ldapsearch -H ldap://192.168.10.101 -x -W -D “CN=OpenVPN,OU=OpenVPN,OU=VCI,DC=boulogne,DC=escda,DC=viseoci,DC=fr” -b “DC=boulogne,DC=escda,DC=viseoci,DC=fr” “(&(memberOf=CN=Utilisateurs du VPN,OU=Groupes,OU=VCI,DC=boulogne,DC=escda,DC=viseoci,DC=fr))” “name”