I. Présentation

Dans ce tutoriel, nous allons étudier la notion de SID dans un contexte Active Directory ! En effet, nous allons étudier les SID associés aux objets d'un annuaire Active Directory, que ce soit des utilisateurs, des ordinateurs, des groupes, etc... Ce sujet nous donnera également l'occasion d'aborder la notion de RID, de Maître RID et de SID History.

• Voir la vidéo sur YouTube

Cet article est une suite au premier article sur les SID, dont voici le lien :

• Les SID sous Windows

II. L'Active Directory et l'attribut objectSid

Dans l'Active Directory, au même titre que sur une machine Windows, il y a cette notion de SID (Security IDentifier), c'est-à-dire d'identifiant de sécurité unique. Ainsi, chaque objet de l'Active Directory aura un SID unique qui sera stocké dans l'attribut "objectSid" : si vous vous posiez la question "Où sont stockés les SIDs dans l'Active Directory ?", vous avez la réponse ! Le SID est généré lors de la création d'un objet.

Pour identifier un objet, l'Active Directory utilisera le SID plutôt que le nom : si vous renommez un objet, l'Active Directory sera toujours en mesure de l'identifier, car le SID reste le même pendant toute la vie d'un objet. Le SID est utilisé pour faire référence à un objet dans les ACL, que ce soit pour les permissions de l'annuaire lui-même ou les permissions sur des fichiers et répertoires.

À partir des propriétés d'un objet, via l'onglet "Éditeur d'attributs", nous pouvons obtenir le SID d'un objet. Voici un exemple avec un utilisateur :

Pour gagner du temps, nous pouvons utiliser PowerShell pour obtenir la liste de tous les utilisateurs avec leur nom et leur SID.

Get-ADUser -Filter * | Select-Object Name, SID

Voici un exemple :

Nous pouvons faire la même chose avec les ordinateurs, les groupes de sécurité, etc.

Get-ADComputer -Filter * | Select-Object Name, SID
Get-ADGroup -Filter * | Select-Object Name, SID

Tous les SID ont une partie commune, notamment le préfixe "S-1-5-21-" qui est suivi par un identifiant de domaine. Ici, tous les objets appartiennent au même domaine, donc l'identifiant de domaine est le même. A la fin, il s'agit du RID (Relative IDentifier). Dans l'annuaire Active Directory, le compte "Administrateur" de base (Builtin) a toujours le RID 500.

Justement, intéressons-nous à cette notion de RID...

III. L'Active Directory et le rôle FSMO de Maître RID

Un environnement Active Directory est constitué d'un ou plusieurs contrôleurs de domaine. Chaque contrôleur de domaine est susceptible de posséder un ou plusieurs rôles FSMO afin d'être le "maître" pour la réalisation de certaines tâches sensibles. Parmi ces 5 rôles FSMO, il y a le rôle de "Maître RID" qui est directement lié à la notion de SID.

• En savoir plus sur les 5 rôles FSMO

Si l'on prend deux objets d'un même annuaire Active Directory, la seule valeur qui diffère, c'est le RID. De ce fait, le RID est une valeur ultra-importante puisque c'est elle qui va permettre de s'assurer que chaque SID est unique.

S-1-5-21-602238038-4219226198-3932521878-1103
S-1-5-21-602238038-4219226198-3932521878-1113
S-1-5-21-602238038-4219226198-3932521878-1192

Dans un domaine Active Directory, l'attribution des RID est gérée par le contrôleur de domaine qui détient le rôle FSMO de "Maître RID" ! Que va-t-il faire ? Il va distribuer un bloc de 500 RIDs différents à chaque contrôleur de domaine (en lecture/écriture) de manière à ce que chaque DC puisse créer de nouveaux objets tout en s'assurant qu'il n'y ait pas de SID en doublon. A chaque fois, le RID sera incrémenté de "1" au fur et à mesure que le DC consomme son bloc de RID.

Sachez que dans certains cas, il peut s'avérer utile d'invalider le bloc RID d'un contrôleur de domaine pour éviter les doublons : on peut se retrouver dans cette situation lors de la restauration d'un contrôleur de domaine à un état antérieur.

Remarque : bien que 500 soit la valeur par défaut, la taille du bloc est personnalisable via le Registre Windows. Il faut éditer la valeur "RID Block Size" située dans la clé "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values". La limite étant de 15 000.

Dans un annuaire Active Directory, il y a une limite sur le nombre de RID ! Pour savoir combien de RID sont attribués et combien il en reste, vous pouvez utiliser la commande dcdiag.exe de cette façon :

Dcdiag.exe /TEST:RidManager /v | find /i "Available RID Pool for the Domain"

Dans l'exemple ci-dessous, le résultat de la commande indique qu'il y a 1 600 RID attribués et qu'il reste 1 073 741 823 de RID attribuables (plus d'un million !)

Pour en savoir plus sur l'émission des RIB, consultez cette documentation officielle :

• Microsoft Learn - Gestion de l'émission RID

IV. L'Active Directory et le SID History

Dans l'Active Directory, chaque objet contient un attribut un peu spécial nommé "sIDHistory" : SID History, que l'on pourrait traduire par "Historique des SID". En principe, cet attribut est vide (<non défini>) comme le montre l'exemple ci-dessous, mais ce n'est pas toujours le cas. Pourquoi ?

L'attribut associé à la notion de SID History a été introduit de manière à faciliter la migration des objets Active Directory d'un domaine vers un autre. L'outil Microsoft "ADMT" (Active Directory Migration Tool) est fréquemment utilisé pour les migrations de ce type (bien que vieillissant, il continue de rendre bien des services).

Comment fonctionne le SID History ?

Lorsqu'un utilisateur migre d'un domaine A vers un domaine B, il hérite d'un nouveau SID dans le nouveau domaine. De ce fait, avec son nouveau compte, cet utilisateur perd l'accès à toutes les ressources de l'ancien domaine Active Directory ! En phase de migration/transition, ceci peut s'avérer problématique. C'est là que l'attribut sIDHistory intervient. En stockant dans l'attribut "sIDHistory" du nouveau compte le SID de l'utilisateur dans l'ancien domaine, il est possible de faire le lien entre les deux objets dans les deux domaines et de conserver l'accès aux ressources pendant la phase de migration. Ce mécanisme est pratique pour les utilisateurs et les groupes de sécurité.

S'il doit être utilisé dans le cadre d'un projet de migration, le SID History doit être utilisé avec parcimonie et de façon temporaire, car ceci représente un risque : si l'attribut sIDHistory d'un utilisateur fait référence au SID d'un compte avec des privilèges élevés (Admins du domaine, par exemple), ceci ouvre des portes...!

La bonne nouvelle : par défaut, l'utilisation du SID History est désactivée (ceci faisant référence au SID Filtering). Mais, il n'est pas rare que cette "fonctionnalité" reste activer pendant beaucoup trop longtemps après une migration... L'outil "netdom" sert à activer/désactiver le SID History.

• Microsoft Learn - Attribut SID History

V. Conclusion

Suite à la lecture de cet article, vous en savez beaucoup plus sur les notions de SID, de RID et de SID History dans un environnement Active Directory ! C'est une notion importante et à connaître.

The post L’Active Directory et les notions de SID, RID et SID History first appeared on IT-Connect.

Le Single Day approche puisque nous sommes bientôt le 11/11 ! À l'occasion de ce jour spécial, que l'on appelle aussi le jour des célibataires, notre partenaire GoDeal24 propose une nouvelle vente flash sur les licences !

D'ailleurs, en Chine, c'est pour réconforter les personnes seules que les commerçants font des promotions et baissent le prix des produits : cette journée est devenue l'une où l'on effectue le plus d'achats, un peu dans le même esprit que le Black Friday.

Avant de passer à la liste des offres, je profite de cet article pour vous rappeler que pour activer Windows 10 ou Windows 11, vous ne pouvez plus utiliser de "vieilles clés" Windows 7 ou Windows 8.1.

Toutes les offres sont disponibles sur cette page.

Windows 10, Windows 11 et Microsoft Office en vedette !

• Office 2021 Pro Plus (1 PC) - 25.11€
• Office 2019 Pro Plus (1 PC) - 22.25€
• Office 2021 Home and Business for Mac – 36.66€
• Office 2019 Home and Business for Mac – 26.69€
• Windows 11 Pro (1 PC) – 12.11€
• Windows 11 Famille (1 PC) - 11.88€
• Windows 10 Pro (1 PC) - 8.33€
• Windows 10 Famille (1 PC) - 8.11€

Bundles Windows + Office

• Windows 11 Pro + Office 2021 Pro Plus - Bundle - 36.59€
• Windows 11 Pro + Office 2019 Pro Plus - Bundle - 34.11€
• Windows 10 Pro + Office 2021 Pro Plus - Bundle – 32.56€
• Windows 10 Pro + Office 2019 Pro Plus Bundle - 28.29€

Vous devez utiliser le code promo "VDL62" pour bénéficier de ces tarifs.

2 ou 5 licences, pour faire des économies encore plus importantes

• Office 2021 Pro Plus (5 PC) -75.11€ (seulement 15.02€/PC)
• Office 2021 Pro Plus (2 PC) – 45.55€ (seulement 22.78€/PC)
• Windows 10 Pro (2 PC) – 14.22€ (seulement 7.11€/PC)
• Windows 10 Famille (2 PC) - 14.39€ (seulement 7.20€/PC)
• Windows 11 Pro (2 PC) - 23.23€ (seulement 11.62€/PC)

Dinguerie : des licences par lots de 50, 100 ou 200 !

• Windows 10 Pro pour 50 PC - 325€ (seulement 6.5€/clé)
• Windows 10 Pro pour 100 PC – 600€ (seulement 6€/clé)        
• Windows 11 Pro pour 50 PC – 400€ (seulement 8€/clé)
• Windows 11 Pro pour 100 PC – 750€ (seulement 7.5€/clé)
• Microsoft Office 2021 Pro pour 50 PC – 1050€ (seulement 21€/clé)
• Microsoft Office 2021 Pro pour 100 PC – 2000€ (seulement 20€/clé)

C'est la première fois que GoDeal24 propose ce type d'offres !

Microsoft Visio, Project ou Windows Server

• Microsoft Visio Pro 2021 (1 PC) - 30.23€
• Microsoft Project Pro 2021 (1 PC) - 33.82€
• Windows Server 2022 Standard - 26.13€
• Windows Server 2019 Standard - 16.06€
• Windows 10 Enterprise 2021 LTSC - 12.81€

Vous devez utiliser le code promo "VDL50" pour bénéficier de ces tarifs.

Bonus : des logiciels à prix réduits

• Ashampoo PDF Pro 3 – 19.99€
• Adguard - 3 Appareils - Lifetime – 27.66€

Plus d'offres sur les logiciels sur cette page !

Au sujet des licences

GoDeal24 propose des licences commerciales (plusieurs ordinateurs) et des licences OEM (associées au matériel sur lequel l'activation aura lieue la première fois). Le mode d'activation est différent, mais les fonctionnalités sont les mêmes. Conformément à la décision de la Cour de justice de l'Union européenne, les clés de logiciels d'occasion peuvent être vendues dans l'Union européenne en toute légalité.

Je vous rappelle que le paiement sur ce site peut être effectué à partir d'un compte PayPal ou par carte bancaire. Les offres présentées dans cet article sont limitées dans le temps et il s'agit de licences OEM. Ces offres sont gérées directement par le site Godeal24.com. Sur le site TrustPilot, il y a 98% d'évaluations positives.

Si vous avez une question, que ce soit de l'avant-vente ou de l'après-vente, je vous invite à contacter le support du site godeal24.com à l'adresse e-mail suivante : service@godeal24.com

The post Bon plan chez GoDeal24 : 25.11€ pour une licence Office 2021 ! Mais ce n’est pas tout ! first appeared on IT-Connect.

La nouvelle version de Windows 11, à savoir Windows 11 23H2, est accompagnée par des évolutions dans la version gratuite de Microsoft Teams intégrée au système Windows 11. Faisons le point sur les nouveautés.

Au travers d'un nouvel article, Microsoft a détaillé sur les nouveautés de Teams en version gratuite. Tout d'abord, sur Windows 11 23H2, l'icône "Conversation" présent dans la barre des tâches va être remplacé par un nouvel icône et il va également changer de nom pour s'appeler, tout simplement, "Microsoft Teams". Microsoft veut vous proposer une nouvelle expérience avec la version gratuite de Microsoft Teams, que ce soit pour communiquer par chat, appeler, participer à une réunion ou encore créer un groupe communautaire.

La fenêtre de Microsoft Teams est compacte et flottante : elle peut être positionnée à n'importe quel endroit de l'écran. Il est possible de l'agrandir à tout moment. À ce sujet, Microsoft précise : "Nous avons ajouté une nouvelle vue "mini-compacte", qui permet de placer facilement la mini-fenêtre n'importe où sur le bureau, ce qui vous permet de suivre passivement vos conversations dans Teams tout en naviguant sur le web ou en effectuant plusieurs tâches à la fois, tout en restant productif."

Microsoft a également introduit la fonction "Teams Play Together" pour se réunir dans un appel Microsoft Teams (gratuit) lors d'une session de jeu. Ce raccourci est accessible via la Game Bar de Windows 11.

Par ailleurs, Microsoft a apporté quelques nouveautés à sa fonctionnalité "Communities" lancée en décembre 2022 : personnalisation des paramètres de notifications, des badges pour désigner le rôle des participants, personnalisation de son nom d'utilisateur (à la place d'utiliser les informations du compte Microsoft), ainsi que la possibilité de partager des événements.

Les SMS dans Microsoft Teams

Microsoft a introduit une nouvelle fonctionnalité baptisée "SMS dans Teams" qui permet de recevoir vos SMS dans Microsoft Teams et d'y répondre directement depuis votre PC. Ceci nécessite au préalable de faire une association entre votre smartphone Android et votre compte Microsoft.

Au sujet de cette nouvelle fonctionnalité, l'entreprise américaine précise : "Vous pouvez également envoyer facilement des liens d'appel vidéo Teams pour passer un appel vidéo gratuit en un rien de temps, même si le destinataire n'utilise pas Teams aujourd'hui."

Pour en savoir plus sur Windows 11 23H2, vous pouvez lire cet article :

• Ce qu'il faut savoir sur Windows 11 23H2

The post Microsoft Teams Free accueille des nouveautés, dont la gestion des SMS depuis votre PC ! first appeared on IT-Connect.

L'entreprise OpenAI continue d'améliorer ChatGPT, son chatbot IA. Désormais, l'intelligence artificielle est capable d'analyser des documents tels que des PDF et des images. Voici ce qu'il faut savoir sur cette nouveauté.

Au fil des mois et des nouveautés introduites par OpenAI, ChatGPT devient bien plus qu'un simple chatbot IA. Les dernières nouveautés suivent cette tendance. Désormais, vous pouvez charger des documents au format PDF, des fichiers textes et des images (les formats les plus courants sont pris en charge) sur l'interface de ChatGPT afin de demander une analyse.

Une fois le document chargé, vous pouvez poser des questions en lien avec le document et ChatGPT vous répondra. Cette prise en charge native va permettre aux utilisateurs de ne plus avoir besoin d'utiliser un plugin externe comme AskYourPDF. ChatGPT serait même capable de modifier une image existante grâce aux dernières innovations dont profite DALL-E 3.

Par ailleurs, ChatGPT va sélectionner automatiquement un "mode" lorsque vous allez le solliciter. Ce ne sera plus à l'utilisateur de faire ce choix : le chatbot IA déterminera tout seul s'il doit solliciter le Web, générer une image ou encore coder en Python pour répondre à la requête de l'utilisateur. Bien que ce soit automatique, vous avez toujours la possibilité de choisir manuellement un mode.

Toutefois, pour profiter de cette nouveauté, il faut payer ! En effet, ceci est réservé aux utilisateurs de ChatGPT Plus qui est facturé 20 dollars par mois. Le déploiement est en cours, donc si vous êtes abonné, vous devriez pouvoir en profiter dans les prochains jours.

Même si ChatGPT peut analyser vos documents, ne chargez pas n'importe quel type de documents : pensez toujours à ce que peut en faire OpenAI... et dans quelle mesure cela pourra venir nourrir le modèle...

Que pensez-vous de ces nouveautés ? Certains d'entre vous sont-ils abonnés à ChatGPT Plus ?

Source

The post Désormais, ChatGPT peut analyser vos documents : PDF, images, etc. first appeared on IT-Connect.

À l'aide d'un Flipper Zero, il est possible d'inonder de notifications les appareils sous Android, Windows et iOS, grâce au Bluetooth Low Energy (BLE). Un développeur vient de reproduire cette attaque à l'aide d'une application Android.

• Le Flipper Zero peut inonder de notifications les appareils Windows et Android (en plus d'iOS) !

Le Flipper Zero, un petit boitier portable aux nombreuses capacités, a été utilisé pour mettre au point une technique baptisée "Spam Attack" qui permet d'inonder de notifications un appareil sous iOS, Android ou Windows, en envoyant des paquets spéciaux via le Bluetooth Low Energy (BLE).

Un développeur nommé Simon Dankelmann vient de créer une application Android capable de reproduire cette attaque, sans avoir besoin du Flipper Zero. Autrement dit, il suffit d'un smartphone et de cette application baptisée "Bluetooth-LE-Spam" pour inonder de notifications les appareils Android et Windows à proximité. Cette application Android est présentée sur GitHub.

Cette application peut diffuser des demandes de connexion via BLE toutes les 1 seconde, ou avec un intervalle de temps plus élevé. La puissance d'émission peut également être réglée. Toutefois, les développeurs Android ont un accès limité à cette partie du système. C'est important de le préciser. Cela veut dire aussi que le Flipper Zero aura une portée plus importante, car il n'y a pas cette restriction.

Comment se protéger de cette attaque ?

Pour vous protéger contre les spam attacks sur Android et Windows, que ce soit celle initiée par cette application ou par le Flipper Zero, vous devez ajuster les paramètres du système. Sachez que par défaut, ces deux OS affichent les notifications Bluetooth.

• Android

Pour désactiver l'affichage de ces notifications sur Android, vous devez accéder aux "Paramètres", choisir "Google" dans la liste, puis vous devez cliquer sur "Appareils et partage", "Partage à proximité" et désactiver l'option "Afficher la notification".

• Windows

Si l'on prend l'exemple de Windows 11, vous devez ouvrir les paramètres, accéder à la section "Bluetooth et appareils", cliquer sur "Appareils" et désactiver l'option "Afficher les notifications pour se connecter à l'aide de Couplage rapide". Ainsi, Windows reste impassible face aux paquets diffusés par le Flipper Zero (mais aussi les appareils légitimes !).

Source

The post Comme le Flipper Zero, cette app Android peut inonder de notifications les appareils à proximité first appeared on IT-Connect.