Lors d’une récente intervention chez un client, j’ai été amené à modifier le certificat externe d’une ferme ADFS.
Cette manipulation se fait normalement très simplement via l’import du certificat dans le magasin Personnel de chaque serveur de la ferme puis l’exécution de la commande Set-AdfsSslCertificate -Thumbprint XXXXXXXXXXXXXXXXXXXX mais j’ai cette fois ci rencontré un message d’erreur bizarre :

PS0317: One or more of AD FS servers returned errors during execution of command 'Set-AdfsSslCertificate'. Error information: PS0316: AD FS Server:
'localhost', Error: 'Connecting to remote server localhost failed with the following error message : Access is denied. For more information, see the about_Remote_Troubleshooting Help topic.'.

L’invite de commande était pourtant bien ouverte en mode administrateur, localement sur le noeud primaire de la ferme ADFS et avec un compte du domaine disposant des permissions d’administrateur local et d’administrateur ADFS.

Après quelques recherches, il s’avère que c’est la présence de ce compte dans le groupe Active Directory Protected Users qui cause ce problème, probablement parce que « localhost » n’est pas un nom DNS ni un SPN valide pour une authentification Kerberos à laquelle les membres de Protected Users sont soumis.

Il aurait été possible de sortir temporairement l’utilisateur de ce groupe mais cela aurait entrainé une dégradation temporaire de la posture de sécurité ainsi qu’une alerte auprès du SOC; la solution qui a donc finalement été retenue à été l’utilisation du compte administrateur local géré par LAPS pour exécuter cette commande, cette fois sans encombre.