Comme toute migration ou changement de domaine d’un poste de travail cette opération doit rester la plus transparente possible pour l’utilisateur final.
Cet article aborde la migration d’un poste connecté au réseau d’entreprise par un VPN.
Dans cette situation ce n’est pas la migration du poste qui pose une difficulté, mais l’impossibilité pour l’utilisateur de pouvoir ouvrir une session sur son poste.
Les informations d’authentification du compte (en cache) du domaine Active Directory qu’on peut utiliser même si le domaine n’est pas disponible, ce qu’on décrit comme le mode hors connexion, ne sont plus disponibles après le changement du domaine.
Par défaut Windows 7 cache jusqu’à dix comptes.
Le cache est enregistré dans la ruche suivante : HKEY_LOCAL_MACHINE\SECURITY\Cache.
Pour accéder à cette ruche il faut utiliser un outil tel que PsExec de SysInternal afin de débloquer l’accès.
La ligne de commande est la suivante : psexec -i -d -s c:\windows\regedit.exe
Après le changement de domaine les données mentionnées dans les valeurs NL$ seront supprimées (remises à zéro).
L’utilisateur ne peut donc plus ouvrir de session !
Pour ma part j’ai eu à traiter des utilisateurs travaillant dans des coins très reculés.J’ai eu part exemple le cas d’un VIP travaillant en Australie à plus de 3000 kms d’une agence disposant d’un réseau connecté à l’entreprise. La marge de manœuvre est quasiment nulle…
Pour contourner ce problème je propose deux techniques.
La première technique consiste à démarrer la connexion VPN donc l’authentification avant l’authentification Windows.
Il faut donc avant la migration configurer le client VPN afin qu’il se lance avant l’authentification Windows.
Sur les clients VPN récents de CheckPoint l’option Enable Secure Domain Logon permet ce mécanisme.
Vous verrez un icône supplémentaire dans la fenêtre d’authentification Windows.
Pour information cette option pour le client CheckPoint sur Windows XP n’est pas fonctionnelle.
La seconde technique si l’on ne souhaite pas ou si l’on ne peut pas démarrer la connexion VPN avant l’authentification Windows, consiste à ouvrir une session locale puis à lancer une application qu’on exécute en tant que avec son compte de domaine. Bien entendu la connexion VPN doit être démarrée.
En résumé :
· Création d’un compte local (admin si possible, bien utile pour se sortir de situation délicate) avant la migration.
· Après migration, authentification avec ce compte local.
· Lancer le VPN.
· Lancer une application. Exécuter en tant que (ex Notepad) avec son compte de domaine. (Pour information le RunAS ne fonctionne pas sous XP).
· Fermer la session et ouvrir une session avec son compte de domaine Active Directory.
Le VPN n’étant pas démarré, les informations mis en cache lors du lancement de Notepad exécuté « En tant que » précédemment seront utilisées.
La migration sous un VPN étant très délicate il faut bien entendu bien valider son processus avant de passer au concret.
Je conseille fortement quel que soit le scénario, de créer un compte local admin et de faire installer un outil tel que Team Viewer qui s’affranchit de l’adresse IP pour l’aide à distance.