TL;DR.

Coudé.

Bon article qui explique step-by-step comment anticiper ce prochain changement (pas testé perso).

Perso je fais ça à chaque fois que c'est possible.

Coudé.

Vous savez quoi faire.

"AaronLocker is designed to make the creation and maintenance of robust, strict, application control
for AppLocker and Windows Defender Application Control (WDAC) as easy and practical as possible."

Get-ADUser -Identity $CopyFromThisUser -Properties memberof | Select-Object -ExpandProperty memberof | Add-ADGroupMember -Members $CopymembersToThisUser

Pour la mémoire, car on ne le fait pas souvent.

"Ldp is an LDAP client that you use to view objects that are stored in AD DS along with their metadata, such as security descriptors and replication metadata."
Pour vérifier certains attributs sur des objets AD.

Je ne connaissais pas l'utilité précise du compte krbtgt, sinon qu'il était lié à Kerberos. Intéressant tuto.

PS: je n'ai pas compris l'image d’illustration de l'article... ^^"

Je ne connaissais pas l'usage du groupe "Protected Users", coudé donc.

Des outils payants destinés à mieux manager Active Directory, à tester.

La méthode 3 va vous étonner:
Restart-Computer -Force -ComputerName pc.domain.local

Pour aller plus loin avec la gestion des mots de passe sur Active Directory, qui est assez basique par défaut.

net user /domain %username%

Vous avez déjà eu un poste lié à un domaine mais qui tout à coup vous sort une "erreur de relation d'approbation" ?
La solution usuelle est de sortir puis entrer à nouveau le poste dans l'AD.

En fouillant un peu, je suis tombé sur cette policy qui régit l'âge maximal du mot de passe du compte d’ordinateur, par défaut 30 jours.
Il est bien possible que ces erreurs viennent de ce délai.

voir aussi: https://theitbros.com/fix-trust-relationship-failed-without-domain-rejoining/

Pour logger un user automatiquement, aussi dans un AD.

Voir capture.

TL;DR.