Avec l'attribut userWorkstations tout simplement.

Pour déployer un "hardened AD" qui fait de beaux score dans PingCastle et Purple Knight.

Pour lecture ultérieure.

Pour faire du hardening sur un AD.

via https://www.it-connect.fr/securite-active-directory-comment-atteindre-un-score-de-0-100-dans-pingcastle/

"New experience (Safe, Easy, Fast) given an overview of Active Directory environment from a beautiful interactive HTML report."

LAPS va se mettre à jour pour s'intégrer avec Azure AD.
De manière générale c'est une solution qui marche out of the box et qui est un quick win pour sécuriser un parc de machines.

Concernant la vulnérabilité "Broken owner" de Active Directory.

Titre.

Un équivalent de PingCastle: https://liens.strak.ch/shaare/ERKhIw

via https://www.it-connect.fr/comment-auditer-lactive-directory-avec-purple-knight/

Script powershell pour auditer la délégation de contrôle sur un AD (pas testé).

via https://www.it-connect.fr/la-delegation-de-controle-active-directory/

Si une commande ktpass échoue, erreur "Password set failed! 0x00000035", c'est probablement que le mot de passé généré aléatoirement (paramètre rndpass) n'est pas assez fort selon les polices de l'AD.

Dans ce cas, à la place de "rndpass", on entre un mot de passe accepté par l'AD. C'est tout !

Je ne connaissais pas les gMSA (group Managed Service Account).

On peut utiliser certaines fonctionnalités d'Azure mais sur un AD on-prem, bien.

Quand c'est pas Exchange, c'est ADFS qui ramasse... pas de patch cette fois, juste des best practice à appliquer.

TL;DR.

Coudé.

Bon article qui explique step-by-step comment anticiper ce prochain changement (pas testé perso).

Perso je fais ça à chaque fois que c'est possible.

Coudé.

Vous savez quoi faire.

"AaronLocker is designed to make the creation and maintenance of robust, strict, application control
for AppLocker and Windows Defender Application Control (WDAC) as easy and practical as possible."