Serveur d'impression

Comment gérer les stratégies de mot de passe Active Directory dans Windows Server 2008 / R2 – Redmondmag.com – Bien choisir son serveur d impression

Par Titanfall , le 4 mai 2019 - 12 minutes de lecture

En profondeur

Comment gérer les stratégies de mot de passe Active Directory dans Windows Server 2008 / R2

Alors, vous pensez savoir comment fonctionnent les stratégies de mot de passe dans Active Directory? Eh bien, vous pourriez … ou pas. Découvrez comment gérer les stratégies de mot de passe Active Directory dans Windows Server 2008 et Windows Server 2008 R2.

Certaines choses dans la vie, comme la mort et les impôts, sont garanties. Vous pensez que d'autres éléments de la vie sont garantis, ou du moins, vous pensez savoir comment ils fonctionnent, tels que les stratégies de mot de passe Active Directory. Ensuite, il y a des choses que vous voulez travailler, et quand elles arrivent, vous sentez que vous savez comment elles fonctionnent avant même de les regarder – telles que des stratégies de mot de passe affinées (FGPP). Je ne vais pas parler de décès et d'impôts, mais je vais clarifier les idées fausses concernant les stratégies de mot de passe Active Directory et les FGPP.

Avec la technologie des stratégies de mot de passe qui existe depuis plus de 10 ans, on pourrait penser que ce sujet sera infiniment clair. Cependant, compte tenu de mon exposition aux administrateurs réseau, qui ne savent toujours pas comment fonctionnent les stratégies de mot de passe Active Directory, ce n'est pas le cas.

Faits basiques
Ces faits de base sont les mêmes dans les domaines Active Directory depuis Windows 2000, publié il y a 11 ans:

  • La stratégie de domaine par défaut définit les stratégies de mot de passe par défaut pour chaque utilisateur d'Active Directory et pour chaque utilisateur situé dans le gestionnaire de compte de sécurité (SAM) local sur chaque serveur et poste de travail qui rejoint Active Directory.
  • Il ne peut exister qu'une seule stratégie de mot de passe pour les utilisateurs de domaine dans un domaine Active Directory Windows 2000 et Windows Server 2003.
  • Il n'est pas possible de configurer la stratégie de mot de passe pour une unité d'organisation d'utilisateurs différente de celle des autres utilisateurs du domaine ou d'une autre unité d'organisation.
  • Les paramètres de stratégie de mot de passe ne peuvent pas être étendus pour inclure des paramètres supplémentaires sans utiliser un outil tiers ni développer une solution de stratégie de mot de passe personnalisée.
  • Il n'est pas possible de configurer une stratégie de mot de passe pour le domaine racine et de la "transférer" vers les autres domaines de l'arborescence Active Directory.

Je vois encore des administrateurs et des organisations qui tentent d’expliquer qu’ils ont un environnement différent de ce qui est possible. Cela dit, j'encourage tous les administrateurs et les organisations qui pensent avoir une configuration différente pour les mots de passe à "tester" ce qu'ils croient. Sauf si vous avez un produit tiers en place ou des domaines en mode natif Windows Server 2008, vous ne pouvez avoir que ce que j'ai détaillé ici.

Paramètres possibles dans la politique de mot de passe
Lorsque vous modifiez un objet de stratégie de groupe (GPO) standard à partir de la console de gestion des stratégies de groupe (GPMC), vous retrouvez les mêmes options pour la stratégie de compte. Pour rechercher les paramètres de stratégie de mot de passe qui se trouvent sous la stratégie de compte, ouvrez le chemin suivant des dossiers de stratégie: Configuration ordinateur Stratégies Paramètres Windows Paramètres de sécurité Stratégies de compte. Une fois sur place, vous trouverez trois dossiers de stratégie: stratégie de mot de passe, stratégie de verrouillage de compte et stratégie Kerberos.

Pour chacun de ces dossiers et les paramètres qu'ils contiennent, il existe un domaine par défaut dans les domaines nouvellement installés de Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2. Les paramètres par défaut sont indiqués dans le tableau 1.

Définition de la politique Valeur de réglage par défaut
Appliquer l'historique des mots de passe 24 jours
Âge maximum du mot de passe 42 jours
Âge minimum du mot de passe Un jour
Longueur minimale du mot de passe 7
Le mot de passe doit répondre aux exigences de complexité Activée
Stocker les mots de passe en utilisant un cryptage réversible désactivé
Durée de verrouillage du compte Non défini
Seuil de verrouillage de compte 0
Réinitialiser le compteur de verrouillage du compte après Non défini
Appliquer les restrictions de connexion des utilisateurs Activée
Durée de vie maximale pour le ticket de service 600 minutes
Durée de vie maximale pour le ticket utilisateur 10 jours
Durée de vie maximale pour le renouvellement du ticket utilisateur 7 heures
Tolérance maximale pour la synchronisation d'horloge 5 minutes

Tableau 1. Valeurs par défaut des paramètres de stratégie de compte.


Limitations de la stratégie de mot de passe pour les utilisateurs du domaine
Pour vous assurer de comprendre ce que je veux dire par utilisateurs du domaine, définissons l'emplacement de ces utilisateurs. Les utilisateurs de domaine sont les utilisateurs créés et stockés dans la base de données Active Directory. Cela signifie que tous les utilisateurs stockés sur vos contrôleurs de domaine (DC) relèvent de cette définition. Un moyen simple de voir qui cela implique consiste à ouvrir ADUC (Active Directory Users and Computers) et à rechercher tous les utilisateurs de ce domaine. Tous les utilisateurs qui apparaissent dans cette recherche entrent dans cette étendue.

Le seul moyen de contrôler la stratégie de mot de passe pour les utilisateurs du domaine consiste à configurer la stratégie de compte susmentionnée dans un objet de stratégie de groupe lié au domaine. C'est le seul moyen par défaut! Oui, il est vrai que l'objet de stratégie de groupe contenant les paramètres de stratégie de mot de passe par défaut est la stratégie de domaine par défaut, mais il ne s'agit que du paramètre par défaut. Vous pouvez facilement créer un nouvel objet de stratégie de groupe, configurer les paramètres de stratégie de compte à votre guise et vous assurer que cet objet de stratégie de groupe a la priorité la plus élevée dans la GPMC. Le résultat sera que ce nouvel objet de stratégie de groupe contrôlera les paramètres de stratégie de compte pour tous les utilisateurs du domaine.

Stratégies de mot de passe par défaut
Lorsque vous installez un nouveau domaine Active Directory dans Windows Server 2008 ou Windows Server 2008 R2, ou mettez à niveau un domaine Windows 2000 ou Windows Server 2003 avec des DC Windows Server 2008 ou Windows Server 2008 R2, vous pouvez configurer le domaine pour qu'il se trouve sur le serveur Windows. Niveau fonctionnel du domaine Server 2008. À ce niveau fonctionnel, vous disposez de davantage de fonctionnalités pour les configurations au sein du domaine, mais cela ne signifie pas que le comportement par défaut change. C'est le cas des stratégies de compte pour les utilisateurs du domaine.

Lorsqu'un domaine Active Directory de base est exécuté au niveau fonctionnel du domaine Windows Server 2008, les stratégies de compte de tous les utilisateurs du domaine se comportent exactement de la même manière. Un domaine Active Directory Windows Server 2008 ou Windows Server 2008 R2, sans FGPP implémenté, présente les caractéristiques suivantes pour les mots de passe affectant les utilisateurs du domaine:

  • La stratégie de domaine par défaut définit les stratégies de mot de passe par défaut pour chaque utilisateur dans Active Directory et chaque utilisateur situé dans le SAM local sur chaque serveur et poste de travail qui se joint à Active Directory.
  • Il ne peut exister qu'une seule stratégie de mot de passe pour les utilisateurs de domaine utilisant la stratégie de groupe.
  • Il n'est pas possible de configurer la stratégie de mot de passe dans un objet de stratégie de groupe lié à une unité d'organisation pour affecter les utilisateurs de l'unité d'organisation différemment des autres utilisateurs du domaine ou d'une autre unité d'organisation.
  • Les paramètres de stratégie de mot de passe ne peuvent pas être étendus pour inclure des paramètres supplémentaires sans utiliser un outil tiers ni développer une solution de stratégie de mot de passe personnalisée.
  • Il n'est pas possible de configurer une stratégie de mot de passe pour le domaine racine et de la "transférer" vers les autres domaines de l'arborescence Active Directory.

Notez que la liste à puces ici est très similaire à la liste qui figurait au début de cet article. La raison en est que la stratégie de compte et la stratégie de mot de passe, même pour les domaines Windows Server 2008 R2, se comportent exactement de la même manière que les domaines Windows 2000 et 2003 précédents par défaut.

FGPP
La section précédente indiquait clairement que le comportement par défaut des stratégies de compte dans un domaine Windows Server 2008 et Windows Server 2008 R2 était exactement le même que dans tout autre domaine Active Directory le précédant. La différence survient lorsque le domaine Active Directory contient uniquement des DC Windows Server 2008 ou Windows Server 2008 R2 et qu'il est déplacé vers le niveau de fonctionnalité du domaine Windows Server 2008. Lorsque cela se produit, cela ouvre la porte aux FGPP. Encore une fois, pour réitérer, sans configuration de FGPP, tout domaine Windows (y compris les domaines Windows Server 2008 R2) agit de la même manière qu’il l’a toujours fait.

La raison pour laquelle vous souhaitez configurer les FGPP est d'autoriser plusieurs stratégies de mot de passe dans le même domaine Active Directory. Oui c'est correct. Le même domaine Active Directory peut avoir plusieurs stratégies de mot de passe. Le résultat pourrait être le suivant:

  • Les employés informatiques ont une limite minimale de 20 caractères.
  • Les employés des RH et des finances ont une limite minimale de 15 caractères.
  • Les employés standard ont une limite minimale de 10 caractères.

Pour configurer les FGPP, vous n'utiliserez pas de stratégie de groupe. Les FGPP n'utilisent pas de stratégie de groupe. Au lieu de cela, la mise en œuvre des FGPP est effectuée en modifiant la base de données Active Directory. La base de données est modifiée en ajoutant un ou plusieurs objets Active Directory supplémentaires, appelés objets PSO (Password Settings Objects). Cela peut sembler étrange, et je dois admettre que c'est le cas. Si vous décidez d'implémenter des FGPP, vous aurez un mélange de paramètres de stratégie de compte, via des GPO et des FGPP, dans votre environnement.

Pour terminer la configuration de vos FGPP, vous devez suivre les étapes suivantes:

  1. Lancez ADSIEDIT.MSC sur votre contrôleur de domaine.
  2. Sélectionnez l'option de menu Affichage de la barre d'outils, puis cliquez sur l'option Se connecter à.
  3. Dans la boîte de dialogue Paramètres de connexion, cliquez sur le bouton OK (voir Figure 1).
  4. Dans ADSIEDIT, développez la vue de votre domaine jusqu'à CN = System afin que vous puissiez voir le contenu disponible sous ce nœud.
  5. Cliquez avec le bouton droit sur le conteneur CN = Password Settings.
  6. Sélectionnez l'option Créer | Objet.
  7. Remplissez les valeurs pour chaque entrée; Le tableau 2 est un guide.

[Click on image for larger view.]
Figure 1. Options de connexion ADSIEDIT.

Attribut Valeur Explication
Cn HRPasswordPolicy Nom de l'objet de stratégie de mot de passe dans Active Directory. Devrait être nommé d'après le groupe d'utilisateurs concerné.
msDS-PasswordSettingsPrecedence dix Un numéro de référence, comparé à d'autres paramètres de priorité pour d'autres FGPP, qui résoudra un conflit si l'utilisateur est membre de deux groupes et que chaque groupe dispose d'un FGPP. Les plus petits nombres ont une priorité plus élevée.
msDS-PasswordReversibleEncryptionEnabled Faux Valeur booléenne permettant de définir si les mots de passe doivent être stockés avec un cryptage réversible.
msDS-PasswordHistoryLength 24 Nombre de mots de passe uniques que l'utilisateur doit saisir avant de pouvoir réutiliser un mot de passe.
msDS-PasswordComplexityEnabled Vrai Définit si la complexité du mot de passe doit être activée ou non.
msDS-MinimumPasswordLength 15 Nombre minimum de caractères dans chaque mot de passe utilisateur.
msDS-MinimumPasswordAge -864000000000 Âge minimum du mot de passe (un jour).
msDS-MaximumPasswordAge -36288000000000 Âge maximum du mot de passe (42 jours).
msDS-LockoutThreshold 30 Nombre de tentatives de mot de passe ayant échoué avant que l'utilisateur ne soit verrouillé.
msDS-LockoutObservationWindow -18000000000 Temps écoulé pour réinitialiser le compteur de verrouillage du mot de passe au maximum (dans ce cas, 30 minutes).
msDS-LockoutDuration -18000000000 Si le nombre de mots de passe incorrects est atteint dans la fenêtre d’observation, cela définit la durée pendant laquelle le compte doit rester verrouillé (30 minutes).

Tableau 2. FGPP / PSO pour créer un nouvel objet.


Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.