En profondeur
Comment gérer les stratégies de mot de passe Active Directory dans Windows Server 2008 / R2
Alors, vous pensez savoir comment fonctionnent les stratégies de mot de passe dans Active Directory? Eh bien, vous pourriez … ou pas. Découvrez comment gérer les stratégies de mot de passe Active Directory dans Windows Server 2008 et Windows Server 2008 R2.
Certaines choses dans la vie, comme la mort et les impôts, sont garanties. Vous pensez que d'autres éléments de la vie sont garantis, ou du moins, vous pensez savoir comment ils fonctionnent, tels que les stratégies de mot de passe Active Directory. Ensuite, il y a des choses que vous voulez travailler, et quand elles arrivent, vous sentez que vous savez comment elles fonctionnent avant même de les regarder – telles que des stratégies de mot de passe affinées (FGPP). Je ne vais pas parler de décès et d'impôts, mais je vais clarifier les idées fausses concernant les stratégies de mot de passe Active Directory et les FGPP.
Avec la technologie des stratégies de mot de passe qui existe depuis plus de 10 ans, on pourrait penser que ce sujet sera infiniment clair. Cependant, compte tenu de mon exposition aux administrateurs réseau, qui ne savent toujours pas comment fonctionnent les stratégies de mot de passe Active Directory, ce n'est pas le cas.
Faits basiques
Ces faits de base sont les mêmes dans les domaines Active Directory depuis Windows 2000, publié il y a 11 ans:
- La stratégie de domaine par défaut définit les stratégies de mot de passe par défaut pour chaque utilisateur d'Active Directory et pour chaque utilisateur situé dans le gestionnaire de compte de sécurité (SAM) local sur chaque serveur et poste de travail qui rejoint Active Directory.
- Il ne peut exister qu'une seule stratégie de mot de passe pour les utilisateurs de domaine dans un domaine Active Directory Windows 2000 et Windows Server 2003.
- Il n'est pas possible de configurer la stratégie de mot de passe pour une unité d'organisation d'utilisateurs différente de celle des autres utilisateurs du domaine ou d'une autre unité d'organisation.
- Les paramètres de stratégie de mot de passe ne peuvent pas être étendus pour inclure des paramètres supplémentaires sans utiliser un outil tiers ni développer une solution de stratégie de mot de passe personnalisée.
- Il n'est pas possible de configurer une stratégie de mot de passe pour le domaine racine et de la "transférer" vers les autres domaines de l'arborescence Active Directory.
Je vois encore des administrateurs et des organisations qui tentent d’expliquer qu’ils ont un environnement différent de ce qui est possible. Cela dit, j'encourage tous les administrateurs et les organisations qui pensent avoir une configuration différente pour les mots de passe à "tester" ce qu'ils croient. Sauf si vous avez un produit tiers en place ou des domaines en mode natif Windows Server 2008, vous ne pouvez avoir que ce que j'ai détaillé ici.
Paramètres possibles dans la politique de mot de passe
Lorsque vous modifiez un objet de stratégie de groupe (GPO) standard à partir de la console de gestion des stratégies de groupe (GPMC), vous retrouvez les mêmes options pour la stratégie de compte. Pour rechercher les paramètres de stratégie de mot de passe qui se trouvent sous la stratégie de compte, ouvrez le chemin suivant des dossiers de stratégie: Configuration ordinateur Stratégies Paramètres Windows Paramètres de sécurité Stratégies de compte. Une fois sur place, vous trouverez trois dossiers de stratégie: stratégie de mot de passe, stratégie de verrouillage de compte et stratégie Kerberos.
Pour chacun de ces dossiers et les paramètres qu'ils contiennent, il existe un domaine par défaut dans les domaines nouvellement installés de Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2. Les paramètres par défaut sont indiqués dans le tableau 1.
Tableau 1. Valeurs par défaut des paramètres de stratégie de compte.
|
Limitations de la stratégie de mot de passe pour les utilisateurs du domaine
Pour vous assurer de comprendre ce que je veux dire par utilisateurs du domaine, définissons l'emplacement de ces utilisateurs. Les utilisateurs de domaine sont les utilisateurs créés et stockés dans la base de données Active Directory. Cela signifie que tous les utilisateurs stockés sur vos contrôleurs de domaine (DC) relèvent de cette définition. Un moyen simple de voir qui cela implique consiste à ouvrir ADUC (Active Directory Users and Computers) et à rechercher tous les utilisateurs de ce domaine. Tous les utilisateurs qui apparaissent dans cette recherche entrent dans cette étendue.
Le seul moyen de contrôler la stratégie de mot de passe pour les utilisateurs du domaine consiste à configurer la stratégie de compte susmentionnée dans un objet de stratégie de groupe lié au domaine. C'est le seul moyen par défaut! Oui, il est vrai que l'objet de stratégie de groupe contenant les paramètres de stratégie de mot de passe par défaut est la stratégie de domaine par défaut, mais il ne s'agit que du paramètre par défaut. Vous pouvez facilement créer un nouvel objet de stratégie de groupe, configurer les paramètres de stratégie de compte à votre guise et vous assurer que cet objet de stratégie de groupe a la priorité la plus élevée dans la GPMC. Le résultat sera que ce nouvel objet de stratégie de groupe contrôlera les paramètres de stratégie de compte pour tous les utilisateurs du domaine.
Stratégies de mot de passe par défaut
Lorsque vous installez un nouveau domaine Active Directory dans Windows Server 2008 ou Windows Server 2008 R2, ou mettez à niveau un domaine Windows 2000 ou Windows Server 2003 avec des DC Windows Server 2008 ou Windows Server 2008 R2, vous pouvez configurer le domaine pour qu'il se trouve sur le serveur Windows. Niveau fonctionnel du domaine Server 2008. À ce niveau fonctionnel, vous disposez de davantage de fonctionnalités pour les configurations au sein du domaine, mais cela ne signifie pas que le comportement par défaut change. C'est le cas des stratégies de compte pour les utilisateurs du domaine.
Lorsqu'un domaine Active Directory de base est exécuté au niveau fonctionnel du domaine Windows Server 2008, les stratégies de compte de tous les utilisateurs du domaine se comportent exactement de la même manière. Un domaine Active Directory Windows Server 2008 ou Windows Server 2008 R2, sans FGPP implémenté, présente les caractéristiques suivantes pour les mots de passe affectant les utilisateurs du domaine:
- La stratégie de domaine par défaut définit les stratégies de mot de passe par défaut pour chaque utilisateur dans Active Directory et chaque utilisateur situé dans le SAM local sur chaque serveur et poste de travail qui se joint à Active Directory.
- Il ne peut exister qu'une seule stratégie de mot de passe pour les utilisateurs de domaine utilisant la stratégie de groupe.
- Il n'est pas possible de configurer la stratégie de mot de passe dans un objet de stratégie de groupe lié à une unité d'organisation pour affecter les utilisateurs de l'unité d'organisation différemment des autres utilisateurs du domaine ou d'une autre unité d'organisation.
- Les paramètres de stratégie de mot de passe ne peuvent pas être étendus pour inclure des paramètres supplémentaires sans utiliser un outil tiers ni développer une solution de stratégie de mot de passe personnalisée.
- Il n'est pas possible de configurer une stratégie de mot de passe pour le domaine racine et de la "transférer" vers les autres domaines de l'arborescence Active Directory.
Notez que la liste à puces ici est très similaire à la liste qui figurait au début de cet article. La raison en est que la stratégie de compte et la stratégie de mot de passe, même pour les domaines Windows Server 2008 R2, se comportent exactement de la même manière que les domaines Windows 2000 et 2003 précédents par défaut.
FGPP
La section précédente indiquait clairement que le comportement par défaut des stratégies de compte dans un domaine Windows Server 2008 et Windows Server 2008 R2 était exactement le même que dans tout autre domaine Active Directory le précédant. La différence survient lorsque le domaine Active Directory contient uniquement des DC Windows Server 2008 ou Windows Server 2008 R2 et qu'il est déplacé vers le niveau de fonctionnalité du domaine Windows Server 2008. Lorsque cela se produit, cela ouvre la porte aux FGPP. Encore une fois, pour réitérer, sans configuration de FGPP, tout domaine Windows (y compris les domaines Windows Server 2008 R2) agit de la même manière qu’il l’a toujours fait.
La raison pour laquelle vous souhaitez configurer les FGPP est d'autoriser plusieurs stratégies de mot de passe dans le même domaine Active Directory. Oui c'est correct. Le même domaine Active Directory peut avoir plusieurs stratégies de mot de passe. Le résultat pourrait être le suivant:
- Les employés informatiques ont une limite minimale de 20 caractères.
- Les employés des RH et des finances ont une limite minimale de 15 caractères.
- Les employés standard ont une limite minimale de 10 caractères.
Pour configurer les FGPP, vous n'utiliserez pas de stratégie de groupe. Les FGPP n'utilisent pas de stratégie de groupe. Au lieu de cela, la mise en œuvre des FGPP est effectuée en modifiant la base de données Active Directory. La base de données est modifiée en ajoutant un ou plusieurs objets Active Directory supplémentaires, appelés objets PSO (Password Settings Objects). Cela peut sembler étrange, et je dois admettre que c'est le cas. Si vous décidez d'implémenter des FGPP, vous aurez un mélange de paramètres de stratégie de compte, via des GPO et des FGPP, dans votre environnement.
Pour terminer la configuration de vos FGPP, vous devez suivre les étapes suivantes:
- Lancez ADSIEDIT.MSC sur votre contrôleur de domaine.
- Sélectionnez l'option de menu Affichage de la barre d'outils, puis cliquez sur l'option Se connecter à.
- Dans la boîte de dialogue Paramètres de connexion, cliquez sur le bouton OK (voir Figure 1).
- Dans ADSIEDIT, développez la vue de votre domaine jusqu'à CN = System afin que vous puissiez voir le contenu disponible sous ce nœud.
- Cliquez avec le bouton droit sur le conteneur CN = Password Settings.
- Sélectionnez l'option Créer | Objet.
- Remplissez les valeurs pour chaque entrée; Le tableau 2 est un guide.
[Click on image for larger view.] |
Figure 1. Options de connexion ADSIEDIT. |
Tableau 2. FGPP / PSO pour créer un nouvel objet.
|
Commentaires
Laisser un commentaire