En profondeur\nComment gérer les stratégies de mot de passe Active Directory dans Windows Server 2008 / R2\nAlors, vous pensez savoir comment fonctionnent les stratégies de mot de passe dans Active Directory? Eh bien, vous pourriez … ou pas. Découvrez comment gérer les stratégies de mot de passe Active Directory dans Windows Server 2008 et Windows Server 2008 R2.
"},{"id":"text-2","type":"text","heading":"","plain_text":"Par Derek Melber\n08/03/2011","html":"Par Derek Melber\n08/03/2011
"},{"id":"text-3","type":"text","heading":"","plain_text":"Certaines choses dans la vie, comme la mort et les impôts, sont garanties. Vous pensez que d'autres éléments de la vie sont garantis, ou du moins, vous pensez savoir comment ils fonctionnent, tels que les stratégies de mot de passe Active Directory. Ensuite, il y a des choses que vous voulez travailler, et quand elles arrivent, vous sentez que vous savez comment elles fonctionnent avant même de les regarder – telles que des stratégies de mot de passe affinées (FGPP). Je ne vais pas parler de décès et d'impôts, mais je vais clarifier les idées fausses concernant les stratégies de mot de passe Active Directory et les FGPP.","html":"Certaines choses dans la vie, comme la mort et les impôts, sont garanties. Vous pensez que d'autres éléments de la vie sont garantis, ou du moins, vous pensez savoir comment ils fonctionnent, tels que les stratégies de mot de passe Active Directory. Ensuite, il y a des choses que vous voulez travailler, et quand elles arrivent, vous sentez que vous savez comment elles fonctionnent avant même de les regarder – telles que des stratégies de mot de passe affinées (FGPP). Je ne vais pas parler de décès et d'impôts, mais je vais clarifier les idées fausses concernant les stratégies de mot de passe Active Directory et les FGPP.
"},{"id":"text-4","type":"text","heading":"","plain_text":"Avec la technologie des stratégies de mot de passe qui existe depuis plus de 10 ans, on pourrait penser que ce sujet sera infiniment clair. Cependant, compte tenu de mon exposition aux administrateurs réseau, qui ne savent toujours pas comment fonctionnent les stratégies de mot de passe Active Directory, ce n'est pas le cas.","html":"Avec la technologie des stratégies de mot de passe qui existe depuis plus de 10 ans, on pourrait penser que ce sujet sera infiniment clair. Cependant, compte tenu de mon exposition aux administrateurs réseau, qui ne savent toujours pas comment fonctionnent les stratégies de mot de passe Active Directory, ce n'est pas le cas.
"},{"id":"text-5","type":"text","heading":"","plain_text":"Faits basiquesCes faits de base sont les mêmes dans les domaines Active Directory depuis Windows 2000, publié il y a 11 ans:","html":"Faits basiquesCes faits de base sont les mêmes dans les domaines Active Directory depuis Windows 2000, publié il y a 11 ans:
"},{"id":"text-6","type":"text","heading":"","plain_text":"La stratégie de domaine par défaut définit les stratégies de mot de passe par défaut pour chaque utilisateur d'Active Directory et pour chaque utilisateur situé dans le gestionnaire de compte de sécurité (SAM) local sur chaque serveur et poste de travail qui rejoint Active Directory.","html":"La stratégie de domaine par défaut définit les stratégies de mot de passe par défaut pour chaque utilisateur d'Active Directory et pour chaque utilisateur situé dans le gestionnaire de compte de sécurité (SAM) local sur chaque serveur et poste de travail qui rejoint Active Directory.
"},{"id":"text-7","type":"text","heading":"","plain_text":"Il ne peut exister qu'une seule stratégie de mot de passe pour les utilisateurs de domaine dans un domaine Active Directory Windows 2000 et Windows Server 2003.","html":"Il ne peut exister qu'une seule stratégie de mot de passe pour les utilisateurs de domaine dans un domaine Active Directory Windows 2000 et Windows Server 2003.
"},{"id":"text-8","type":"text","heading":"","plain_text":"Il n'est pas possible de configurer la stratégie de mot de passe pour une unité d'organisation d'utilisateurs différente de celle des autres utilisateurs du domaine ou d'une autre unité d'organisation.","html":"Il n'est pas possible de configurer la stratégie de mot de passe pour une unité d'organisation d'utilisateurs différente de celle des autres utilisateurs du domaine ou d'une autre unité d'organisation.
"},{"id":"text-9","type":"text","heading":"","plain_text":"Les paramètres de stratégie de mot de passe ne peuvent pas être étendus pour inclure des paramètres supplémentaires sans utiliser un outil tiers ni développer une solution de stratégie de mot de passe personnalisée.","html":"Les paramètres de stratégie de mot de passe ne peuvent pas être étendus pour inclure des paramètres supplémentaires sans utiliser un outil tiers ni développer une solution de stratégie de mot de passe personnalisée.
"},{"id":"text-10","type":"text","heading":"","plain_text":"Il n'est pas possible de configurer une stratégie de mot de passe pour le domaine racine et de la "transférer" vers les autres domaines de l'arborescence Active Directory.","html":"Il n'est pas possible de configurer une stratégie de mot de passe pour le domaine racine et de la "transférer" vers les autres domaines de l'arborescence Active Directory.
"},{"id":"text-11","type":"text","heading":"","plain_text":"Je vois encore des administrateurs et des organisations qui tentent d’expliquer qu’ils ont un environnement différent de ce qui est possible. Cela dit, j'encourage tous les administrateurs et les organisations qui pensent avoir une configuration différente pour les mots de passe à "tester" ce qu'ils croient. Sauf si vous avez un produit tiers en place ou des domaines en mode natif Windows Server 2008, vous ne pouvez avoir que ce que j'ai détaillé ici.","html":"Je vois encore des administrateurs et des organisations qui tentent d’expliquer qu’ils ont un environnement différent de ce qui est possible. Cela dit, j'encourage tous les administrateurs et les organisations qui pensent avoir une configuration différente pour les mots de passe à "tester" ce qu'ils croient. Sauf si vous avez un produit tiers en place ou des domaines en mode natif Windows Server 2008, vous ne pouvez avoir que ce que j'ai détaillé ici.
"},{"id":"text-12","type":"text","heading":"","plain_text":"Paramètres possibles dans la politique de mot de passeLorsque vous modifiez un objet de stratégie de groupe (GPO) standard à partir de la console de gestion des stratégies de groupe (GPMC), vous retrouvez les mêmes options pour la stratégie de compte. Pour rechercher les paramètres de stratégie de mot de passe qui se trouvent sous la stratégie de compte, ouvrez le chemin suivant des dossiers de stratégie: Configuration ordinateur Stratégies Paramètres Windows Paramètres de sécurité Stratégies de compte. Une fois sur place, vous trouverez trois dossiers de stratégie: stratégie de mot de passe, stratégie de verrouillage de compte et stratégie Kerberos.","html":"Paramètres possibles dans la politique de mot de passeLorsque vous modifiez un objet de stratégie de groupe (GPO) standard à partir de la console de gestion des stratégies de groupe (GPMC), vous retrouvez les mêmes options pour la stratégie de compte. Pour rechercher les paramètres de stratégie de mot de passe qui se trouvent sous la stratégie de compte, ouvrez le chemin suivant des dossiers de stratégie: Configuration ordinateur Stratégies Paramètres Windows Paramètres de sécurité Stratégies de compte. Une fois sur place, vous trouverez trois dossiers de stratégie: stratégie de mot de passe, stratégie de verrouillage de compte et stratégie Kerberos.
"},{"id":"text-13","type":"text","heading":"","plain_text":"Pour chacun de ces dossiers et les paramètres qu'ils contiennent, il existe un domaine par défaut dans les domaines nouvellement installés de Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2. Les paramètres par défaut sont indiqués dans le tableau 1.","html":"Pour chacun de ces dossiers et les paramètres qu'ils contiennent, il existe un domaine par défaut dans les domaines nouvellement installés de Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2. Les paramètres par défaut sont indiqués dans le tableau 1.
"},{"id":"text-14","type":"text","heading":"","plain_text":"Définition de la politique\nValeur de réglage par défaut","html":"Définition de la politique\nValeur de réglage par défaut
"},{"id":"text-15","type":"text","heading":"","plain_text":"Appliquer l'historique des mots de passe\n24 jours","html":"Appliquer l'historique des mots de passe\n24 jours
"},{"id":"text-16","type":"text","heading":"","plain_text":"Âge maximum du mot de passe\n42 jours","html":"Âge maximum du mot de passe\n42 jours
"},{"id":"text-17","type":"text","heading":"","plain_text":"Âge minimum du mot de passe\nUn jour","html":"Âge minimum du mot de passe\nUn jour
"},{"id":"text-18","type":"text","heading":"","plain_text":"Longueur minimale du mot de passe\n7","html":"Longueur minimale du mot de passe\n7
"},{"id":"text-19","type":"text","heading":"","plain_text":"Le mot de passe doit répondre aux exigences de complexité\nActivée","html":"Le mot de passe doit répondre aux exigences de complexité\nActivée
"},{"id":"text-20","type":"text","heading":"","plain_text":"Stocker les mots de passe en utilisant un cryptage réversible\ndésactivé","html":"Stocker les mots de passe en utilisant un cryptage réversible\ndésactivé
"},{"id":"text-21","type":"text","heading":"","plain_text":"Durée de verrouillage du compte\nNon défini","html":"Durée de verrouillage du compte\nNon défini
"},{"id":"text-22","type":"text","heading":"","plain_text":"Seuil de verrouillage de compte\n0","html":"Seuil de verrouillage de compte\n0
"},{"id":"text-23","type":"text","heading":"","plain_text":"Réinitialiser le compteur de verrouillage du compte après\nNon défini","html":"Réinitialiser le compteur de verrouillage du compte après\nNon défini
"},{"id":"text-24","type":"text","heading":"","plain_text":"Appliquer les restrictions de connexion des utilisateurs\nActivée","html":"Appliquer les restrictions de connexion des utilisateurs\nActivée
"},{"id":"text-25","type":"text","heading":"","plain_text":"Durée de vie maximale pour le ticket de service\n600 minutes","html":"Durée de vie maximale pour le ticket de service\n600 minutes
"},{"id":"text-26","type":"text","heading":"","plain_text":"Durée de vie maximale pour le ticket utilisateur\n10 jours","html":"Durée de vie maximale pour le ticket utilisateur\n10 jours
"},{"id":"text-27","type":"text","heading":"","plain_text":"Durée de vie maximale pour le renouvellement du ticket utilisateur\n7 heures","html":"Durée de vie maximale pour le renouvellement du ticket utilisateur\n7 heures
"},{"id":"text-28","type":"text","heading":"","plain_text":"Tolérance maximale pour la synchronisation d'horloge\n5 minutes","html":"Tolérance maximale pour la synchronisation d'horloge\n5 minutes
"},{"id":"text-29","type":"text","heading":"","plain_text":"Tableau 1. Valeurs par défaut des paramètres de stratégie de compte.","html":"Tableau 1. Valeurs par défaut des paramètres de stratégie de compte.
"},{"id":"text-30","type":"text","heading":"","plain_text":"Limitations de la stratégie de mot de passe pour les utilisateurs du domainePour vous assurer de comprendre ce que je veux dire par utilisateurs du domaine, définissons l'emplacement de ces utilisateurs. Les utilisateurs de domaine sont les utilisateurs créés et stockés dans la base de données Active Directory. Cela signifie que tous les utilisateurs stockés sur vos contrôleurs de domaine (DC) relèvent de cette définition. Un moyen simple de voir qui cela implique consiste à ouvrir ADUC (Active Directory Users and Computers) et à rechercher tous les utilisateurs de ce domaine. Tous les utilisateurs qui apparaissent dans cette recherche entrent dans cette étendue.","html":"Limitations de la stratégie de mot de passe pour les utilisateurs du domainePour vous assurer de comprendre ce que je veux dire par utilisateurs du domaine, définissons l'emplacement de ces utilisateurs. Les utilisateurs de domaine sont les utilisateurs créés et stockés dans la base de données Active Directory. Cela signifie que tous les utilisateurs stockés sur vos contrôleurs de domaine (DC) relèvent de cette définition. Un moyen simple de voir qui cela implique consiste à ouvrir ADUC (Active Directory Users and Computers) et à rechercher tous les utilisateurs de ce domaine. Tous les utilisateurs qui apparaissent dans cette recherche entrent dans cette étendue.
"},{"id":"text-31","type":"text","heading":"","plain_text":"Le seul moyen de contrôler la stratégie de mot de passe pour les utilisateurs du domaine consiste à configurer la stratégie de compte susmentionnée dans un objet de stratégie de groupe lié au domaine. C'est le seul moyen par défaut! Oui, il est vrai que l'objet de stratégie de groupe contenant les paramètres de stratégie de mot de passe par défaut est la stratégie de domaine par défaut, mais il ne s'agit que du paramètre par défaut. Vous pouvez facilement créer un nouvel objet de stratégie de groupe, configurer les paramètres de stratégie de compte à votre guise et vous assurer que cet objet de stratégie de groupe a la priorité la plus élevée dans la GPMC. Le résultat sera que ce nouvel objet de stratégie de groupe contrôlera les paramètres de stratégie de compte pour tous les utilisateurs du domaine.","html":"Le seul moyen de contrôler la stratégie de mot de passe pour les utilisateurs du domaine consiste à configurer la stratégie de compte susmentionnée dans un objet de stratégie de groupe lié au domaine. C'est le seul moyen par défaut! Oui, il est vrai que l'objet de stratégie de groupe contenant les paramètres de stratégie de mot de passe par défaut est la stratégie de domaine par défaut, mais il ne s'agit que du paramètre par défaut. Vous pouvez facilement créer un nouvel objet de stratégie de groupe, configurer les paramètres de stratégie de compte à votre guise et vous assurer que cet objet de stratégie de groupe a la priorité la plus élevée dans la GPMC. Le résultat sera que ce nouvel objet de stratégie de groupe contrôlera les paramètres de stratégie de compte pour tous les utilisateurs du domaine.
"},{"id":"text-32","type":"text","heading":"","plain_text":"Stratégies de mot de passe par défautLorsque vous installez un nouveau domaine Active Directory dans Windows Server 2008 ou Windows Server 2008 R2, ou mettez à niveau un domaine Windows 2000 ou Windows Server 2003 avec des DC Windows Server 2008 ou Windows Server 2008 R2, vous pouvez configurer le domaine pour qu'il se trouve sur le serveur Windows. Niveau fonctionnel du domaine Server 2008. À ce niveau fonctionnel, vous disposez de davantage de fonctionnalités pour les configurations au sein du domaine, mais cela ne signifie pas que le comportement par défaut change. C'est le cas des stratégies de compte pour les utilisateurs du domaine.","html":"Stratégies de mot de passe par défautLorsque vous installez un nouveau domaine Active Directory dans Windows Server 2008 ou Windows Server 2008 R2, ou mettez à niveau un domaine Windows 2000 ou Windows Server 2003 avec des DC Windows Server 2008 ou Windows Server 2008 R2, vous pouvez configurer le domaine pour qu'il se trouve sur le serveur Windows. Niveau fonctionnel du domaine Server 2008. À ce niveau fonctionnel, vous disposez de davantage de fonctionnalités pour les configurations au sein du domaine, mais cela ne signifie pas que le comportement par défaut change. C'est le cas des stratégies de compte pour les utilisateurs du domaine.
"},{"id":"text-33","type":"text","heading":"","plain_text":"Lorsqu'un domaine Active Directory de base est exécuté au niveau fonctionnel du domaine Windows Server 2008, les stratégies de compte de tous les utilisateurs du domaine se comportent exactement de la même manière. Un domaine Active Directory Windows Server 2008 ou Windows Server 2008 R2, sans FGPP implémenté, présente les caractéristiques suivantes pour les mots de passe affectant les utilisateurs du domaine:","html":"Lorsqu'un domaine Active Directory de base est exécuté au niveau fonctionnel du domaine Windows Server 2008, les stratégies de compte de tous les utilisateurs du domaine se comportent exactement de la même manière. Un domaine Active Directory Windows Server 2008 ou Windows Server 2008 R2, sans FGPP implémenté, présente les caractéristiques suivantes pour les mots de passe affectant les utilisateurs du domaine:
"},{"id":"text-34","type":"text","heading":"","plain_text":"La stratégie de domaine par défaut définit les stratégies de mot de passe par défaut pour chaque utilisateur dans Active Directory et chaque utilisateur situé dans le SAM local sur chaque serveur et poste de travail qui se joint à Active Directory.","html":"La stratégie de domaine par défaut définit les stratégies de mot de passe par défaut pour chaque utilisateur dans Active Directory et chaque utilisateur situé dans le SAM local sur chaque serveur et poste de travail qui se joint à Active Directory.
"},{"id":"text-35","type":"text","heading":"","plain_text":"Il ne peut exister qu'une seule stratégie de mot de passe pour les utilisateurs de domaine utilisant la stratégie de groupe.","html":"Il ne peut exister qu'une seule stratégie de mot de passe pour les utilisateurs de domaine utilisant la stratégie de groupe.
"},{"id":"text-36","type":"text","heading":"","plain_text":"Il n'est pas possible de configurer la stratégie de mot de passe dans un objet de stratégie de groupe lié à une unité d'organisation pour affecter les utilisateurs de l'unité d'organisation différemment des autres utilisateurs du domaine ou d'une autre unité d'organisation.","html":"Il n'est pas possible de configurer la stratégie de mot de passe dans un objet de stratégie de groupe lié à une unité d'organisation pour affecter les utilisateurs de l'unité d'organisation différemment des autres utilisateurs du domaine ou d'une autre unité d'organisation.
"},{"id":"text-37","type":"text","heading":"","plain_text":"Les paramètres de stratégie de mot de passe ne peuvent pas être étendus pour inclure des paramètres supplémentaires sans utiliser un outil tiers ni développer une solution de stratégie de mot de passe personnalisée.","html":"Les paramètres de stratégie de mot de passe ne peuvent pas être étendus pour inclure des paramètres supplémentaires sans utiliser un outil tiers ni développer une solution de stratégie de mot de passe personnalisée.
"},{"id":"text-38","type":"text","heading":"","plain_text":"Il n'est pas possible de configurer une stratégie de mot de passe pour le domaine racine et de la "transférer" vers les autres domaines de l'arborescence Active Directory.","html":"Il n'est pas possible de configurer une stratégie de mot de passe pour le domaine racine et de la "transférer" vers les autres domaines de l'arborescence Active Directory.
"},{"id":"text-39","type":"text","heading":"","plain_text":"Notez que la liste à puces ici est très similaire à la liste qui figurait au début de cet article. La raison en est que la stratégie de compte et la stratégie de mot de passe, même pour les domaines Windows Server 2008 R2, se comportent exactement de la même manière que les domaines Windows 2000 et 2003 précédents par défaut.","html":"Notez que la liste à puces ici est très similaire à la liste qui figurait au début de cet article. La raison en est que la stratégie de compte et la stratégie de mot de passe, même pour les domaines Windows Server 2008 R2, se comportent exactement de la même manière que les domaines Windows 2000 et 2003 précédents par défaut.
"},{"id":"text-40","type":"text","heading":"","plain_text":"FGPPLa section précédente indiquait clairement que le comportement par défaut des stratégies de compte dans un domaine Windows Server 2008 et Windows Server 2008 R2 était exactement le même que dans tout autre domaine Active Directory le précédant. La différence survient lorsque le domaine Active Directory contient uniquement des DC Windows Server 2008 ou Windows Server 2008 R2 et qu'il est déplacé vers le niveau de fonctionnalité du domaine Windows Server 2008. Lorsque cela se produit, cela ouvre la porte aux FGPP. Encore une fois, pour réitérer, sans configuration de FGPP, tout domaine Windows (y compris les domaines Windows Server 2008 R2) agit de la même manière qu’il l’a toujours fait.","html":"FGPPLa section précédente indiquait clairement que le comportement par défaut des stratégies de compte dans un domaine Windows Server 2008 et Windows Server 2008 R2 était exactement le même que dans tout autre domaine Active Directory le précédant. La différence survient lorsque le domaine Active Directory contient uniquement des DC Windows Server 2008 ou Windows Server 2008 R2 et qu'il est déplacé vers le niveau de fonctionnalité du domaine Windows Server 2008. Lorsque cela se produit, cela ouvre la porte aux FGPP. Encore une fois, pour réitérer, sans configuration de FGPP, tout domaine Windows (y compris les domaines Windows Server 2008 R2) agit de la même manière qu’il l’a toujours fait.
"},{"id":"text-41","type":"text","heading":"","plain_text":"La raison pour laquelle vous souhaitez configurer les FGPP est d'autoriser plusieurs stratégies de mot de passe dans le même domaine Active Directory. Oui c'est correct. Le même domaine Active Directory peut avoir plusieurs stratégies de mot de passe. Le résultat pourrait être le suivant:","html":"La raison pour laquelle vous souhaitez configurer les FGPP est d'autoriser plusieurs stratégies de mot de passe dans le même domaine Active Directory. Oui c'est correct. Le même domaine Active Directory peut avoir plusieurs stratégies de mot de passe. Le résultat pourrait être le suivant:
"},{"id":"text-42","type":"text","heading":"","plain_text":"Les employés informatiques ont une limite minimale de 20 caractères.","html":"Les employés informatiques ont une limite minimale de 20 caractères.
"},{"id":"text-43","type":"text","heading":"","plain_text":"Les employés des RH et des finances ont une limite minimale de 15 caractères.","html":"Les employés des RH et des finances ont une limite minimale de 15 caractères.
"},{"id":"text-44","type":"text","heading":"","plain_text":"Les employés standard ont une limite minimale de 10 caractères.","html":"Les employés standard ont une limite minimale de 10 caractères.
"},{"id":"text-45","type":"text","heading":"","plain_text":"Pour configurer les FGPP, vous n'utiliserez pas de stratégie de groupe. Les FGPP n'utilisent pas de stratégie de groupe. Au lieu de cela, la mise en œuvre des FGPP est effectuée en modifiant la base de données Active Directory. La base de données est modifiée en ajoutant un ou plusieurs objets Active Directory supplémentaires, appelés objets PSO (Password Settings Objects). Cela peut sembler étrange, et je dois admettre que c'est le cas. Si vous décidez d'implémenter des FGPP, vous aurez un mélange de paramètres de stratégie de compte, via des GPO et des FGPP, dans votre environnement.","html":"Pour configurer les FGPP, vous n'utiliserez pas de stratégie de groupe. Les FGPP n'utilisent pas de stratégie de groupe. Au lieu de cela, la mise en œuvre des FGPP est effectuée en modifiant la base de données Active Directory. La base de données est modifiée en ajoutant un ou plusieurs objets Active Directory supplémentaires, appelés objets PSO (Password Settings Objects). Cela peut sembler étrange, et je dois admettre que c'est le cas. Si vous décidez d'implémenter des FGPP, vous aurez un mélange de paramètres de stratégie de compte, via des GPO et des FGPP, dans votre environnement.
"},{"id":"text-46","type":"text","heading":"","plain_text":"Pour terminer la configuration de vos FGPP, vous devez suivre les étapes suivantes:","html":"Pour terminer la configuration de vos FGPP, vous devez suivre les étapes suivantes:
"},{"id":"text-47","type":"text","heading":"","plain_text":"Lancez ADSIEDIT.MSC sur votre contrôleur de domaine.","html":"Lancez ADSIEDIT.MSC sur votre contrôleur de domaine.
"},{"id":"text-48","type":"text","heading":"","plain_text":"Sélectionnez l'option de menu Affichage de la barre d'outils, puis cliquez sur l'option Se connecter à.","html":"Sélectionnez l'option de menu Affichage de la barre d'outils, puis cliquez sur l'option Se connecter à.
"},{"id":"text-49","type":"text","heading":"","plain_text":"Dans la boîte de dialogue Paramètres de connexion, cliquez sur le bouton OK (voir Figure 1).","html":"Dans la boîte de dialogue Paramètres de connexion, cliquez sur le bouton OK (voir Figure 1).
"},{"id":"text-50","type":"text","heading":"","plain_text":"Dans ADSIEDIT, développez la vue de votre domaine jusqu'à CN = System afin que vous puissiez voir le contenu disponible sous ce nœud.","html":"Dans ADSIEDIT, développez la vue de votre domaine jusqu'à CN = System afin que vous puissiez voir le contenu disponible sous ce nœud.
"},{"id":"text-51","type":"text","heading":"","plain_text":"Cliquez avec le bouton droit sur le conteneur CN = Password Settings.","html":"Cliquez avec le bouton droit sur le conteneur CN = Password Settings.
"},{"id":"text-52","type":"text","heading":"","plain_text":"Sélectionnez l'option Créer | Objet.","html":"Sélectionnez l'option Créer | Objet.
"},{"id":"text-53","type":"text","heading":"","plain_text":"Remplissez les valeurs pour chaque entrée; Le tableau 2 est un guide.","html":"Remplissez les valeurs pour chaque entrée; Le tableau 2 est un guide.
"},{"id":"text-54","type":"text","heading":"","plain_text":"[Click on image for larger view.]","html":"[Click on image for larger view.]
"},{"id":"text-55","type":"text","heading":"","plain_text":"Figure 1. Options de connexion ADSIEDIT.","html":"Figure 1. Options de connexion ADSIEDIT.
"},{"id":"text-56","type":"text","heading":"","plain_text":"Attribut\nValeur\nExplication","html":"Attribut\nValeur\nExplication
"},{"id":"text-57","type":"text","heading":"","plain_text":"Cn\nHRPasswordPolicy\nNom de l'objet de stratégie de mot de passe dans Active Directory. Devrait être nommé d'après le groupe d'utilisateurs concerné.","html":"Cn\nHRPasswordPolicy\nNom de l'objet de stratégie de mot de passe dans Active Directory. Devrait être nommé d'après le groupe d'utilisateurs concerné.
"},{"id":"text-58","type":"text","heading":"","plain_text":"msDS-PasswordSettingsPrecedence\ndix\nUn numéro de référence, comparé à d'autres paramètres de priorité pour d'autres FGPP, qui résoudra un conflit si l'utilisateur est membre de deux groupes et que chaque groupe dispose d'un FGPP. Les plus petits nombres ont une priorité plus élevée.","html":"msDS-PasswordSettingsPrecedence\ndix\nUn numéro de référence, comparé à d'autres paramètres de priorité pour d'autres FGPP, qui résoudra un conflit si l'utilisateur est membre de deux groupes et que chaque groupe dispose d'un FGPP. Les plus petits nombres ont une priorité plus élevée.
"},{"id":"text-59","type":"text","heading":"","plain_text":"msDS-PasswordReversibleEncryptionEnabled\nFaux\nValeur booléenne permettant de définir si les mots de passe doivent être stockés avec un cryptage réversible.","html":"msDS-PasswordReversibleEncryptionEnabled\nFaux\nValeur booléenne permettant de définir si les mots de passe doivent être stockés avec un cryptage réversible.
"},{"id":"text-60","type":"text","heading":"","plain_text":"msDS-PasswordHistoryLength\n24\nNombre de mots de passe uniques que l'utilisateur doit saisir avant de pouvoir réutiliser un mot de passe.","html":"msDS-PasswordHistoryLength\n24\nNombre de mots de passe uniques que l'utilisateur doit saisir avant de pouvoir réutiliser un mot de passe.
"},{"id":"text-61","type":"text","heading":"","plain_text":"msDS-PasswordComplexityEnabled\nVrai\nDéfinit si la complexité du mot de passe doit être activée ou non.","html":"msDS-PasswordComplexityEnabled\nVrai\nDéfinit si la complexité du mot de passe doit être activée ou non.
"},{"id":"text-62","type":"text","heading":"","plain_text":"msDS-MinimumPasswordLength\n15\nNombre minimum de caractères dans chaque mot de passe utilisateur.","html":"msDS-MinimumPasswordLength\n15\nNombre minimum de caractères dans chaque mot de passe utilisateur.
"},{"id":"text-63","type":"text","heading":"","plain_text":"msDS-MinimumPasswordAge\n-864000000000\nÂge minimum du mot de passe (un jour).","html":"msDS-MinimumPasswordAge\n-864000000000\nÂge minimum du mot de passe (un jour).
"},{"id":"text-64","type":"text","heading":"","plain_text":"msDS-MaximumPasswordAge\n-36288000000000\nÂge maximum du mot de passe (42 jours).","html":"msDS-MaximumPasswordAge\n-36288000000000\nÂge maximum du mot de passe (42 jours).
"},{"id":"text-65","type":"text","heading":"","plain_text":"msDS-LockoutThreshold\n30\nNombre de tentatives de mot de passe ayant échoué avant que l'utilisateur ne soit verrouillé.","html":"msDS-LockoutThreshold\n30\nNombre de tentatives de mot de passe ayant échoué avant que l'utilisateur ne soit verrouillé.
"},{"id":"text-66","type":"text","heading":"","plain_text":"msDS-LockoutObservationWindow\n-18000000000\nTemps écoulé pour réinitialiser le compteur de verrouillage du mot de passe au maximum (dans ce cas, 30 minutes).","html":"msDS-LockoutObservationWindow\n-18000000000\nTemps écoulé pour réinitialiser le compteur de verrouillage du mot de passe au maximum (dans ce cas, 30 minutes).
"},{"id":"text-67","type":"text","heading":"","plain_text":"msDS-LockoutDuration\n-18000000000\nSi le nombre de mots de passe incorrects est atteint dans la fenêtre d’observation, cela définit la durée pendant laquelle le compte doit rester verrouillé (30 minutes).","html":"msDS-LockoutDuration\n-18000000000\nSi le nombre de mots de passe incorrects est atteint dans la fenêtre d’observation, cela définit la durée pendant laquelle le compte doit rester verrouillé (30 minutes).
"},{"id":"text-68","type":"text","heading":"","plain_text":"Tableau 2. FGPP / PSO pour créer un nouvel objet.","html":"Tableau 2. FGPP / PSO pour créer un nouvel objet.
"},{"id":"text-69","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"En profondeur\nComment gérer les stratégies de mot de passe Active Directory dans Windows Server 2008 / R2\nAlors, vous pensez savoir comment fonctionnent les stratégies de mot de passe dans Active Directory? Eh bien, vous pourriez … ou pas. Découvrez comment gérer les stratégies de mot de passe Active Directory dans Windows Server 2008 et Windows Server 2008 R2."},{"id":"text-2","heading":"Text","content":"Par Derek Melber\n08/03/2011"},{"id":"text-3","heading":"Text","content":"Certaines choses dans la vie, comme la mort et les impôts, sont garanties. Vous pensez que d'autres éléments de la vie sont garantis, ou du moins, vous pensez savoir comment ils fonctionnent, tels que les stratégies de mot de passe Active Directory. Ensuite, il y a des choses que vous voulez travailler, et quand elles arrivent, vous sentez que vous savez comment elles fonctionnent avant même de les regarder – telles que des stratégies de mot de passe affinées (FGPP). Je ne vais pas parler de décès et d'impôts, mais je vais clarifier les idées fausses concernant les stratégies de mot de passe Active Directory et les FGPP."},{"id":"text-4","heading":"Text","content":"Avec la technologie des stratégies de mot de passe qui existe depuis plus de 10 ans, on pourrait penser que ce sujet sera infiniment clair. Cependant, compte tenu de mon exposition aux administrateurs réseau, qui ne savent toujours pas comment fonctionnent les stratégies de mot de passe Active Directory, ce n'est pas le cas."},{"id":"text-5","heading":"Text","content":"Faits basiquesCes faits de base sont les mêmes dans les domaines Active Directory depuis Windows 2000, publié il y a 11 ans:"},{"id":"text-6","heading":"Text","content":"La stratégie de domaine par défaut définit les stratégies de mot de passe par défaut pour chaque utilisateur d'Active Directory et pour chaque utilisateur situé dans le gestionnaire de compte de sécurité (SAM) local sur chaque serveur et poste de travail qui rejoint Active Directory."},{"id":"text-7","heading":"Text","content":"Il ne peut exister qu'une seule stratégie de mot de passe pour les utilisateurs de domaine dans un domaine Active Directory Windows 2000 et Windows Server 2003."},{"id":"text-8","heading":"Text","content":"Il n'est pas possible de configurer la stratégie de mot de passe pour une unité d'organisation d'utilisateurs différente de celle des autres utilisateurs du domaine ou d'une autre unité d'organisation."},{"id":"text-9","heading":"Text","content":"Les paramètres de stratégie de mot de passe ne peuvent pas être étendus pour inclure des paramètres supplémentaires sans utiliser un outil tiers ni développer une solution de stratégie de mot de passe personnalisée."},{"id":"text-10","heading":"Text","content":"Il n'est pas possible de configurer une stratégie de mot de passe pour le domaine racine et de la "transférer" vers les autres domaines de l'arborescence Active Directory."},{"id":"text-11","heading":"Text","content":"Je vois encore des administrateurs et des organisations qui tentent d’expliquer qu’ils ont un environnement différent de ce qui est possible. Cela dit, j'encourage tous les administrateurs et les organisations qui pensent avoir une configuration différente pour les mots de passe à "tester" ce qu'ils croient. Sauf si vous avez un produit tiers en place ou des domaines en mode natif Windows Server 2008, vous ne pouvez avoir que ce que j'ai détaillé ici."},{"id":"text-12","heading":"Text","content":"Paramètres possibles dans la politique de mot de passeLorsque vous modifiez un objet de stratégie de groupe (GPO) standard à partir de la console de gestion des stratégies de groupe (GPMC), vous retrouvez les mêmes options pour la stratégie de compte. Pour rechercher les paramètres de stratégie de mot de passe qui se trouvent sous la stratégie de compte, ouvrez le chemin suivant des dossiers de stratégie: Configuration ordinateur Stratégies Paramètres Windows Paramètres de sécurité Stratégies de compte. Une fois sur place, vous trouverez trois dossiers de stratégie: stratégie de mot de passe, stratégie de verrouillage de compte et stratégie Kerberos."},{"id":"text-13","heading":"Text","content":"Pour chacun de ces dossiers et les paramètres qu'ils contiennent, il existe un domaine par défaut dans les domaines nouvellement installés de Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2. Les paramètres par défaut sont indiqués dans le tableau 1."},{"id":"text-14","heading":"Text","content":"Définition de la politique\nValeur de réglage par défaut"},{"id":"text-15","heading":"Text","content":"Appliquer l'historique des mots de passe\n24 jours"},{"id":"text-16","heading":"Text","content":"Âge maximum du mot de passe\n42 jours"},{"id":"text-17","heading":"Text","content":"Âge minimum du mot de passe\nUn jour"},{"id":"text-18","heading":"Text","content":"Longueur minimale du mot de passe\n7"},{"id":"text-19","heading":"Text","content":"Le mot de passe doit répondre aux exigences de complexité\nActivée"},{"id":"text-20","heading":"Text","content":"Stocker les mots de passe en utilisant un cryptage réversible\ndésactivé"},{"id":"text-21","heading":"Text","content":"Durée de verrouillage du compte\nNon défini"},{"id":"text-22","heading":"Text","content":"Seuil de verrouillage de compte\n0"},{"id":"text-23","heading":"Text","content":"Réinitialiser le compteur de verrouillage du compte après\nNon défini"},{"id":"text-24","heading":"Text","content":"Appliquer les restrictions de connexion des utilisateurs\nActivée"},{"id":"text-25","heading":"Text","content":"Durée de vie maximale pour le ticket de service\n600 minutes"},{"id":"text-26","heading":"Text","content":"Durée de vie maximale pour le ticket utilisateur\n10 jours"},{"id":"text-27","heading":"Text","content":"Durée de vie maximale pour le renouvellement du ticket utilisateur\n7 heures"},{"id":"text-28","heading":"Text","content":"Tolérance maximale pour la synchronisation d'horloge\n5 minutes"},{"id":"text-29","heading":"Text","content":"Tableau 1. Valeurs par défaut des paramètres de stratégie de compte."},{"id":"text-30","heading":"Text","content":"Limitations de la stratégie de mot de passe pour les utilisateurs du domainePour vous assurer de comprendre ce que je veux dire par utilisateurs du domaine, définissons l'emplacement de ces utilisateurs. Les utilisateurs de domaine sont les utilisateurs créés et stockés dans la base de données Active Directory. Cela signifie que tous les utilisateurs stockés sur vos contrôleurs de domaine (DC) relèvent de cette définition. Un moyen simple de voir qui cela implique consiste à ouvrir ADUC (Active Directory Users and Computers) et à rechercher tous les utilisateurs de ce domaine. Tous les utilisateurs qui apparaissent dans cette recherche entrent dans cette étendue."},{"id":"text-31","heading":"Text","content":"Le seul moyen de contrôler la stratégie de mot de passe pour les utilisateurs du domaine consiste à configurer la stratégie de compte susmentionnée dans un objet de stratégie de groupe lié au domaine. C'est le seul moyen par défaut! Oui, il est vrai que l'objet de stratégie de groupe contenant les paramètres de stratégie de mot de passe par défaut est la stratégie de domaine par défaut, mais il ne s'agit que du paramètre par défaut. Vous pouvez facilement créer un nouvel objet de stratégie de groupe, configurer les paramètres de stratégie de compte à votre guise et vous assurer que cet objet de stratégie de groupe a la priorité la plus élevée dans la GPMC. Le résultat sera que ce nouvel objet de stratégie de groupe contrôlera les paramètres de stratégie de compte pour tous les utilisateurs du domaine."},{"id":"text-32","heading":"Text","content":"Stratégies de mot de passe par défautLorsque vous installez un nouveau domaine Active Directory dans Windows Server 2008 ou Windows Server 2008 R2, ou mettez à niveau un domaine Windows 2000 ou Windows Server 2003 avec des DC Windows Server 2008 ou Windows Server 2008 R2, vous pouvez configurer le domaine pour qu'il se trouve sur le serveur Windows. Niveau fonctionnel du domaine Server 2008. À ce niveau fonctionnel, vous disposez de davantage de fonctionnalités pour les configurations au sein du domaine, mais cela ne signifie pas que le comportement par défaut change. C'est le cas des stratégies de compte pour les utilisateurs du domaine."},{"id":"text-33","heading":"Text","content":"Lorsqu'un domaine Active Directory de base est exécuté au niveau fonctionnel du domaine Windows Server 2008, les stratégies de compte de tous les utilisateurs du domaine se comportent exactement de la même manière. Un domaine Active Directory Windows Server 2008 ou Windows Server 2008 R2, sans FGPP implémenté, présente les caractéristiques suivantes pour les mots de passe affectant les utilisateurs du domaine:"},{"id":"text-34","heading":"Text","content":"La stratégie de domaine par défaut définit les stratégies de mot de passe par défaut pour chaque utilisateur dans Active Directory et chaque utilisateur situé dans le SAM local sur chaque serveur et poste de travail qui se joint à Active Directory."},{"id":"text-35","heading":"Text","content":"Il ne peut exister qu'une seule stratégie de mot de passe pour les utilisateurs de domaine utilisant la stratégie de groupe."},{"id":"text-36","heading":"Text","content":"Il n'est pas possible de configurer la stratégie de mot de passe dans un objet de stratégie de groupe lié à une unité d'organisation pour affecter les utilisateurs de l'unité d'organisation différemment des autres utilisateurs du domaine ou d'une autre unité d'organisation."},{"id":"text-37","heading":"Text","content":"Les paramètres de stratégie de mot de passe ne peuvent pas être étendus pour inclure des paramètres supplémentaires sans utiliser un outil tiers ni développer une solution de stratégie de mot de passe personnalisée."},{"id":"text-38","heading":"Text","content":"Il n'est pas possible de configurer une stratégie de mot de passe pour le domaine racine et de la "transférer" vers les autres domaines de l'arborescence Active Directory."},{"id":"text-39","heading":"Text","content":"Notez que la liste à puces ici est très similaire à la liste qui figurait au début de cet article. La raison en est que la stratégie de compte et la stratégie de mot de passe, même pour les domaines Windows Server 2008 R2, se comportent exactement de la même manière que les domaines Windows 2000 et 2003 précédents par défaut."},{"id":"text-40","heading":"Text","content":"FGPPLa section précédente indiquait clairement que le comportement par défaut des stratégies de compte dans un domaine Windows Server 2008 et Windows Server 2008 R2 était exactement le même que dans tout autre domaine Active Directory le précédant. La différence survient lorsque le domaine Active Directory contient uniquement des DC Windows Server 2008 ou Windows Server 2008 R2 et qu'il est déplacé vers le niveau de fonctionnalité du domaine Windows Server 2008. Lorsque cela se produit, cela ouvre la porte aux FGPP. Encore une fois, pour réitérer, sans configuration de FGPP, tout domaine Windows (y compris les domaines Windows Server 2008 R2) agit de la même manière qu’il l’a toujours fait."},{"id":"text-41","heading":"Text","content":"La raison pour laquelle vous souhaitez configurer les FGPP est d'autoriser plusieurs stratégies de mot de passe dans le même domaine Active Directory. Oui c'est correct. Le même domaine Active Directory peut avoir plusieurs stratégies de mot de passe. Le résultat pourrait être le suivant:"},{"id":"text-42","heading":"Text","content":"Les employés informatiques ont une limite minimale de 20 caractères."},{"id":"text-43","heading":"Text","content":"Les employés des RH et des finances ont une limite minimale de 15 caractères."},{"id":"text-44","heading":"Text","content":"Les employés standard ont une limite minimale de 10 caractères."},{"id":"text-45","heading":"Text","content":"Pour configurer les FGPP, vous n'utiliserez pas de stratégie de groupe. Les FGPP n'utilisent pas de stratégie de groupe. Au lieu de cela, la mise en œuvre des FGPP est effectuée en modifiant la base de données Active Directory. La base de données est modifiée en ajoutant un ou plusieurs objets Active Directory supplémentaires, appelés objets PSO (Password Settings Objects). Cela peut sembler étrange, et je dois admettre que c'est le cas. Si vous décidez d'implémenter des FGPP, vous aurez un mélange de paramètres de stratégie de compte, via des GPO et des FGPP, dans votre environnement."},{"id":"text-46","heading":"Text","content":"Pour terminer la configuration de vos FGPP, vous devez suivre les étapes suivantes:"},{"id":"text-47","heading":"Text","content":"Lancez ADSIEDIT.MSC sur votre contrôleur de domaine."},{"id":"text-48","heading":"Text","content":"Sélectionnez l'option de menu Affichage de la barre d'outils, puis cliquez sur l'option Se connecter à."},{"id":"text-49","heading":"Text","content":"Dans la boîte de dialogue Paramètres de connexion, cliquez sur le bouton OK (voir Figure 1)."},{"id":"text-50","heading":"Text","content":"Dans ADSIEDIT, développez la vue de votre domaine jusqu'à CN = System afin que vous puissiez voir le contenu disponible sous ce nœud."},{"id":"text-51","heading":"Text","content":"Cliquez avec le bouton droit sur le conteneur CN = Password Settings."},{"id":"text-52","heading":"Text","content":"Sélectionnez l'option Créer | Objet."},{"id":"text-53","heading":"Text","content":"Remplissez les valeurs pour chaque entrée; Le tableau 2 est un guide."},{"id":"text-54","heading":"Text","content":"[Click on image for larger view.]"},{"id":"text-55","heading":"Text","content":"Figure 1. Options de connexion ADSIEDIT."},{"id":"text-56","heading":"Text","content":"Attribut\nValeur\nExplication"},{"id":"text-57","heading":"Text","content":"Cn\nHRPasswordPolicy\nNom de l'objet de stratégie de mot de passe dans Active Directory. Devrait être nommé d'après le groupe d'utilisateurs concerné."},{"id":"text-58","heading":"Text","content":"msDS-PasswordSettingsPrecedence\ndix\nUn numéro de référence, comparé à d'autres paramètres de priorité pour d'autres FGPP, qui résoudra un conflit si l'utilisateur est membre de deux groupes et que chaque groupe dispose d'un FGPP. Les plus petits nombres ont une priorité plus élevée."},{"id":"text-59","heading":"Text","content":"msDS-PasswordReversibleEncryptionEnabled\nFaux\nValeur booléenne permettant de définir si les mots de passe doivent être stockés avec un cryptage réversible."},{"id":"text-60","heading":"Text","content":"msDS-PasswordHistoryLength\n24\nNombre de mots de passe uniques que l'utilisateur doit saisir avant de pouvoir réutiliser un mot de passe."},{"id":"text-61","heading":"Text","content":"msDS-PasswordComplexityEnabled\nVrai\nDéfinit si la complexité du mot de passe doit être activée ou non."},{"id":"text-62","heading":"Text","content":"msDS-MinimumPasswordLength\n15\nNombre minimum de caractères dans chaque mot de passe utilisateur."},{"id":"text-63","heading":"Text","content":"msDS-MinimumPasswordAge\n-864000000000\nÂge minimum du mot de passe (un jour)."},{"id":"text-64","heading":"Text","content":"msDS-MaximumPasswordAge\n-36288000000000\nÂge maximum du mot de passe (42 jours)."},{"id":"text-65","heading":"Text","content":"msDS-LockoutThreshold\n30\nNombre de tentatives de mot de passe ayant échoué avant que l'utilisateur ne soit verrouillé."},{"id":"text-66","heading":"Text","content":"msDS-LockoutObservationWindow\n-18000000000\nTemps écoulé pour réinitialiser le compteur de verrouillage du mot de passe au maximum (dans ce cas, 30 minutes)."},{"id":"text-67","heading":"Text","content":"msDS-LockoutDuration\n-18000000000\nSi le nombre de mots de passe incorrects est atteint dans la fenêtre d’observation, cela définit la durée pendant laquelle le compte doit rester verrouillé (30 minutes)."},{"id":"text-68","heading":"Text","content":"Tableau 2. FGPP / PSO pour créer un nouvel objet."},{"id":"text-69","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2019/05/REDlogo.jpg"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2019/05/04/comment-gerer-les-strategies-de-mot-de-passe-active-directory-dans-windows-server-2008-r2-redmondmag-com-bien-choisir-son-serveur-d-impression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/05/04/comment-gerer-les-strategies-de-mot-de-passe-active-directory-dans-windows-server-2008-r2-redmondmag-com-bien-choisir-son-serveur-d-impression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/05/04/comment-gerer-les-strategies-de-mot-de-passe-active-directory-dans-windows-server-2008-r2-redmondmag-com-bien-choisir-son-serveur-d-impression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}