Pour créer de multiples stratégies de mot de passe dans un environnement Active Directory Windows 2008 / Windows 2008 R2, il vous suffit de suivre les étapes suivantes :
1. Création d’un objet PSO :
Pour créer un objet PSO, procédez comme suit :
|
Figure 1 : Interface de l’utilitaire Exécuter de Windows
|
|
Figure 2 : Interface de sélection des outils d’administration
|
|
Figure 3 : Interface de paramètres de connexion
|
|
Figure 4 : Interface de l’outil de modification ADSI
|
|
Figure 5 : Interface de création d’un objet PSO
|
|
Figure 6 : Interface de spécification du nom du nouvel objet PSO
|
|
Figure 7 : Interface de spécification de la valeur de l’attribut msDS-PasswordSettingsPrecedence
|
L’attribut msDS-PasswordSettingsPrecedence est utilisé pour résoudre les problèmes de conflits si de multiples PSOs sont appliqués sur un utilisateur ou un groupe de sécurité globaux. La valeur de cet attribut est un entier supérieur à 0.
|
|
Figure 8 : Interface de spécification de la valeur de l’attribut
msDS-PasswordReversibleEncryptionEnabled
|
Cet attribut représente l’enregistrement des mots de passe en utilisant un chiffrement réversible. La valeur de cet attribut doit être égale à FALSE pour des raisons de sécurité. La valeur de cet attribut doit être égale à TRUE lors de l’utilisation de l’authentification CHAP (Challenge-Handshake Authentication Protocol) par accès distant ou IAS (Internet Authentication Services). Elle est aussi requise lors de l’utilisation de l’authentification Digest dans IIS (Internet Information Services).
|
|
Figure 9 : Interface de spécification de la valeur de l’attribut
msDS-PasswordHistoryLength
|
Cet attribut représente le nombre de nouveaux mots de passe uniques devant être associés à un compte d’utilisateur avant qu’un ancien mot de passe puisse être réutilisé. La valeur de cet attribut varie entre 0 et 1024.
|
|
Figure 10 : Interface de spécification de la valeur de l’attribut
msDS-PasswordComplexityEnabled
|
Si la valeur de cet attribut est égale à TRUE, les mots de passe doivent respecter les exigences minimales suivantes :
Si la valeur de cet attribut est égale à FALSE, les mots de passe ne sont pas obligées de respecter les exigences déjà mentionnées.
|
|
Figure 11 : Interface de spécification de la valeur de l’attribut
msDS-MinimumPasswordLength
|
Cet attribut représente la longueur minimale du mot de passe. Il détermine le nombre minimal de caractères que doit contenir le mot de passe d’un compte d’utilisateur. La valeur de ce paramètre varie entre 1 et 255. Pour permettre l’utilisation de mots de passe vides, spécifiez 0 comme valeur de ce paramètre.
|
|
Figure 12 : Interface de spécification de la valeur de l’attribut
msDS-MinimumPasswordAge
|
Cet attribut représente la durée de vie minimale du mot de passe. Il détermine la période minimale d’utilisation d’un mot de passe avant que l’utilisateur puisse le changer. La valeur de ce paramètre doit être inférieure à celle du paramètre « Durée de vie maximale du mot de passe ». Si la valeur est égale à 00:00:00:00, des changements immédiats de mots de passe sont permis.
La valeur de cet attribut est écrite sous le format j:hh:mm:ss.
|
|
Figure 13 : Interface de spécification de la valeur de l’attribut
msDS-MaximumPasswordAge
|
Cet attribut représente la durée de vie maximale du mot de passe. Il détermine la période maximale d’utilisation d’un mot de passe avant que l’utilisateur puisse le changer. Si la valeur est égale à 00:00:00:00, les mots de passe n’expirent jamais.
La valeur de cet attribut est écrite sous le format j:hh:mm:ss.
|
|
Figure 14 : Interface de spécification de la valeur de l’attribut
msDS-LockoutThreshold
|
Cet attribut représente le seuil de verrouillage pour le verrouillage des comptes d’utilisateurs. La valeur de cet attribut varie entre 0 et 65535.
Pour désactiver les stratégies de verrouillage de compte, affectez la valeur 0 à l’attribut msDS-LockoutThreshold.
|
|
Figure 15 : Interface de spécification de la valeur de l’attribut
msDS-LockoutObservationWindow
|
Cet attribut représente la fenêtre d’observation pour le verrouillage des comptes d’utilisateurs.
La valeur de cet attribut est écrite sous le format j:hh:mm:ss.
|
|
Figure 16 : Interface de spécification de la valeur de l’attribut
msDS-LockoutDuration
|
Cet attribut représente la durée de verrouillage pour les comptes d’utilisateurs verrouillés.
La valeur de cet attribut est écrite sous le format j:hh:mm:ss.
|
|
Figure 17 : Interface de la fin de création d’un nouvel objet PSO
|
2. Application des objets PSO aux utilisateurs et aux groupes de sécurité globaux :
Pour appliquer des objets PSO aux utilisateurs et aux groupes de sécurité globaux, procédez comme suit :
|
Figure 18 : Interface de l’utilitaire Exécuter de Windows
|
|
Figure 19 : Interface de l’outil d’administration Utilisateurs et ordinateurs Active Directory
|
|
Figure 20 : Interface du conteneur Password Settings Container
|
|
Figure 21 : Interface de propriétés des objets PSO
|
|
Figure 22 : Interface de propriétés des objets PSO
|
|
Figure 23 : Interface de sélection des utilisateurs, des ordinateurs ou des groupes
|
|
Figure 24 : Interface de la fin d’application de l’objet PSO aux utilisateurs / groupes globaux
|
Si plusieurs PSOs sont appliqués sur un utilisateur ou un groupe. Le PSO résultant appliqué est déterminé en utilisant la technique suivante :
-
Si un objet PSO est directement appliqué sur un utilisateur, le PSO résultant sera cet objet PSO (Il n’est pas recommandé d’appliquer directement plusieurs PSO sur le même utilisateur).
-
Si aucun objet PSO n’est directement appliqué sur un utilisateur et des objets PSO sont appliqué sur les groupes de sécurité dont cet utilisateur est membre, le PSO résultant sera le PSO disposant la valeur minimale de l’attribut msDS-PasswordSettingsPrecedence.
-
Si aucun objet PSO n’est appliqué directement sur un utilisateur ou un groupe de sécurité dont cet utilisateur est membre, la stratégie de mot de passe / de verouillage du compte sera appliquée.
Pour pouvoir utiliser la technique mentionnée dans cet article, le niveau fonctionnel du domaine doit être égal ou supérieur à Windows Server 2008 |