Home

Tutorials

Active Directory

Création de multiples stratégies de mot de passe (FR)

Pour créer de multiples stratégies de mot de passe dans un environnement Active Directory Windows 2008 / Windows 2008 R2, il vous suffit de suivre les étapes suivantes :

1. Création d’un objet PSO :

Pour créer un objet PSO, procédez comme suit :

Cliquez sur démarrer > exécuter, tapez adsiedit.msc et cliquez sur OK

Figure 1 : Interface de l’utilitaire Exécuter de Windows

Cliquez sur Fichier > Ajouter/Supprimer un composant logiciel enfichable. Sélectionnez Modification ADSI, cliquez sur Ajouter puis cliquez sur OK

Figure 2 : Interface de sélection des outils d’administration

Cliquez avec le bouton droit de la souris sur Modification ADSI puis cliquez sur Connexion… Spécifiez le FQDN (Fully Qualified Domain Name) de votre domaine dans le champ Nom et cliquez sur OK

Figure 3 : Interface de paramètres de connexion

Cliquez sur FQDN_ domaine>CN=SYSTEM, cliquez avec le bouton droit sur CN=Password Settings Container puis cliquez sur Nouveau>Objet…

Figure 4 : Interface de l’outil de modification ADSI

Sélectionnez msDS-PasswordSettings et cliquez sur Suivant

Figure 5 : Interface de création d’un objet PSO

Spécifiez le nom de l’objet PSO en remplissant le champ Valeur

Figure 6 : Interface de spécification du nom du nouvel objet PSO

Spécifiez la valeur de l’attribut msDS-PasswordSettingsPrecedence en remplissant le champ Valeur

Figure 7 : Interface de spécification de la valeur de l’attribut msDS-PasswordSettingsPrecedence

L’attribut msDS-PasswordSettingsPrecedence est utilisé pour résoudre les problèmes de conflits si de multiples PSOs sont appliqués sur un utilisateur ou un groupe de sécurité globaux. La valeur de cet attribut est un entier supérieur à 0.

Spécifiez la valeur de l’attribut msDS-PasswordReversibleEncrytionEnabled en remplissant le champ Valeur

Figure 8 : Interface de spécification de la valeur de l’attribut

msDS-PasswordReversibleEncryptionEnabled

Cet attribut représente l’enregistrement des mots de passe en utilisant un chiffrement réversible. La valeur de cet attribut doit être égale à FALSE pour des raisons de sécurité. La valeur de cet attribut doit être égale à TRUE lors de l’utilisation de l’authentification CHAP (Challenge-Handshake Authentication Protocol) par accès distant ou IAS (Internet Authentication Services). Elle est aussi requise lors de l’utilisation de l’authentification Digest dans IIS (Internet Information Services).

Spécifiez la valeur de l’attribut msDS-PasswordHistoryLength en remplissant le champ Valeur

Figure 9 : Interface de spécification de la valeur de l’attribut

msDS-PasswordHistoryLength

Cet attribut représente le nombre de nouveaux mots de passe uniques devant être associés à un compte d’utilisateur avant qu’un ancien mot de passe puisse être réutilisé. La valeur de cet attribut varie entre 0 et 1024.

Spécifiez la valeur de l’attribut msDS-PasswordComplexityEnabled en remplissant le champ Valeur

Figure 10 : Interface de spécification de la valeur de l’attribut

msDS-PasswordComplexityEnabled

Si la valeur de cet attribut est égale à TRUE, les mots de passe doivent respecter les exigences minimales suivantes :

Comporter au moins 6 caractères
Contenir des caractères provenant de trois des quatre catégories suivantes :
- Caractères majuscules anglais (A à Z)
- Caractères minuscules anglais (a à z)
- Chiffres en base 10 (0 à 9)
- Caractères non-alphabétiques ( !, ? …)

Si la valeur de cet attribut est égale à FALSE, les mots de passe ne sont pas obligées de respecter les exigences déjà mentionnées.

Spécifiez la valeur de l’attribut msDS-MinimumPasswordLength en remplissant le champ Valeur

Figure 11 : Interface de spécification de la valeur de l’attribut

msDS-MinimumPasswordLength

Cet attribut représente la longueur minimale du mot de passe. Il détermine le nombre minimal de caractères que doit contenir le mot de passe d’un compte d’utilisateur. La valeur de ce paramètre varie entre 1 et 255. Pour permettre l’utilisation de mots de passe vides, spécifiez 0 comme valeur de ce paramètre.

Spécifiez la valeur de l’attribut msDS-MinimumPasswordAge en remplissant le champ Valeur

Figure 12 : Interface de spécification de la valeur de l’attribut

msDS-MinimumPasswordAge

Cet attribut représente la durée de vie minimale du mot de passe. Il détermine la période minimale d’utilisation d’un mot de passe avant que l’utilisateur puisse le changer. La valeur de ce paramètre doit être inférieure à celle du paramètre « Durée de vie maximale du mot de passe ». Si la valeur est égale à 00:00:00:00, des changements immédiats de mots de passe sont permis.

La valeur de cet attribut est écrite sous le format j:hh:mm:ss.

Spécifiez la valeur de l’attribut msDS-MaximumPasswordAge en remplissant le champ Valeur

Figure 13 : Interface de spécification de la valeur de l’attribut

msDS-MaximumPasswordAge

Cet attribut représente la durée de vie maximale du mot de passe. Il détermine la période maximale d’utilisation d’un mot de passe avant que l’utilisateur puisse le changer. Si la valeur est égale à 00:00:00:00, les mots de passe n’expirent jamais.

La valeur de cet attribut est écrite sous le format j:hh:mm:ss.

Spécifiez la valeur de l’attribut msDS-LockoutThreshold en remplissant le champ Valeur

Figure 14 : Interface de spécification de la valeur de l’attribut

msDS-LockoutThreshold

Cet attribut représente le seuil de verrouillage pour le verrouillage des comptes d’utilisateurs. La valeur de cet attribut varie entre 0 et 65535.

Pour désactiver les stratégies de verrouillage de compte, affectez la valeur 0 à l’attribut msDS-LockoutThreshold.

Spécifiez la valeur de l’attribut msDS-LockoutObservationWindows en remplissant le champ Valeur

Figure 15 : Interface de spécification de la valeur de l’attribut

msDS-LockoutObservationWindow

Cet attribut représente la fenêtre d’observation pour le verrouillage des comptes d’utilisateurs.

La valeur de cet attribut est écrite sous le format j:hh:mm:ss.

Spécifiez la valeur de l’attribut msDS-LockoutDuration en remplissant le champ Valeur

Figure 16 : Interface de spécification de la valeur de l’attribut

msDS-LockoutDuration

Cet attribut représente la durée de verrouillage pour les comptes d’utilisateurs verrouillés.

La valeur de cet attribut est écrite sous le format j:hh:mm:ss.

Cliquez sur Terminer pour finir la création de l’objet PSO

Figure 17 : Interface de la fin de création d’un nouvel objet PSO

2. Application des objets PSO aux utilisateurs et aux groupes de sécurité globaux :

Pour appliquer des objets PSO aux utilisateurs et aux groupes de sécurité globaux, procédez comme suit :

Cliquez sur démarrer > exécuter, tapez dsa.msc et cliquez sur OK

Figure 18 : Interface de l’utilitaire Exécuter de Windows

Cliquez sur Affichage > Fonctionnalités avancées

Figure 19 : Interface de l’outil d’administration Utilisateurs et ordinateurs Active Directory

Cliquez sur FQDN_domain > System > Password Settings Container puis cliquez avec le bouton droit de votre souris sur votre objet PSO et choisissez Propriétés

Figure 20 : Interface du conteneur Password Settings Container

Cliquez sur Editeur d’attributs puis cliquez sur Filtre et vérifiez que Facultatif est déjà cochée. Si non, cochez-la

Figure 21 : Interface de propriétés des objets PSO

Sélectionnez l’attribut msDS-PSOAppliesTo et cliquez sur Modifier

Figure 22 : Interface de propriétés des objets PSO

Sélectionnez les utilisateurs / les groupes de sécurité globaux sur lesquels vous voulez appliquer la stratégie de mot de passe contenue dans l’objet PSO

Figure 23 : Interface de sélection des utilisateurs, des ordinateurs ou des groupes

Cliquez sur OK

Figure 24 : Interface de la fin d’application de l’objet PSO aux utilisateurs / groupes globaux

Si plusieurs PSOs sont appliqués sur un utilisateur ou un groupe. Le PSO résultant appliqué est déterminé en utilisant la technique suivante :

Si un objet PSO est directement appliqué sur un utilisateur, le PSO résultant sera cet objet PSO (Il n’est pas recommandé d’appliquer directement plusieurs PSO sur le même utilisateur).
Si aucun objet PSO n’est directement appliqué sur un utilisateur et des objets PSO sont appliqué sur les groupes de sécurité dont cet utilisateur est membre, le PSO résultant sera le PSO disposant la valeur minimale de l’attribut msDS-PasswordSettingsPrecedence.
Si aucun objet PSO n’est appliqué directement sur un utilisateur ou un groupe de sécurité dont cet utilisateur est membre, la stratégie de mot de passe / de verouillage du compte sera appliquée.

Pour pouvoir utiliser la technique mentionnée dans cet article, le niveau fonctionnel du domaine doit être égal ou supérieur à Windows Server 2008

The latest tutorials

23/03/2019 How to identify active hosts in your networks and perform horizontal TCP port scans

06/03/2019 Stop perfecting your Active Directory Domain Services Password / Lockout Policies – It is time to invest on Multi-Factor Authentication and Compensating Controls

09/02/2019 An Effective Approach to Protect Administrative Accesses to Your Datacenters and Cloud Resources

17/01/2019 How to create a Lag Site for your Active Directory Domain Services setup

About Tunit

Tunit helps you plan your Microsoft systems integration and administration.

Certainly, having a good Management of your IT systems improve your Business performance while it can, when it is poorly managed, obstruct the responsiveness and efficiency of your organization. We are here to help you so do not hesitate to follow us.

View more