Home  Tutorials  Active Directory


Création de multiples stratégies de mot de passe (FR)

Pour créer de multiples stratégies de mot de passe dans un environnement Active Directory Windows 2008 / Windows 2008 R2, il vous suffit de suivre les étapes suivantes :
 

1.     Création d’un objet PSO :

 
Pour créer un objet PSO, procédez comme suit :
  • Cliquez sur démarrer > exécuter, tapez adsiedit.msc et cliquez sur OK
 
Figure 1 : Interface de l’utilitaire Exécuter de Windows
 
  • Cliquez sur Fichier > Ajouter/Supprimer un composant logiciel enfichable. Sélectionnez Modification ADSI, cliquez sur Ajouter puis cliquez sur OK
Figure 2 : Interface de sélection des outils d’administration
 
  • Cliquez avec le bouton droit de la souris sur Modification ADSI puis cliquez sur Connexion… Spécifiez le FQDN (Fully Qualified Domain Name) de votre domaine dans le champ Nom et cliquez sur OK
Figure 3 : Interface de paramètres de connexion
 
  • Cliquez sur FQDN_ domaine>CN=SYSTEM, cliquez avec le bouton droit sur CN=Password Settings Container puis cliquez sur Nouveau>Objet…
Figure 4 : Interface de l’outil de modification ADSI
 
  • Sélectionnez msDS-PasswordSettings et cliquez sur Suivant
 
Figure 5 : Interface de création d’un objet PSO
 
  • Spécifiez le nom de l’objet PSO en remplissant le champ Valeur
Figure 6 : Interface de spécification du nom du nouvel objet PSO
 
  • Spécifiez la valeur de l’attribut msDS-PasswordSettingsPrecedence en remplissant le champ Valeur
Figure 7 : Interface de spécification de la valeur de l’attribut msDS-PasswordSettingsPrecedence
 
L’attribut msDS-PasswordSettingsPrecedence est utilisé pour résoudre les problèmes de conflits si de multiples PSOs sont appliqués sur un utilisateur ou un groupe de sécurité globaux. La valeur de cet attribut est un entier supérieur à 0.
 
  • Spécifiez la valeur de l’attribut msDS-PasswordReversibleEncrytionEnabled en remplissant le champ Valeur
Figure 8 : Interface de spécification de la valeur de l’attribut
msDS-PasswordReversibleEncryptionEnabled
 
Cet attribut représente l’enregistrement des mots de passe en utilisant un chiffrement réversible. La valeur de cet attribut doit être égale à FALSE pour des raisons de sécurité. La valeur de cet attribut doit être égale à TRUE lors de l’utilisation de l’authentification CHAP (Challenge-Handshake Authentication Protocol) par accès distant ou IAS (Internet Authentication Services). Elle est aussi requise lors de l’utilisation de l’authentification Digest dans IIS (Internet Information Services).
 
  • Spécifiez la valeur de l’attribut msDS-PasswordHistoryLength en remplissant le champ Valeur
Figure 9 : Interface de spécification de la valeur de l’attribut
msDS-PasswordHistoryLength
 
Cet attribut représente le nombre de nouveaux mots de passe uniques devant être associés à un compte d’utilisateur avant qu’un ancien mot de passe puisse être réutilisé. La valeur de cet attribut varie entre 0 et 1024.
 
  • Spécifiez la valeur de l’attribut msDS-PasswordComplexityEnabled en remplissant le champ Valeur
 
Figure 10 : Interface de spécification de la valeur de l’attribut
msDS-PasswordComplexityEnabled
 

Si la valeur de cet attribut est égale à TRUE, les mots de passe doivent respecter les exigences minimales suivantes :

    • Comporter au moins 6 caractères
    • Contenir des caractères provenant de trois des quatre catégories suivantes :
      • Caractères majuscules anglais (A à Z)
      • Caractères minuscules anglais (a à z)
      • Chiffres en base 10 (0 à 9)
      • Caractères non-alphabétiques ( !, ? …)
Si la valeur de cet attribut est égale à FALSE, les mots de passe ne sont pas obligées de respecter les exigences déjà mentionnées.
 
  • Spécifiez la valeur de l’attribut msDS-MinimumPasswordLength en remplissant le champ Valeur
Figure 11 : Interface de spécification de la valeur de l’attribut
msDS-MinimumPasswordLength
 
Cet attribut représente la longueur minimale du mot de passe. Il détermine le nombre minimal de caractères que doit contenir le mot de passe d’un compte d’utilisateur. La valeur de ce paramètre varie entre 1 et 255. Pour permettre l’utilisation de mots de passe vides, spécifiez 0 comme valeur de ce paramètre.
 
  • Spécifiez la valeur de l’attribut msDS-MinimumPasswordAge en remplissant le champ Valeur
Figure 12 : Interface de spécification de la valeur de l’attribut
msDS-MinimumPasswordAge
 

Cet attribut représente la durée de vie minimale du mot de passe. Il détermine la période minimale d’utilisation d’un mot de passe avant que l’utilisateur puisse le changer. La valeur de ce paramètre doit être inférieure à celle du paramètre « Durée de vie maximale du mot de passe ». Si la valeur est égale à 00:00:00:00, des changements immédiats de mots de passe sont permis.

 
La valeur de cet attribut est écrite sous le format j:hh:mm:ss.
 
  • Spécifiez la valeur de l’attribut msDS-MaximumPasswordAge en remplissant le champ Valeur
Figure 13 : Interface de spécification de la valeur de l’attribut
msDS-MaximumPasswordAge
 
Cet attribut représente la durée de vie maximale du mot de passe. Il détermine la période maximale d’utilisation d’un mot de passe avant que l’utilisateur puisse le changer. Si la valeur est égale à 00:00:00:00, les mots de passe n’expirent jamais.
 
La valeur de cet attribut est écrite sous le format j:hh:mm:ss.
 
  • Spécifiez la valeur de l’attribut msDS-LockoutThreshold en remplissant le champ Valeur
Figure 14 : Interface de spécification de la valeur de l’attribut
msDS-LockoutThreshold
 
Cet attribut représente le seuil de verrouillage pour le verrouillage des comptes d’utilisateurs.  La valeur de cet attribut varie entre 0 et 65535.
 
Pour désactiver les stratégies de verrouillage de compte, affectez la valeur 0 à l’attribut msDS-LockoutThreshold.
 
  • Spécifiez la valeur de l’attribut msDS-LockoutObservationWindows en remplissant le champ Valeur
Figure 15 : Interface de spécification de la valeur de l’attribut
msDS-LockoutObservationWindow
 
Cet attribut représente la fenêtre d’observation pour le verrouillage des comptes d’utilisateurs.
 
La valeur de cet attribut est écrite sous le format j:hh:mm:ss.
 
  • Spécifiez la valeur de l’attribut msDS-LockoutDuration en remplissant le champ Valeur
Figure 16 : Interface de spécification de la valeur de l’attribut
msDS-LockoutDuration
 
Cet attribut représente la durée de verrouillage pour les comptes d’utilisateurs verrouillés.
 
La valeur de cet attribut est écrite sous le format j:hh:mm:ss.
 
  • Cliquez sur Terminer pour finir la création de l’objet PSO
Figure 17 : Interface de la fin de création d’un nouvel objet PSO
 

2.     Application des objets PSO aux utilisateurs et aux groupes de sécurité globaux :

 
Pour appliquer des objets PSO aux utilisateurs et aux groupes de sécurité globaux, procédez comme suit :
  • Cliquez sur démarrer > exécuter, tapez dsa.msc et cliquez sur OK
Figure 18 : Interface de l’utilitaire Exécuter de Windows
 
  • Cliquez sur Affichage > Fonctionnalités avancées
Figure 19 : Interface de l’outil d’administration Utilisateurs et ordinateurs Active Directory
 
  • Cliquez sur FQDN_domain > System > Password Settings Container puis cliquez avec le bouton droit de votre souris sur votre objet PSO et choisissez Propriétés
Figure 20 : Interface du conteneur Password Settings Container
 
  • Cliquez sur Editeur d’attributs puis cliquez sur Filtre et vérifiez que Facultatif est déjà cochée. Si non, cochez-la
Figure 21 : Interface de propriétés des objets PSO
 
  • Sélectionnez l’attribut msDS-PSOAppliesTo et cliquez sur Modifier
Figure 22 : Interface de propriétés des objets PSO
 
  • Sélectionnez les utilisateurs / les groupes de sécurité globaux sur lesquels vous voulez appliquer la stratégie de mot de passe contenue dans l’objet PSO
Figure 23 : Interface de sélection des utilisateurs, des ordinateurs ou des groupes
 
  • Cliquez sur OK
Figure 24 : Interface de la fin d’application de l’objet PSO aux utilisateurs / groupes globaux
 

Si plusieurs PSOs sont appliqués sur un utilisateur ou un groupe. Le PSO résultant appliqué est déterminé en utilisant la technique suivante :

  1. Si un objet PSO est directement appliqué sur un utilisateur, le PSO résultant sera cet objet PSO (Il n’est pas recommandé d’appliquer directement plusieurs PSO sur le même utilisateur).
  2. Si aucun objet PSO n’est directement appliqué sur un utilisateur et des objets PSO sont appliqué sur les groupes de sécurité dont cet utilisateur est membre, le PSO résultant sera le PSO disposant la valeur minimale de l’attribut msDS-PasswordSettingsPrecedence.
  3. Si aucun objet PSO n’est appliqué directement sur un utilisateur ou un groupe de sécurité dont cet utilisateur est membre, la stratégie de mot de passe / de verouillage du compte sera appliquée.

Pour pouvoir utiliser la technique mentionnée dans cet article, le niveau fonctionnel du domaine doit être égal ou supérieur à Windows Server 2008