Active Directory: password policy – PSO (Français)
Introduction
dans ce tutoriel, nous verrons comment définir des stratégies de mot de passe dans un Active Directory pour les comptes d’utilisateurs.
par défaut, la stratégie de mot de passe est définie dans la stratégie de domaine par défaut GPO qui est appliquée à tous les ordinateurs du domaine, ce qui rend la stratégie identique pour tous les utilisateurs.,
Selon les utilisateurs, vous pouvez appliquer de plus en plus complexes, stratégie de mot de passe pour des raisons de sécurité, par exemple les membres du groupe Admins du Domaine.
pour cela, nous utiliserons Password Settings Object (PSO) qui est un objet Active Directory qui contient une stratégie de mot de passe qui peut être appliquée à un ou plusieurs groupes d’utilisateurs.
Les stratégies de mot de passe sont configurées à l’aide de la console ADAC.,
Chaque stratégie de mot de passe a une priorité, si un utilisateur dispose de plusieurs stratégies de mot de passe s’applique, la politique avec la priorité la plus basse sera appliqué.
pour illustrer ce tutoriel, nous allons créer deux stratégies, la première sera appliquée au groupe D’utilisateurs de domaine avec une priorité de 99 et la seconde sera appliquée au groupe Grp_Users_IT qui aura une priorité de 98.,
Les politiques (OSP) sont stockés dans le Paramètre de Mot de passe Contenant 1 (CFP) qui est: DOMAINE / Système
stratégies de Mot de passe aussi gérer le blocage des comptes en cas de mauvais mot de passe.
créez une stratégie de mot de passe
à partir du conteneur PSC, cliquez sur Nouveau 1 puis Paramètres de mot de passe 2.,
Configurer le mot de passe des paramètres de stratégie en remplissant les champs marqués d’un *.
Champ | Commentaire |
---|---|
Nom | Mot de passe le nom de stratégie |
Prioritaire | Poids pour l’application de la stratégie, de la plus basse a la priorité., |
le mot de passe doit répondre aux exigences de complexité | le mot de passe doit contenir 3 types de caractères sur les 4 Disponibles – minuscule – lettre majuscule – Nombre – caractères spéciaux |
appliquer l’âge minimum du mot de passe | durée de vie minimale du mot la durée de vie du mot de passe en jours avant l’expiration et la modification est forcée |
appliquer la stratégie de verrouillage du compte | configuration du nombre de tentatives de connexion ayant échoué et de l’heure de verrouillage., |
Maintenant configurer à laquelle le script sera appliqué, cliquez sur Ajouter 1.
Choisissez le groupe d’utilisateur (s) 1 et cliquez sur OK 2.
Le groupe est ajouté 1 cliquez sur OK 2 pour créer la stratégie.
Le 1 est ajouté au conteneur.,
Créer une deuxième stratégie
Cette partie est facultative, il illustre l’utilisation de plusieurs stratégies de mots de passe.
suivez le même processus que la première stratégie, la deuxième stratégie aura une priorité inférieure (98), une longueur de 10 et est appliquée au groupe Grp_Users_IT.,
Dans cette configuration, si un utilisateur fait partie de la Grp_Users_IT groupe, le mot de passe doit être composé de 10 caractères et pour les autres utilisateurs, le mot de passe de 7 caractères.
identifier la stratégie de mot de passe qui s’applique
Il existe plusieurs façons d’identifier la stratégie appliquée à un utilisateur ou à un groupe.,
identifiez la stratégie de mot de passe d’un utilisateur
toujours à partir de la console ADAC, faites un clic droit sur l’utilisateur 1 et cliquez sur Afficher les paramètres de mot de passe résultants 2.
La stratégie de mot de passe s’ouvre:
Identifier un groupe de stratégie de mot de passe
clic Droit sur le 1er groupe et cliquez sur Propriétés 2.,
Si une ou plusieurs stratégies de mot de passe s’appliquent pour le groupe, il est affiché dans les paramètres de Mot de passe directement associée à l’article.
attribuer une stratégie de mot de passe existante à un groupe
à partir des propriétés d’un groupe, accédez à la section Paramètres de mot de passe directement associés 1 et cliquez sur le bouton Assign 2.,
Sélectionnez le PSO 1 objet à affecter, puis cliquez sur OK 2.
La politique est ajouté au groupe, cliquez sur OK 1 pour enregistrer les paramètres.
Test de l’application de la stratégie de mot de passe
Pour tester l’application de la stratégie de mot de passe, il est possible de créer un utilisateur dans l’Active Directory qui ne respecte pas les conditions de l’OSP.,
Pour rappel, la stratégie par défaut définie par le GPO est de 7 caractères et une stratégie PSO qui s’applique à tous les utilisateurs (utilisateurs du domaine) a été créée avec une exigence de 8 caractères.
ci-Dessous, un nouvel utilisateur avec un mot de passe de 7 caractères:
Lors de la validation de la création de l’utilisateur, un message d’erreur s’affiche, indiquant que le mot de passe ne correspond pas aux critères.,
PSO stratégies de mot de passe avec PowerShell
Les OPS peuvent être administrées avec des Applets de commande PowerShell.
La commande New-ADFineGrainedPasswordPolicy
permet la création d’une stratégie.
La commande Add-ADFineGrainedPasswordPolicySubject
permet de lier la stratégie à un groupe ou à un utilisateur.
Add-ADFineGrainedPasswordPolicySubject AdminsDuDomaine -Subjects "Admins du domaine"