Dans les environnements Microsoft, la mise en oeuvre de l’annuaire Active Directory représente le socle de la stratégie d’authentification au sein de l’entreprise, sans Active Directory, il n’y a pas de gestion centralisée de la politique de mot de passe.
Au travers d’Active Directory, la politique
La politique des mots de passe dans Active Directory
de mot de passe se base principalement sur quatre éléments :
• Complexité du mot de passe
• Age maximum du mot de passe
• Age minimum du mot de passe
• Historisation des mots de passe
La politique de mot de passe de l’organisation se définit au sein d’une stratégie de groupe liée au niveau du domaine, traditionnellement la stratégie de groupe nommée « Default Domain Policy » contiendra cette politique. Cette stratégie de groupe est créée automatiquement lors de la création du domaine. (voir Figure 1) Il est à noter que la politique de mot de passe ne se définit qu’au niveau du domaine, toutes les stratégies de groupe contenant des paramètres sur la politique de mot de passe positionnées au niveau des sites ou des unités d’organisations sont totalement inutiles et n’ont aucun effet sur les paramètres de sécurité portés vers les utilisateurs du réseau.
En termes de design Active Directory, cette unité des caractéristiques de sécurité du mot de passe, affecte considérablement les choix d’implémentation. Si une organisation désire utiliser des politiques de mots de passe différentes en fonction de certaines filiales par exemple, elle devra obligatoirement créer autant de domaines que de politiques différentes au sein de la forêt.
Concernant l’exploitation, les exigences de complexité définies par la stratégie de groupe sont appliquées quand les mots de passe sont modifiés ou créés : la modification de la stratégie n’est pas « dynamique » – il ne suffit donc pas de modifier la stratégie pour que les nouveaux standards de complexité s’appliquent aux utilisateurs ; cette latence inhérente au rythme naturel des changements de mots de passe de la part des utilisateurs est à prendre en considération lors des évolutions de politique.
A noter que l’éditeur de solutions pour Active Directory specopssoft.com propose un logiciel permettant de gérer plusieurs politiques de mot de passe au sein d’un même domaine Windows 2000 ou 2003. De plus, cette limitation fonctionnelle sera éliminée avec l’arrivée de Windows Server 2008 qui proposera en standard une fonction permettant de rendre granulaire la politique de mot de passe au sein d’un domaine Windows 2008.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre dossier Green IT sur les actions engagés par inmac wstore pour réduire son impact environnemental