La section précédente énonce clairement que le comportement par défaut des stratégies de groupe dans un domaine Windows Server 2008 et Windows Server 2008 R2 est identique à celui dans n’importe quel autre domaine Active Directory d’une version antérieure.
Active Directory, les stratégies FGPP
La différence survient lorsque le domaine Active Directory contient uniquement des DC Windows Server 2008 ou Windows Server 2008 R2 et qu’il est déplacé vers le niveau fonctionnel de domaine Windows Server 2008.
Les stratégies FGPP
Dans ce cas, cela ouvre la porte aux stratégies FGPP (Fine-Grained Password Policies, ou Stratégies granulaires de mots de passe). Encore une fois, sans les FGPP, n’importe quel domaine Windows (y compris sous Windows Server 2008 R2) conserve le même comportement que par le passé.
Les stratégies FGPP sont configurées afin d’autoriser plusieurs stratégies de mots de passe dans le même domaine Active Directory. Oui, vous avez bien compris !
Le même domaine Active Directory peut avoir plusieurs stratégies de mots de passe, avec le résultat possible suivant :
• Les employées de l’informatique ont une limite de caractères minimum de 20.
• Les employés des départements des ressources humaines et de la finance ont une limite de caractères minimum de 15.
• Les employés lambda ont une limite de caractères minimum de 10.
Vous n’allez pas employer la stratégie de groupe pour configurer les stratégies FGPP, car elles n’y font pas appel. L’implémentation des stratégies FGPP passe par une modification de la base de données Active Directory.
Celle-ci est modifiée en ajoutant un ou plusieurs objets Active Directory supplémentaires, appelés objets de paramètres de mot de passe (PSO). Cela peut sembler étrange et je suis d’accord sur ce point. Si vous décidez d’implémenter des stratégies FGPP, votre environnement va avoir un mélange de paramètres de stratégies de comptes, via les GPO, et de stratégies FGPP.
Pour terminer la configuration de vos stratégies FGPP, il faut exécuter la procédure suivante :
1. Lancez ADSIEDIT.MSC sur votre contrôleur de domaine.
2. Sélectionnez l’option de menu de barre d’outils View, puis cliquez sur Connect to option.
3. Dans la boîte de dialogue Connection Settings, cliquez sur le bouton OK.
4. Dans ADSIEDIT, développez la vue de votre domaine jusqu’à CN=System, afin de voir le contenu disponible sous ce nœud.
5. Cliquez avec le bouton droit de la souris sur CN=Password Settings Container.
6. Sélectionnez l’option Create | Object.
7. Renseignez les valeurs pour chaque entrée (aidez-vous du tableau 2).
Tableau 2. Valeurs de FGPP/PSO pour créer un nouvel objet.
|
Attribut |
Valeur |
Explication |
|
Cn |
HRPasswordPolicy |
Le nom de l’objet de stratégie de mots de passe dans Active Directory. Le nom doit refléter le groupe d’utilisateurs concerné.
|
|
msDS-PasswordSettingsPrecedence |
10 |
Nombre de référence, comparé à d’autres paramètres de priorité pour d’autres FGPP, afin de résoudre un conflit si l’utilisateur est membre de deux groupes et si chaque groupe à une FGPP. Les nombres plus petits ont une priorité plus élevée.
|
|
msDS-PasswordReversibleEncryptionEnabled |
False |
Valeur booléenne spécifiant si les mots de passe doivent être enregistrés avec le cryptage réversible.
|
|
msDS-PasswordHistoryLength |
24 |
Nombre de mots de passe uniques qu’un utilisateur doit saisir avant de pouvoir recycler un mot de passe. |
|
msDS-PasswordComplexityEnabled |
True |
Définit l’activation ou non de la complexité de mots de passe. |
|
msDS-MinimumPasswordLength |
15 |
Nombre minimum de caractères dans chaque mot de passe utilisateur. |
|
msDS-MinimumPasswordAge |
-864000000000 |
Age minimum du mot de passe (un jour).
|
|
msDS-MaximumPasswordAge |
-36288000000000 |
Age maximum du mot de passe (42 jours).
|
|
msDS-LockoutThreshold |
30 |
Nombre d’échecs de saisie de mot passe avant le verrouillage de l’utilisateur. |
|
msDS-LockoutObservationWindow |
-18000000000 |
Temps écoulé pour réinitialiser le compte de verrouillage de mot de passe au maximum (dans ce cas, 30 minutes). |
|
msDS-LockoutDuration |
-18000000000 |
Si le nombre de mots de passe erronés est atteint dans le temps de la fenêtre d’observation, définit la durée de verrouillage du compte (30 minutes).
|
Notez que les entrées de valeurs pour minute/hour/day dans le tableau 2 semblent très étranges. Cela tient au fait que les valeurs sont entrées dans le type de données « 18 », lequel a un format inhabituel, comme le montre le tableau 3.
Tableau 3. Formatage du type de données « 18 » pour les minutes, heures et jours.
|
Unité de temps |
Formule |
Exemple de temps |
Valeur |
|
m minutes |
-60*(10^7) = – 600000000 |
30 minutes |
-18000000000
|
|
h hours (heures) |
-60*60* (10^7) = -36000000000 |
10 heures |
-360000000000
|
|
d days (jours) |
-24*60*60*(10^7) = -864000000000 |
42 jours |
-36288000000000
|
Afin de lier l’ensemble FGPP/PSO au groupe ou à l’utilisateur approprié, il faut configurer un attribut d’objet. Pour voir l’attribut d’objet approprié, vérifiez que l’ensemble FGPP/PSO est défini correctement dans ADUC ou ADSIEDIT.
Dans la liste d’attributs pour votre FGPP/PSO, accédez à l’entrée msDS-PSOAppliesTo et double-cliquez sur cet attribut pour afficher la boîte de dialogue Multi-valued Distinguished Name With Security Principal Editor.
Vous pouvez saisir un nom de domaine, un nom d’utilisateur ou un groupe de sécurité dans l’éditeur. Sélectionnez le bouton approprié, puis ajoutez votre objet à l’éditeur. J’ai ajouté le groupe des ressources humaines (HR).
Vérifiez que l’utilisateur en question dans le groupe HR possède la stratégie de mots de passe correcte. Pour cela, affichez les propriétés du compte utilisateur à partir de la console ADUC, puis examinez l’attribut msDS-ResultantPSO.
Une nouvelle voie
Les paramètres de stratégie de mots de passe par défaut pour un domaine Windows Active Directory n’ont pas changé ces 11 dernières années et, sur un domaine Windows Server 2008 R2 par défaut, ils sont, au départ, identiques. La stratégie de domaine par défaut contrôle toutes les stratégies de mots de passe d’utilisateurs par défaut, mais peut être modifiée par un autre GPO lié au domaine avec un niveau de priorité plus élevé.
Une fois le domaine configuré comme niveau fonctionnel de domaine Windows Server 2008, il est possible d’employer les stratégies FGPP. Vous pouvez utiliser ADSIEDIT.MSC afin de créer et de configurer un ou plusieurs objets FGPP ou PSO, lesquels autorisent l’implémentation de plusieurs stratégies de mots de passe dans le même domaine. Les FGPP/PSO seront associés à un nom de domaine, utilisateur ou groupe, et ils n’ont rien à voir avec la stratégie de groupe employée ces 11 dernières années pour les stratégies de mots de passe. Cette ségrégation des longueurs de mots de passe est désormais possible pour les différents utilisateurs dans votre domaine Active Directory unique.
Téléchargez cette ressource
Guide de Reporting Microsoft 365 & Microsoft Exchange
Comment bénéficier d’une vision unifiée de vos messageries, mieux protéger vos données sensibles, vous conformer plus aisément aux contraintes réglementaires et réduire votre empreinte carbone ? Découvrez la solution de reporting complet de l’utilisation de Microsoft Exchange, en mode on-premise ou dans le Cloud.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
