Site icon RDR-IT

Active Directory : stratégie de mot de passe – PSO

Introduction

Dans ce tutoriel, nous allons voir comment définir des stratégies de mot de passe dans un annuaire Active Directory pour les comptes utilisateurs.

Par défaut la stratégie de mot de passe est définie dans la GPO Default Domain Policy qui est appliqué à tous les ordinateurs du domaine, ce qui fait la stratégie est identique pour tous les utilisateurs.

En fonction des utilisateurs, on peut vouloir pour des raisons de sécurité appliquer une stratégie de mot de passe plus complexe par exemple les membres du groupe Admins du domaine.

Pour cela nous allons utiliser Password Settings Object (PSO) qui est un objet Active Directory qui contient une stratagie de mot de passe que l’on peut appliquer à un ou plusieurs groupe utilisateurs.

La configuration des stratégies de mot de passe se fait à l’aide de la console ADAC.

Chaque stratégie de mot de passe dispose d’un priorité, si un utilisateur à plusieurs stratégies de mot de passe qui s’applique, la stratégie avec la priorité la plus faible sera appliquée.

Pour illustrer ce tutoriel, nous allons créé deux stratégies, la première sera appliquée au groupe Utilisateurs du domaine avec une priorité de 99 et une seconde qui sera appliqué au groupe Grp_Users_IT qui aura une priorité de 98.

Les stratégies (PSO) sont stockées dans le conteneur Password Setting Container 1 (PSC) qui se trouve : DOMAINE/System

Les stratégies de mot de passe gèrent aussi le verrouillage des comptes en cas de mauvais mot de passe.

Créer une stratégie de mot de passe

Depuis le conteneur PSC, cliquer sur Nouveau 1 puis Paramètres de mot de passe 2.

Configurer les paramètres de la stratégie de mot de passe en remplissant les champs marqués par un *.

ChampCommentaire
NomNom de la stratégie de mot de passe
PrioritéPoids pour l’application de la stratégie, le plus faible est prioritaire.
Appliquer la longueur minimale du mot de passeLongueur minimale de caractères pour le mot de passe
Appliquer l’historique des mots de passeNombre de mots de passe mémorisé ne pouvant être réutilisés
Le mot de passe doit respecter des exigences de complexitéLe mot de passe doit contenir 3 types de caractères sur les 4 disponibles
– Minuscule
– Majuscule
– Chiffre
– Caractères spéciaux
Appliquer l’âge minimal de mot de passeDurée de vie minimale du mot de passe en jour(s) avant qu’il puisse de nouveau être changé
Appliquer l’âge maximal de mot de passeDurée de vie maximale du mot de passe en jours(s) avant expiration et que le changement soit forcé
Appliquer la stratégie de verrouillage des comptesConfiguration du nombre de tentatives de connexion échouées et du temps de verrouillage.

Il faut maintenant configurer à qui le script va être appliqué, cliquer sur Ajouter 1.

Choisir le ou les groupes utilisateurs 1 et cliquer sur OK 2.

Le groupe est ajouté 1, cliquer sur OK 2 pour créer la stratégie.

La stratégie 1 est ajoutée dans le conteneur.

Créer une seconde stratégie

Cette partie est facultative, elle permet d’illustrer l’utilisation de plusieurs stratégies de mot de passe.

Suivre le même procédé que la première stratégie, le seconde stratégie aura une priorité plus basse (98), une longueur de 10 et est appliquée au groupe Grp_Users_IT.

Dans cette configuration, si un utilisateur fait partie du groupe Grp_Users_IT, le mot de passe doit comporter 10 caractères et pour les autres utilisateurs, le mot de passe doit faire 7 caractères.

Identifier la stratégie de mot passe qui s’applique

Il existe plusieurs façons d’identifier quelle stratégie est appliquée à un utilisateur ou à un groupe.

Identifier la stratégie de mot de passe d’un utilisateur

Toujours depuis la console ADAC, faire un clic droit sur l’utilisateur 1 et cliquer sur Afficher les paramètres de mot de passe résultants 2.

La stratégie de mot de passe s’ouvre :

Identifier la stratégie de mot de passe d’un groupe

Faire un clic droit sur le groupe 1 et cliquer sur Propriétés 2.

Si une ou plusieurs stratégies de mot de passe s’appliquent au groupe, celle-ci s’affiche dans la section Paramètres de mot passe directement associés.

Attribuer une stratégie de mot de passe existante à un groupe

Depuis les propriétés d’un groupe, aller sur la section Paramètres de mot de passe directement associés 1 et cliquer sur le bouton Attribuer 2.

Sélectionner l’objet PSO 1 à attribuer et cliquer sur OK 2.

La stratégie est ajoutée au groupe, cliquer sur OK 1 pour enregistrer les paramètres.

Tester l’application de la stratégie de mot de passe

Pour tester l’application de la stratégie de mot de passe, il est possible de créer un utilisateur dans l’Active Directory qui ne respecte pas les conditions de la PSO.

Pour rappel, la stratégie par défaut défini par la GPO est de 7 caractères et une stratégie PSO qui s’applique à tous les utilisateurs (Utilisateurs du domaine) a été créée avec une exigence à 8 caractères.

Ci-dessous, un nouvel utilisateur avec un mot de passe qui a 7 caractères :

Lors de la validation de la création du l’utilisateur, un message d’erreur s’affiche indiquant que le mot de passe ne correspond pas aux critères.

Les stratégies de mot de passe PSO avec PowerShell

Les PSO peuvent être administrées avec des Cmdlets PowerShell.

La commande New-ADFineGrainedPasswordPolicy permet la création d’une stratégie.

New-ADFineGrainedPasswordPolicy AdminsDuDomaine -ComplexityEnabled:$true -LockoutDuration:"00:45:00" -LockoutObservationWindow:"00:45:00" -LockoutThreshold:"0" -MaxPasswordAge:"24.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"12" -PasswordHistoryCount:"12" -Precedence:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true

La commande Add-ADFineGrainedPasswordPolicySubject permet de lier la stratégie à un groupe ou à un utilisateur.

Add-ADFineGrainedPasswordPolicySubject AdminsDuDomaine -Subjects "Admins du domaine"

Quitter la version mobile