none
Administration Active Directory avec Powershell RRS feed

  • Question

  • Salutations à tous et à toutes, j'aimerais savoir s'il est possible d'afficher, dans active directory, des utilisateurs qui utilisent des mots de passes complexes. si oui, quelle est la commande powershell qui permet de le faire.

    Merci pour vos réponses


    FRANCK HIRA

    jeudi 18 décembre 2014 10:18

Réponses

  • Bonjour,

    Pour moi non, car l'AD ne connait que le Hash du mot de passe.

    Et on ne peux pas connaitre le mot de passe des utilisateurs

    Cordialement


    jeudi 18 décembre 2014 11:22
  • Bonjour,

    En complément de ces réponses, mais vous le savez déjà, la complexité des mots de passe dépend de 2 paramètres sur Windows (2008 à 2012 R2).

    1 / Les paramètres de la "Default Domain Policy"
    2 / Les éventuelles PSO (stratégies de mot de passe affinées).

    Dans ce cas particulier, Powershell peut être utilisé pour savoir au final de quelle stratégie dépendent vos utilisateurs. C'est une aide précieuse si vous décidez de complexifier votre stratégie de mot de passe.
    Il faut pour cela utiliser la cmdlet  Get-ADUserResultantPasswordPolicy

    Voici le résultat pour l'utilisateur "User3" du domaine (concerné par la stratégie de mot de passe affiné), puis pour l'utilisateur 1, non concerné (réponse vide)

    Cela ne répond pas directement à votre question, mais je ne pense pas (comme le disent Mickaël et Bruce) que ce soit possible pour le cas que vous nous exposez ...

     

    jeudi 18 décembre 2014 13:42

Toutes les réponses

  • Bonjour,

    Pour moi non, car l'AD ne connait que le Hash du mot de passe.

    Et on ne peux pas connaitre le mot de passe des utilisateurs

    Cordialement


    jeudi 18 décembre 2014 11:22
  • Vous pouvez imposer une complexité de mot de passe (à chaque changement de mot de passe), vous pouvez vérifier à l'aide de test très simple si deja l'utilisateur n'utilise pas son identifiant comme mot de passe, etc... mais comme le précise Mickael, je ne vois pas comment à posteriori, vous pouvez demander la complexité utilisée dans un mdp.

    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    jeudi 18 décembre 2014 11:32
  • Il existe des outils permettant de vérifier la complexité des mots de passe AD. Une recherche google avec les mots clés "pwdump" et "John the ripper" devrait être la solution à votre question
    jeudi 18 décembre 2014 13:33
  • Il existe des outils permettant de vérifier la complexité des mots de passe AD. Une recherche google avec les mots clés "pwdump" et "John the ripper" devrait être la solution à votre question

    C'est une solution plutôt efficace, mais peu légale.

    Blog
    Scripts

    jeudi 18 décembre 2014 13:36
  • Bien scriptée et empêchant les administrateurs de voir le mot de passe (indiquant juste la complexité), c'est légal.

    Sinon la seule solution efficace est la coercition : définir une politique de mot de passe fort et forcer tout le monde à changer son mot de passe.

    jeudi 18 décembre 2014 13:42
  • Bonjour,

    En complément de ces réponses, mais vous le savez déjà, la complexité des mots de passe dépend de 2 paramètres sur Windows (2008 à 2012 R2).

    1 / Les paramètres de la "Default Domain Policy"
    2 / Les éventuelles PSO (stratégies de mot de passe affinées).

    Dans ce cas particulier, Powershell peut être utilisé pour savoir au final de quelle stratégie dépendent vos utilisateurs. C'est une aide précieuse si vous décidez de complexifier votre stratégie de mot de passe.
    Il faut pour cela utiliser la cmdlet  Get-ADUserResultantPasswordPolicy

    Voici le résultat pour l'utilisateur "User3" du domaine (concerné par la stratégie de mot de passe affiné), puis pour l'utilisateur 1, non concerné (réponse vide)

    Cela ne répond pas directement à votre question, mais je ne pense pas (comme le disent Mickaël et Bruce) que ce soit possible pour le cas que vous nous exposez ...

     

    jeudi 18 décembre 2014 13:42