locked
compte de service RRS feed

  • Question

  • Bonjour à tous,

    Je suis sur AD 2003 et j’ai un compte de service, qui est aussi utilisateur de domaine, qui se verrouille après 4 tentatives sans succès (ce qui est dans la GPO de domaine). J’aurais souhaité que la  GPO de domaine ne s’applique pas aux comptes de domaine. Que dois-je faire pour atteindre ce but ?

    Merci d’avance pour votre aide

     

    • Déplacé SachinW jeudi 4 février 2010 00:53 Forum Consolidation (Origine :Windows Server 2003 – Sécurité)
    vendredi 7 novembre 2008 15:23

Réponses

  • Bonsoir,

    De ce que je connais sur les stratégies de groupe (je suis plutôt débutant également en gestion de réseau), les GPOs ne peuvent s'appliquer que sur :

     - un site (regroupement de plusieurs domaines)
     - un domaine
     - une unité d'organisation (un composant de domaine, créé et défini par le gestionnaire de réseau - c'est un peu le pendant des groupes prédéfinis du domaine (builtin, users, computers, ...), mais personnalisables et pouvant contenir aussi bien des machines, que des utilisateurs ou des ressources, ...)

    Pour résoudre ton problème, il te faudrait sans doute définir ta GPO non sur le domaine, mais sur une OU (initiales d'une "unité d'organisation") en y plaçant uniquement le(s) compte(s) d'utilisateur que tu désires voir concerné par cette stratégie ... (mais il s'agira quand même toujours de comptes faisant partie du domaine, puisqu'une GPO ne peut s'appliquer - à ma connaissance - qu'à un objet de domaine).
    lundi 10 novembre 2008 20:53

Toutes les réponses

  • Bonsoir,

    De ce que je connais sur les stratégies de groupe (je suis plutôt débutant également en gestion de réseau), les GPOs ne peuvent s'appliquer que sur :

     - un site (regroupement de plusieurs domaines)
     - un domaine
     - une unité d'organisation (un composant de domaine, créé et défini par le gestionnaire de réseau - c'est un peu le pendant des groupes prédéfinis du domaine (builtin, users, computers, ...), mais personnalisables et pouvant contenir aussi bien des machines, que des utilisateurs ou des ressources, ...)

    Pour résoudre ton problème, il te faudrait sans doute définir ta GPO non sur le domaine, mais sur une OU (initiales d'une "unité d'organisation") en y plaçant uniquement le(s) compte(s) d'utilisateur que tu désires voir concerné par cette stratégie ... (mais il s'agira quand même toujours de comptes faisant partie du domaine, puisqu'une GPO ne peut s'appliquer - à ma connaissance - qu'à un objet de domaine).
    lundi 10 novembre 2008 20:53
  • bonsoir athna,

     

    tu peux sous 2003, eviter de changer le mot de passe d'un compte de service, mais il est je crois impossible d'eviter la lockout policiy. Cela parait logique, un compte de service est typiquement accédé par un ..service! donc peu de chance de se tromper dans la saisie du mot de passe Smile

     

     

    cordialement,

     

    PierrE.

     

    lundi 10 novembre 2008 22:14
  • Bonsoir Pierre,

     

    le service ne se trompe peut être pas ! mais l'être humain si!

     

    Donc, si l'être humain saisit un mauvais mot de passe sur un compte de service, les différents réessais du service font que le compte est verrouillé à tous les coups!!!!

     

    A+

    lundi 10 novembre 2008 22:20
  • bonsoir Thierry,

     

    ah...les humains et leurs mouffles Smile

    tres juste remarque...d'ou l'interet de passer à Server2008 Stick out tongue

     

    cordialement,

     

    PierrE.

     

     

    lundi 10 novembre 2008 22:28
  • Bonsoir,

    Je vous remercie infiniment pour votre aide

    Athna

    mercredi 12 novembre 2008 00:36
  • bonjour athna,

     

    désolé, mais effectivement, si je ne me trompe pas, tu as atteint une des limites connues de l'AD sous 2003 (enfin, une de ses features ennuyantes).

    Server 2008 permet des gestions plus fines de politiques de mot de passe, mais sous 2003 c'est un peu du tout ou rien...

     

    bonne journée quand meme.

     

    cordialement,

     

    PierrE.

     

     

    mercredi 12 novembre 2008 06:22