locked
Renseignement sur les Stratégies de comptes et de mot de passe RRS feed

  • Question

  • Bonjour,

    Nous avons une stratégie de mot de passe qui fonctionne très bien, mais nous avons des utilisateurs qui ont leur compte verrouillé fréquemment.

    Nous avons donc décidé de mettre en place le déverrouillage automatique du compte de l'utilisateur au bout de 15mn

    Le problème, la stratégie n'est pas prise en compte (même avec un gpupdate/force).

    Voici ce que j'ai mis en place :



    Si vous aviez une idée de mon problème.

    A savoir que la stratégie est spécifiée pour les utilisateurs du domaine.

    Merci


    Sébastien

    mardi 19 novembre 2013 10:35

Toutes les réponses


  • Sébastien

    mardi 19 novembre 2013 10:36
  • Bonjour,

    c'est un GPO que vous avez créé spécialement ou vous avez édité la default domaine policy ?

    Où avez vous appliqué ce GPO ? Il faut l'appliquer sur le domaine complet. Un stratégie de mot de passe classique ne peut pas être appliquée sur des OU.

    Vous pouvez utiliser l'assistant pour simuler l'application des GPO sur un objet en particulier depuis la console, sinon vous pouvez également vérifier les GPO dont vous êtes la cible en utilisant "GPresult".

    Léo


    Edit : je n'ai pas bien saisi votre phrase à propos des utilisateurs, mais il s'agit d'une stratégie d'ordinateur, il faut donc définir ce type de stratégie dans la partie "ordinateur" et l'appliquer sur des objets ordinateurs. Dans notre cas elle doit être appliquée sur le domaine donc la question du champs d'application ne se pose normalement pas.
    mardi 19 novembre 2013 11:09
  • Merci de votre réponse,

    c'est bien la "default domaine policy".

    J'ai fais un GPresult /R et j'ai des résultats comme ceci :

    Pourtant , je reçois bien les mises à jour WSUS, et la stratégie de mot de passe fonctionne aussi.

    Comme je vous le disais, on met "Utilisateurs du domaine" car nous avons des personnes qui travaillent dans d'autres pays. ils n'ont pas de PC répertoriés dans l'obet "Computer" mais ont des comptes users dans l'AD.

    On a besoin des GPO pour ces personnes afin qu'ils changent leur mot de passe tous les 3 mois (pour Exchange 2010).

    J'aimerai instaurer un déverrouillage automatique au bout de 15mn, mais la politique ne fonctionne pas.

    Car j'ai souvent des comptes qui se bloquent.

    Merci


    Sébastien

    mardi 19 novembre 2013 12:16
  • Le résultat du gpresult s'explique probablement par le scope. Je pense que ce sont les résultats des GPO utilisateur qui s'affichent, et non pas des GPO ordinateur.

    Essayez avec le paramètre : "/scope Computer", si vous avez un compte du domaine qui est administrateur local.

    Vous avez écrit : "on met "Utilisateurs du domaine"", où avez vous spécifié "utilisateurs du domaine" ? Il est  déconseillé de modifier l'étendue d'application de la "Default Domain Policy".

    Dans la mesure ou il s'agit d'une stratégie pour objets ordinateurs, si vous ne l'appliquez pas sur des objets ordinateurs, elle ne fonctionnera pas. 

    Par défaut la stratégie devrait déverrouiller les mots de passe au bout de 15 minutes, quel est le comportement actuel ?
    mardi 19 novembre 2013 14:07
  • Effectivement, la GPO Default Domain Policy est bien prise en compte.

    "Utilisateurs du domaine" est placé dans : Filtrage de sécurité (dans la GPO)

    J'ai essayé de rajouter mon ordinateur et de faire un GPupdate /force, et cela ne fonctionne toujours pas.

    pourquoi la règle des 3 mois et le nombre de caractère minimum pour les mots de passes fonctionneraient si cela ne fonctionnait pas pour les "utilisateurs du domaine "

    Le compte reste bloqué actuellement (comme le stipulait la règle avant)

    je viens de changer à 15mn, et cela n'est pas pris en compte.

    Merci


    Sébastien

    mardi 19 novembre 2013 15:14
  • pourquoi la règle des 3 mois et le nombre de caractère minimum pour les mots de passes fonctionneraient si cela ne fonctionnait pas pour les "utilisateurs du domaine "


    Je vois deux possibilités à cela : 

    - Soit votre GPO a été appliqué mais ne l'est plus maintenant, c'est à dire que les client ne récupèrent pas sa nouvelle version.

    - Soit le GPO n'est pas appliqué et c'est une stratégie locale qui a pris le relais en l'absence de stratégie de domaine. 

    Le fait qu'une modification réalisée dans un GPO ne s'applique pas est caractéristique de la non application de ce GPO. 

    Vous pouvez tester cela : Essayez de modifier la stratégie de verrouillage au niveau local via la commande "gpedit.msc", si vous en avez la possibilité alors cela signifiera que votre GPO de domaine n'est pas appliqué.

    Avez-vous essayé de modifier un autre paramètre de ce GPO ou un autre GPO pour vérifier l'impact sur les postes ?

    Combien de contrôleurs de domaine avez-vous, êtes-vous certains que la réplication entre les contrôleurs fonctionne ? Ce pourrait être une explication.

    Léo

    mercredi 20 novembre 2013 09:24
  • J'ai fais comme vous me l'avez dit,

    J'ai fais gpedit.msc, j'ai bien la GPO présente sur le serveur avec le temps de verrouillage du compte à 15mn, et je ne peux pas modifier celle-ci.

    nous avons un seul DC.

    J’essaie verrouillage à partir de 2 mauvais mot de passe, et je poste le résultat.

    Merci


    Sébastien

    jeudi 21 novembre 2013 15:14
  • Je viens de faire des tests.

    J'avais dans l'étendue :

    Utilisateurs du domaine + mon PC.

    Dès que je met des PC dans l'étendue, cela change au niveau des stratégies locales des PC utilisateurs, mais ne fonctionne pas.

    Si je ne met pas de PC dans l'étendue de la GPO, l'utilisateur voit des valeurs qui ne correspondent pas à celles du serveur (de la GPO sécurité) mais elles ne sont pas prisent en comptes.

    C'est toujours l'ancienne GPO qui revient tout le temps (avec un déverrouillage manuel et non tous les 15 mn)

    J'ai testé de changer le nombre d'essai de mot de passe, je l'ai mis à 1, mais c'est toujours le 3 qui était dans l'ancienne règle qui est pris en compte.

    C'est comme-ci qu'il y avait un genre de cache.

    j'ai testé de désactiver la règle, et le verrouillage du compte se fait toujours au bout de 3 mauvais mots de passes.

    C'est étrange, non?

    Merci


    Sébastien

    jeudi 21 novembre 2013 16:12