none
GPO pour activer par défaut la case "l'utilisateur ne peut pas changer son mot de passe" AD 2012 R2 RRS feed

  • Question

  • Bonjour à tous,

    Sur un serveur 2012 R2 sur lequel est déployé un AD, je rencontre un problème au niveau des options utilisateurs. Quand je crée un utilisateur je fais toujours en sorte que lors de la création je décoche "L'utilisateur doit changer le mot de passe à la prochaine ouverture de session" et je coche systématiquement "L'utilisateur ne peut pas changer de mot de passe " + "le mot de passe n'expire jamais".

    Or si je consulte l’utilisateur peu de temps après la case est décochée pour "L'utilisateur ne peut changer son mot de passe"! Si je la recoche, quelques temps après (maj via gpo) de nouveau la case est décochée. Ce qui est très embêtant car on ne souhaite pas qu'un utilisateur change le mot de passe attribué (après on perd du temps à le chercher ou on reset son mot de passe)

    Comment puis forcer l'acceptation de cette fonction (je ne me souviens pas avoir ce genre de problèmes sous 2008 R2 et/ou SP2) ou comment puis je délcarer que cette case est cochée par défaut?

    Merci pour votre aide

    jeudi 21 septembre 2017 09:26

Réponses

  • Bonjour,

    Pour savoir qui a changé modifié le compte utilisateur après sa création , il faut mettre en place une solution d'audit active directory pour tracer toutes les actions sur l'active directory y compris la modification des objets , et après on sera capable avec quel compte et depuis quelle machine le compte utilisateur a été modifié, il y a un produit dell Change auditor qui est très efficace si non une solution via GPO, et les événements seront enregistré dans le journal d'événement de chaque DC:

    AD DS Auditing Step-by-Step Guide


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    jeudi 21 septembre 2017 19:23
    Modérateur
  • mais merci pour ton tuto (je l'ai trouvé facilement). Attention ce n'est pas l'option "Mot de passe n'expire pas" qui m'intéresse mais celle juste au dessus :) 

    OK j'ai pas fait attention lors de ma réponse mais cela ne change  pas grand chose au fait que l'option ne change pas toute seule ...

    Pour l'audit tu peux également lire ;

    http://pbarth.fr/node/136

    vendredi 22 septembre 2017 04:51
    Modérateur
  • Après contrôle, comportement par défaut si vous cochez la case "user cannot change password" à sa création depuis la console DSA.MSC reporte bien l'option dans le profile. J'ai essayé également de jouer sur les permissions de l'OU parente et de bloquer le paramètre : impossible de reproduire le comportement.

    Je pense que vous devriez activer le logging sur la creation et modification des objets de l'annuaire, puis que vous créer un compte test : le journal reportera peut-être un refus de droit.

    vendredi 22 septembre 2017 08:26

Toutes les réponses

  • Tu parles de modifier l'option n'expire jamais sur les comptes du domaines ou sur des comptes locaux ?

    Tu modifies l'option sur un compte dans l'AD et il change tout seul par après ? Si oui tu n'as pas un script qui s'exécute périodiquement ?

    Les GPO modifient des paramètres sur des machines (dans la partie computer ou users) mais aucune GPO ne modifient des paramètres, des options ou des propriété d'un compte dans l'annuaire AD.

    jeudi 21 septembre 2017 10:17
    Modérateur
  • Bonjour,

    Si vous désirez forcer à tous les utilisateurs du domaine à changer leurs mots de passe au bout d'une période bien déterminée, le plus simple est de définir une durée de vie maximale pour les mots de passe la GPO créée par défaut et attachée à tout le domaine nommé (Default domain policy) , au lieu de créer un script et le lancer périodiquement à mon avis.

    Si l'utilisateur a dépassé cette durée sans changer son de passe , il sera inviter à sa première ouverture de session de changer son mot de passe.

    Si vous avez le niveau fonctionnel du domaine Windows 2008 ou plus, vous pouvez utiliser PSO pour créer une stratégie de mot de passe pour des groupes d'utilisateur et définir des durée de vie différente de mot de passe


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    jeudi 21 septembre 2017 16:39
    Modérateur
  • Bonsoir Philippe,

    Et non c'est l'autre option cf pj

    En faite quand je crée un user je coche systématiquement "L'utilisateur ne peut pas changer de mot de passe" mais ça ne le prends pas en compte comme tu peux le voir sur ma PJ. Si je le recoche cette case au bout de quelques minutes elle se décoche de nouveau.

    Ce que je veux absolument éviter c'est que les users puissent changer leur mot de passe mais vu que je n'arrive pas à faire en sorte de garder cette case cocher...


    Et je n'ai aucun script qui s'execute, tout est configuré en par défaut sur cet AD
    • Modifié lucho2684 jeudi 21 septembre 2017 18:18
    jeudi 21 septembre 2017 18:16
  • Il n'y a aucun élément par défaut qui modifie ce paramètre, et les GPO ne modifient pas directement les propriétés des comptes utilisateurs de l'AD, a moins d'avoir un script dans la GPO qui les modifient.

    Au cas ou combien de DC ? par d'erreur dans DCdiag ?

    Et je n'ai aucun script qui s'execute, tout est configuré en par défaut sur cet AD

    Je ne vois pas trop ce que tu entends par la...


    jeudi 21 septembre 2017 19:01
    Modérateur
  • J'ai 1 seul DC (petite infra 20 users), au niveau du dcdiag j'ai qu'un seul avertissement :

    Démarrage du test : SystemLog
    Un événement d'avertissement s'est produit. ID de l'événement : 0x00000090
    Temps généré : 09/21/2017   20:22:24
    Chaîne d'événement : Le service de temps a arrêté de s'annoncer comme source temporelle correcte.
                                  

    Pour l'histoire de script je voulais dire par là que mon AD est configuré basiquement (pas de créations de GPO, pas de créations de script de ma part, pas de tâches planifiés impactant sur l'AD).

    jeudi 21 septembre 2017 19:15
  • Tu peux suivre cet article pour le problème de synchronisation des horloges :

    http://pbarth.fr/node/87

    Attention dans un domaine il est important que les horloges soient synchronisé. Par défaut les postes se synchronisent sur un DC et les DC sur le DC qui à le rôle FSMO émulateur PDC. Avec un DC s'est vite vu. Si ce DC ne s'annonce pas comme horloge tu peux avoir des problèmes d'authentifications si le décalage entre le poste et le serveur est trop important.

    Pour le reste je ne jamais vu l'option le mot de passe n'expire pas se désactiver toute seule. 

    jeudi 21 septembre 2017 19:21
    Modérateur
  • Bonjour,

    Pour savoir qui a changé modifié le compte utilisateur après sa création , il faut mettre en place une solution d'audit active directory pour tracer toutes les actions sur l'active directory y compris la modification des objets , et après on sera capable avec quel compte et depuis quelle machine le compte utilisateur a été modifié, il y a un produit dell Change auditor qui est très efficace si non une solution via GPO, et les événements seront enregistré dans le journal d'événement de chaque DC:

    AD DS Auditing Step-by-Step Guide


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    jeudi 21 septembre 2017 19:23
    Modérateur
  • Re,

    Philippe, j'ai justement fait la modif avant de faire le dcdiag car mon horloge n'était pas correctement à l'heure, mais merci pour ton tuto (je l'ai trouvé facilement). Attention ce n'est pas l'option "Mot de passe n'expire pas" qui m'intéresse mais celle juste au dessus :)

    Thameur, merci mais je souhaite juste interdire aux users de pouvoir changer leur mot de passe attribué, après je ne connaissais pas Dell Change Auditor, merci pour l'info.

    jeudi 21 septembre 2017 19:32
  • Vous pouvez activer l'audit via GPO.

    C'est juste pour savoir, s'il y a une tâche planifié ou un service déjà configuré permet de désactive cette option.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    jeudi 21 septembre 2017 19:38
    Modérateur
  • mais merci pour ton tuto (je l'ai trouvé facilement). Attention ce n'est pas l'option "Mot de passe n'expire pas" qui m'intéresse mais celle juste au dessus :) 

    OK j'ai pas fait attention lors de ma réponse mais cela ne change  pas grand chose au fait que l'option ne change pas toute seule ...

    Pour l'audit tu peux également lire ;

    http://pbarth.fr/node/136

    vendredi 22 septembre 2017 04:51
    Modérateur
  • Après contrôle, comportement par défaut si vous cochez la case "user cannot change password" à sa création depuis la console DSA.MSC reporte bien l'option dans le profile. J'ai essayé également de jouer sur les permissions de l'OU parente et de bloquer le paramètre : impossible de reproduire le comportement.

    Je pense que vous devriez activer le logging sur la creation et modification des objets de l'annuaire, puis que vous créer un compte test : le journal reportera peut-être un refus de droit.

    vendredi 22 septembre 2017 08:26