none
GPO Account Lockout RRS feed

  • Question

  • Bonjour,

    j'essaye de mettre en place le verrouillage des comptes utilisateurs après n échec

    J'ai donc créé une GPO Ordinateur qui modifie les paramètres :

    • Account lockout duration
    • Account lockout threshold
    • Reset account lockout counter after

    J'ai mis un PC de test dans le filtrage de sécurité et j'ai attribué cette GPO sur l'OU qui contient mon PC et User de test.

    J'ai désactivé les paramètres contenu dans la Default Domain Policy en rapport avec l'account lockout.

    Après de multiple GpUpdate /force et redémarrage ça ne fonctionne pas.

    Via RSOP, je vois bien que ma GPO est appliqué et que c'est les bonne valeurs.

    Je ne comprends pas ce que j'ai pu loupé.

    Avez-vous une idée ?

    Izhocell

    mercredi 21 août 2019 14:56

Réponses

  • Je ne comprends pas pourquoi vous dites que la stratégie que j'ai fait ne devrait s'appliquer qu'au compte locaux. J'ai créé la GPO sur mon DC et non depuis GPedit.msc.

    La GPO cible un ordinateur précis. Hors ce paramètre ne marche pas dans ce sens déja par ce que ce n'est pas l'ordinateur sur lequel le mot de passe est saisie qui vérifie le mot de passe et qui compte le nombre d'erreur, c'est le contrôleur de domaine. Voir les liens précédents.


    J'ai mis un PC de test dans le filtrage de sécurité et j'ai attribué cette GPO sur l'OU qui contient mon PC et User de test.

    Il faut utiliser la default domain policy et il n'est pas possible de mettre des paramètres de verrouillage et de mot de passe spécifique sur un ordinateur pour des comptes du domaine avec les GPO.

     

    mercredi 21 août 2019 16:27
    Modérateur

Toutes les réponses

  • Bonjour, 

    Vous pouvez executer GPRESULT /H GPReport.html et voir les resultats s'il y a un problème en détails

    1. Essayez de voir au niveau GPO local (gpedit.msc) si les paramètres sont déjà defins.

    //Je te conseuil d'utiliser la Fine Grained Password Policies c'est plus simple et vous aurez les cofigurations que vous cherchez:

     https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/


    vote if you think useful




    mercredi 21 août 2019 15:12
  • Merci de ta réponse.

    Je viens d'aller voir dans le GPedit.msc, les valeurs correspondent à celles que j'ai config dans ma GPO.

    Est-ce que la Fine Grained Password Policies va me permettre de seulement config l'account lockout, ou bien il va falloir que je mette ma politique de mot de passe avec ? 

    Izhocell

    mercredi 21 août 2019 15:25
  • C'est un peu comme la stratégie de mot de passe, elle est unique dans le domaine.

    Qui valide le mot de passe d'un utilisateur de l'AD ? => le contrôleur de domaine

    Sur quelle serveur se trouve la liste des comptes ainsi que l'attribut verrouillé ? Le contrôleur de domaine

    Le mot de passe dans le cache du poste client ne sert que si aucun DC n'est joignable.

    La stratégie que vous avez faites ne devrait s'ppliquer qu'aux comptes locaux de la machine en question pas au compte du domaine.

    Si vous souhaitez mettre en oeuvre une stratégie de verrouillage de compte pour l'annuaire, configuré la stratégie dans la default domain policy :

    http://www.pbarth.fr/node/240

    En complément :

    http://www.pbarth.fr/node/336

    http://www.pbarth.fr/node/146

    mercredi 21 août 2019 15:26
    Modérateur
  • Je ne comprends pas pourquoi vous dites que la stratégie que j'ai fait ne devrait s'appliquer qu'au compte locaux. J'ai créé la GPO sur mon DC et non depuis GPedit.msc.

    Si je l'a met dans la default domain policy, comment je fais pour la tester ?

    Merci de votre réponse.

    Izhocell

    mercredi 21 août 2019 15:33
  • Merci de ta réponse.

    Je viens d'aller voir dans le GPedit.msc, les valeurs correspondent à celles que j'ai config dans ma GPO.

    Est-ce que la Fine Grained Password Policies va me permettre de seulement config l'account lockout, ou bien il va falloir que je mette ma politique de mot de passe avec ? 

    Izhocell

    Philipe déjà a recommandé de passer ces paramètres sur le GPO "Default Domain Policy"

    Sinon vous pourrez utiliser la solution Fine Grained Policy pour pouvoir intégrer ces paramètres en mode granulaire (exmp: une stratégie pour chaque groupe d'utilisateurs)

    En réponse à votre deuxieme question, si vous n'aurez pas besoin d'un paramètre laissez le par défaut.


    vote if you think useful




    mercredi 21 août 2019 15:36
  • Je ne comprends pas pourquoi vous dites que la stratégie que j'ai fait ne devrait s'appliquer qu'au compte locaux. J'ai créé la GPO sur mon DC et non depuis GPedit.msc.

    La GPO cible un ordinateur précis. Hors ce paramètre ne marche pas dans ce sens déja par ce que ce n'est pas l'ordinateur sur lequel le mot de passe est saisie qui vérifie le mot de passe et qui compte le nombre d'erreur, c'est le contrôleur de domaine. Voir les liens précédents.


    J'ai mis un PC de test dans le filtrage de sécurité et j'ai attribué cette GPO sur l'OU qui contient mon PC et User de test.

    Il faut utiliser la default domain policy et il n'est pas possible de mettre des paramètres de verrouillage et de mot de passe spécifique sur un ordinateur pour des comptes du domaine avec les GPO.

     

    mercredi 21 août 2019 16:27
    Modérateur
  • La GPO cible un ordinateur précis. Hors ce paramètre ne marche pas dans ce sens déja par ce que ce n'est pas l'ordinateur sur lequel le mot de passe est saisie qui vérifie le mot de passe et qui compte le nombre d'erreur, c'est le contrôleur de domaine. Voir les liens précédents.

    Ah ok tout est plus claire maintenant, je n'avais pas compris qu'il fallait que des DC soient associés à cette GPO pour quelle fonctionne. D'où l'utilisation de la Default Domain Policy.

    Du coup je n'ai pas la possibilité de tester cette GPO sans avoir de domaine de test ?

    Merci en tout cas

    Izhocell

    mercredi 21 août 2019 18:39
  • Bonjour,

    Comme vous l'expliquait Philippe, ces paramètres sont uniques à votre domaine, et généralement configurés dans la "default domain policy".

    Pour affiner les stratégies, vous devez utiliser les PSO et cibler des groupes utilisateurs.

    Vous pouvez vous appuyer sur les méthodes d'audit contenu dans le script en allant chercher les paramètres supplémentaires pur l'audit des configuration réalisées en PSO. Excusez moi pour l'exemple, je n'ai pas pu le retravaillé à votre besoin, je n'ai pas de PC à portée de main.

    ################# Send email when the password account will expire #################
    
    
    ### Init /Set var ###
    $ResultUserInfos=@()
    
    # Set threshold in days
    $ThresholdTrigger=60
    
    # SMTP conf
    $SMTPServer= »smtp.teddycorp.lab »
    $eMailSender= »system@teddycorp.lab »
    $eMailSubjectWarning= »Expiration Password »
    
    #eMail Template
    $MailTemplateWarning=@ »
    Bonjour %GivenName%,
    
    Le mot de passe du compte : %Account%
    Expire dans moins de %ThresholdTrigger% jours, date d’expiration : %dateExpiration%
    
    Pensez a le changer.
    
    Cordialement
    « @
    
    
    ### Module and third-party import ###
    Import-Module ActiveDirectory
    
    
    ### MAIN ###
    #Collect infos utilisateurs (user enable) :
    $LstUsers=Get-ADUser -SearchBase ‘OU=teddycorp,DC=teddycorp,DC=lab’ -Filter ‘enabled -eq « true »‘ -SearchScope Subtree -Properties mail, pwdLastSet | Select-Object *
    
    
    #Format data and select user with emaim address and expiration time <
    foreach($User in $LstUsers){
    
    #If PSO or GPO
    If($(Get-ADuser $User.SamAccountName -Properties « msDS-ResultantPSO »). »msDS-ResultantPSO » -eq $null){
    $DateExpiration=$([datetime]::FromFileTime($User.’msDS-UserPasswordExpiryTimeComputed’))
    }else{
    $DateLastPwdSet=$([datetime]::FromFileTime($User.’pwdLastSet’))
    $PSOPwdDuration=[int]$(Get-ADUserResultantPasswordPolicy -Identity $User.SamAccountName).MaxPasswordAge.days
    $DateExpiration=$DateLastPwdSet.AddDays($PSOPwdDuration)
    }
    
    
    #Calcul limit date
    $DateWithExpirationDuration=(Get-Date).AddDays($ThresholdTrigger)
    
    
    if(![string]::IsNullOrEmpty($User.mail)){
    if($DateExpiration -lt $DateWithExpirationDuration){
    $ObjectUser = New-Object System.Object
    $ObjectUser | Add-Member -Type NoteProperty -Name ExpirationDate -Value $DateExpiration
    $ObjectUser | Add-Member -Type NoteProperty -Name GivenName -Value $User.GivenName
    $ObjectUser | Add-Member -Type NoteProperty -Name Surname -Value $User.Surname
    $ObjectUser | Add-Member -Type NoteProperty -Name eMailAddress -Value $User.mail
    $ObjectUser | Add-Member -Type NoteProperty -Name UPN -Value $User.UserPrincipalName
    
    
    $ResultUserInfos+=$ObjectUser
    }
    }
    }
    
    
    #Write and send eMail :
    foreach($UserInfos in $ResultUserInfos){
    $EmailUser=$MailTemplateWarning
    $EmailUser=$EmailUser.Replace(« %GivenName% »,$UserInfos.GivenName)
    $EmailUser=$EmailUser.Replace(« %Account% »,$UserInfos.UPN)
    $EmailUser=$EmailUser.Replace(« %ThresholdTrigger% »,$ThresholdTrigger)
    $EmailUser=$EmailUser.Replace(« %dateExpiration% »,$UserInfos.ExpirationDate)
    
    Send-MailMessage -From $eMailSender -To $UserInfos.eMailAddress -Subject $eMailSubjectWarning -Body $EmailUser -SmtpServer $SMTPServer
    }

    https://teddycorp.net/mot-de-passe-expiration-notification-par-mail/#more-31

    Cordialement


    Benoit


    • Modifié Benoit N jeudi 22 août 2019 06:55
    jeudi 22 août 2019 05:36
  • La GPO cible un ordinateur précis. Hors ce paramètre ne marche pas dans ce sens déja par ce que ce n'est pas l'ordinateur sur lequel le mot de passe est saisie qui vérifie le mot de passe et qui compte le nombre d'erreur, c'est le contrôleur de domaine. Voir les liens précédents.

    Ah ok tout est plus claire maintenant, je n'avais pas compris qu'il fallait que des DC soient associés à cette GPO pour quelle fonctionne. D'où l'utilisation de la Default Domain Policy.

    Du coup je n'ai pas la possibilité de tester cette GPO sans avoir de domaine de test ?

    Merci en tout cas

    Izhocell

    Bonjour,

    Comme l'a indiqué Philippe, ce n'est pas possible : soit vous appliquez l'account lockout au domaine, soit à personne.

    Pour vos tests, vous pouvez mettre un nombre important d'échecs (afin que vos utilisateurs n'atteignent pas le threshold) - de cette manière "seul" vous serez affecté


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    http://snsv.consulting

    Blog : http://sylvaincoudeville.fr


    jeudi 22 août 2019 06:20
  • Merci pour votre réponse.

    Ce script me semble très utile.

    Izhocell

    jeudi 22 août 2019 06:32
  • Bonjour,

    effectivement je pense que je vais faire comme ça. Je comprends mieux maintenant comment ça fonctionne.

    En tout cas ca fonctionne beaucoup mieux dans la default domain policy :)

    Merci.

    Izhocell


    • Modifié Izho_cell jeudi 22 août 2019 06:48
    jeudi 22 août 2019 06:33