none
heure application strategie de mot de passe sur AD 2012 RRS feed

  • Question

  • bonjour

    nous n'avions pas de stratégie de mot de passe auparavant.

    Nous en avons mis une par groupe d'utilisateurs grâce password settings container

    J'ai remarqué que la plupart des utilisateurs (même si depuis plusieurs jours ils avaient une alerte d'une futur expiration du mot de passe) ont du changer leur mot de passe en cours de journée car 2 applications web interne en php qui utilisent du sso lancez des fenêtres de connexion car le mot de passe avait expiré dans la matinée. Ils ne pouvaient plus se connecter en sso alors quelques minutes avant oui. Ils ont redémarré le pc et la ils avaient l'invite Windows leur demandant de modifier le mot de passe. Je pense que sans ces applis, cela aurait été transparent et le lendemain le problème serait passé inaperçu car ils auraient eu l'invite de changement de mot de passe.

    Ma question est : puis je changer l'heure d'expiration manuellement dans l'ad pour que cela s'expire genre à 4h du mat, et non en pleine matinée ou c'est l'heure ou qd l'utilisateur a changé le mot de passe qui prime?

    merci d'avance

    mercredi 21 décembre 2016 16:48

Réponses

  • Bonsoir,

    il n'y a pas d'heure particulière pour le changement de mot de passe. C'est au moment où l'utilisateur s'authentifie sur une nouvelle session ou ressource et que la date/heure d'expiration est atteinte ou dépassée que le changement de mot de passe se fait.

    Concrètement, lors de l'application d'une nouvelle stratégie de mot de passe, alors qu'il n'y avait pas d'expiration précédemment, le nouveau mot de passe est demandé presque immédiatement pour la quasi-totalité des utilisateurs.

    Par exemple, si le mot de passe a été changé/créé depuis plus de 6 mois pour la plupart des utilisateurs, et que l'on passe à une expiration de mot de passe de 3 mois, alors tous les mots de passe vont expirer en même temps, car trop anciens pour la stratégie. Le nouveau mot de passe sera demandé au prochain accès!

    A bientôt,

     


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    mercredi 21 décembre 2016 19:34
  • Le calcul se fait par rapport à l'attribut utilisateur pwdlastset qui indique le moment du dernier changement de mot de passe avec une une précision de 100nSecondes. L'heure est pris en compte pas uniquement le jour.

    https://msdn.microsoft.com/fr-fr/library/ms679430(v=vs.85).aspx

    Comme expliqué par Thierry , si vous passez d'une valeur de 6 mois à 3 mois une grande partie des utilisateurs devront changer leur mot de passe en même temps(ceux dont le dernier changement date de plus de 3 mois), mais ceux d'entre eux qui auront un mot de passe de moins de 3 mois  ne seront pas concernés.

    Si vous voulez forcer le changement d'un mot de passe au même moment vous pouvez effectuer un script par tâche planifié qui force le changement de tous les mots de passes.

    Il est également possible de modifier la valeur avec powershell : https://gallery.technet.microsoft.com/scriptcenter/Change-AD-Attribute-e5525647

    En générale l'utilisateur a droit à un avertissement les jours qui précédent, même s'il est un peu discret. J'ai déja vu certain mettre un script qui envoie un mail d'avertissement 5 jours avant l'expiration par exemple.

    https://gallery.technet.microsoft.com/scriptcenter/Password-Expiry-Email-177c3e27

    A adapter ...


    jeudi 22 décembre 2016 06:43
    Modérateur

Toutes les réponses

  • Bonsoir,

    il n'y a pas d'heure particulière pour le changement de mot de passe. C'est au moment où l'utilisateur s'authentifie sur une nouvelle session ou ressource et que la date/heure d'expiration est atteinte ou dépassée que le changement de mot de passe se fait.

    Concrètement, lors de l'application d'une nouvelle stratégie de mot de passe, alors qu'il n'y avait pas d'expiration précédemment, le nouveau mot de passe est demandé presque immédiatement pour la quasi-totalité des utilisateurs.

    Par exemple, si le mot de passe a été changé/créé depuis plus de 6 mois pour la plupart des utilisateurs, et que l'on passe à une expiration de mot de passe de 3 mois, alors tous les mots de passe vont expirer en même temps, car trop anciens pour la stratégie. Le nouveau mot de passe sera demandé au prochain accès!

    A bientôt,

     


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    mercredi 21 décembre 2016 19:34
  • Le calcul se fait par rapport à l'attribut utilisateur pwdlastset qui indique le moment du dernier changement de mot de passe avec une une précision de 100nSecondes. L'heure est pris en compte pas uniquement le jour.

    https://msdn.microsoft.com/fr-fr/library/ms679430(v=vs.85).aspx

    Comme expliqué par Thierry , si vous passez d'une valeur de 6 mois à 3 mois une grande partie des utilisateurs devront changer leur mot de passe en même temps(ceux dont le dernier changement date de plus de 3 mois), mais ceux d'entre eux qui auront un mot de passe de moins de 3 mois  ne seront pas concernés.

    Si vous voulez forcer le changement d'un mot de passe au même moment vous pouvez effectuer un script par tâche planifié qui force le changement de tous les mots de passes.

    Il est également possible de modifier la valeur avec powershell : https://gallery.technet.microsoft.com/scriptcenter/Change-AD-Attribute-e5525647

    En générale l'utilisateur a droit à un avertissement les jours qui précédent, même s'il est un peu discret. J'ai déja vu certain mettre un script qui envoie un mail d'avertissement 5 jours avant l'expiration par exemple.

    https://gallery.technet.microsoft.com/scriptcenter/Password-Expiry-Email-177c3e27

    A adapter ...


    jeudi 22 décembre 2016 06:43
    Modérateur
  • merci beaucoup de vos réponses

    effectivement l'avertissement est tres discret sous windows 7. un peu plus visible sur windows 10.

    je vais tester l'idée du mail.

    jeudi 22 décembre 2016 09:01
  • Sinon, car c'est ce que j'ai fait, en solution de contournement, j'avais utiliser ce logiciel gratuit.

    https://www.manageengine.com/products/self-service-password/free-password-expiry-notification-tool.html

    Il vous permet de prévenir jusqu'a 2 semaine par email que le mot de passe expire.

    Ca évite les changement au dernière moment.

    Ca evite beaucoup d'ennuie pour le support et les utilisateurs

    Cordialement

    Francis Bonnamour
      

    vendredi 23 décembre 2016 01:29
  • merci

    je testerais peut etre l'outil par la suite.

    j'ai mis en place le script d'envoi d'email (proposé par philippe plus haut) pour qu'il l'envoi a 10, 5 et 1 jours avant expiration.

    j'espere qu'on m'appelera moins lors de la prochaine expiration :)

    vendredi 23 décembre 2016 15:04