none
Seuil de verrouillage de comptes par gpo ne s'applique pas RRS feed

  • Question

  • Bonjour,

    Je viens de configurer un gpo directement sur "Default Domain Policy" pour paramétrer le seuil de verrouillage de compte, et lorsque je vérifie dans cmd "net accounts" la stratégie est bien inscrit mais ne s'applique pas.

    Fermeture forcée de la session après expiration ? :                    Jamais
    Durée de vie minimale du mot de passe (jours) :                        5
    Durée de vie maximale du mot de passe (jours) :                        90
    Longueur minimale du mot de passe :                                    7
    Nombre de mots de passe antérieurs à conserver :                       10
    Seuil de verrouillage :                                                6
    Durée du verrouillage (min) :                                          30
    Fenêtre d'observation du verrouillage (min) :                          30
    Rôle de l'ordinateur :                                                 STATION
    La commande s'est terminée correctement.

    Les PC testé sont sous  win 8.1 et win 10 et mon DC est sous Windows server 2012R2

    Pouvez vous m'aide s'il vous plait

    jeudi 8 avril 2021 06:24

Toutes les réponses

  • Bonjour Misa23

    1ère chose : NE Jamais modifier la "Default Domain Policy"

    Elle ne convient pas à ton besoin, tu fais une autre GPO (liée au domaine) et tu la rends plus prioritaire que la "Default". Tu mets dedans les paramètres de la "Default" + d'autres si besoin, peu importe. Tout ça afin d'éviter des déboires.

    Pour vérifier si une GPO est appliquée ou pas tu as plusieurs moyens :

    • GPResult ex. : GPresult /H c:\temp\gpresult.hlml ==> A lancer dans une console DOS
    • RSOP (Resultat set of policy) : RSOP ==> A lancer dans une console DOS
    • La console Stratégie de Groupe : Elle te permet de faire un RSOP de manière centralisée sur la machine et (ou pas) tel ou tel utilisateur. Pas besoin de se mettre en bureau à distance sur la machine distante, ou de se déplacer.
    • Et bien entendu en Powershell, mais laissons ce point de côté.

    Net accounts donne effectivement des informations sur ce que tu recherches, mais le sinfo retournées sont (telles que tu as passé la commande) la Stratégie Locale(GPP), pas celle des GPOs. Une GPO prend le dessus sur une GPP pour un paramètre donné.

    Vérifies, mais je pense que ta GPO s'applique bien, simplement tu ne vérifies pas la bonne info.

    Cordialement

    Olivier

    jeudi 8 avril 2021 07:42
  • 1ère chose : NE Jamais modifier la "Default Domain Policy"

    La stratégie de mot de passe c'est peut-être le seul truc que je configure dans la default domain policy. 

    Si tu utilises PowerShell et les commandes Set-ADDefaultDomainPasswordPolicy ou Get-ADDefaultDomainPasswordPolicy  c'est bien la default password policy qui va être interrogé ou modifier. Par contre si tu as fait une autre GPO plus prioritaire c'est cette dernière qui sera prise en compte, ce qui risque de perturber la compréhension. 

    jeudi 8 avril 2021 19:08
    Modérateur
  • Bonjour Philippe

    Je maintiens, tant la Default Domain Policy que le Default Domain Controler policy ne devrait jamais être modifiées. Si la contenu de la 1ère (uniquement stratégie de mot de passe du domaine by design) ne convient pas au besoin, pas de pb, nouvelle GPO (appelons-là "MonDomain Default Domain Policy"), liaison au domaine, comme la défault, mais plus prioritaire.

    Pourquoi ce distinguo, qui même à toi, peut sembler superflu ?

    Tout simplement parce qu'on peut non seulement mettre d'autres paramètres dans une GPO (y compris la Default) que la stratégie de mot de passe, et se "couper l'herbe sous le pied". Se n'est pas pour rien qu'il existe une vieille commande DOS nommée GPOfix pour se sortir de la merd... quand des admins incompétents ont fait n'importe quoi. C'est également pour la même raison qu'il faut limiter (je pourrais même aller jusqu'à dire interdire, mais ce serait problblement trop pour certains cas) les GPOs liées au domaine. Combien de fois n'ai-je pas vu des GPOs qui devaient brider postes et utilisateurs, être liée au domaine et toucher de la sorte également les comptes admin, les serveurs et les DC ? Je ne les compte plus !

    La flemme de rechercher un papier de MS, demandant explicitement de ne pas modifier ces 2 policies, mais se suivre ce que j'ai écris, mais cela doit être retrouvable avec un peu de temps.

    Olivier

    vendredi 9 avril 2021 05:29
  • Pourquoi ce distinguo, qui même à toi, peut sembler superflu ?

    Si cela permet de comprendre qu'en créant une GPO plus prioritaire que la default domain policy, les commandes comme Set-ADDefaultDomainPasswordPolicy ou Get-ADDefaultDomainPasswordPolicy  peuvent ne pas correspondre à la réalité appliqué sur le réseau ce n'est pas superflu. 

    Il important de définir la stratégie de mot de passe ,j'ai même fait un article sur le sujet en 2015 http://pbarth.fr/node/146 . L'article sert à comprendre. 

     C'est également pour la même raison qu'il faut limiter (je pourrais même aller jusqu'à dire interdire, mais ce serait problblement trop pour certains cas) les GPOs liées au domaine.

    Perso, je définis la stratégie de mot de passe dans la default domain policy et que cela, j'ai quelques rares GPO sur le domaine comme pour distribuer un certificat d'autorité racine. Pour le reste, il est préférable de faire des GPO ciblé. Il y a bien longtemps, en formation, on m'a dit que si tu es obligé de couper l'héritage sur certains containers et de forcer certaines GPO, cela signifie que ton environnement est mal structuré. Je partage globalement cette idée...

    La flemme de rechercher un papier de MS, demandant explicitement de ne pas modifier ces 2 policies, mais se suivre ce que j'ai écris, mais cela doit être retrouvable avec un peu de temps.

    Ca par contre c'est superflue, soit tu as un lien à partager, soit il n'est pas utile de mettre cette remarque. 

    vendredi 9 avril 2021 08:13
    Modérateur
  • Bonjour,

    Je viens mettre mon grain de sel, car je vais pas me contenter de demander des choses uniquement sur ce forum, il faut aussi aider les gens :)

    Pour ma part, même méthode que philippe. Je gère la stratégie de mot de passe dans la default domain.

    La commande gpofix ne devrait jamais être utilisée et quand bien même elle ferait un reset du paramètrage concernant les mot de passe, est ce bien grave ?

    De plus, attention en ayant plusieurs GPO qui configurent la partie mot de passe, selon leur emplacement de liaison, cela n'aura un impact que sur les comptes locaux. En cas de besoin de politique de mot de passe différentes, il est intéressant de mettre en place des FGPP : https://docs.microsoft.com/en-us/answers/questions/179808/how-to-override-the-default-domain-password-policy.html

    Pour en revenir à la problèmatique, avec quel compte avez vous essayé ?

    Si c'est avec le compte administrateur du domaine, il ne peut pas être verrouillé donc c'est normal. 

    Il est possible de voir le nombre de tentatives erronés du compte concerné via l'attribut badpwdcount 


    Merci de marquer comme reponses les interventions qui vous ont ete utile.


    vendredi 9 avril 2021 09:14