locked
Win 7 familiale premium. Supprimer la création/modif de mot de passe pour un utilisateur standard RRS feed

  • Discussion générale

  • Bonjour à toutes et tous,

    je cherche une astuce (logiciel, ou par modif base de registre) pour qu'un compte session windows (qui est accessible au public) ne puisse créer/modifier de mot de passe à sa mise en session.

    Il n'y a aucune commande dans la gestion des comptes utilisateurs. Je pourrai activer le compte invité, mais je cherche à contourner la chose.

    C'est si simple à faire sous Win 7 pro. Et là, sous la version basique. Aucuns accès à la stratégie locale - utilisateur et groupes locaux (lusrmgr.msc)

    plus de control.ini pour y mettre PASSWORD.CPL=NO

    Avez vous une idée ?

    Merci d'avance.

     

    jeudi 27 janvier 2011 23:32

Toutes les réponses

  • Astuce pour qu'un compte session windows (qui est accessible au public) ne puisse créer/modifier de mot de passe à sa mise en session
     
    Bonjour Gilles
    SECPOL.MSC et LUSRMGR.MSC ne sont effectivement pas disponibles sur Premium.
    Comme toujours on se rabat sur la commande NET ==> net accounts
    Depuis un compte admin ouvrir une Console CMD avec privilèges :
    WIN, cmd          CTL+MAJ+Entrée
    WIN+R, cmd     CTL+MAJ+Entrée
    Ou faire un clic droit sur l'icone "Invites de commandes" et "Exécuter en tant qu'Administrateur"
     
    Le commutateur à utiliser est  /minpwage (mini password age).
    Il est à 0 par défaut (on peut donc changer de mot de passe) et peut être monté à 999 jours (on ne peut plus changer de mot de passe avant 999 jours).
    Parallèlement il faut gérer  /maxpwage (maxi password age) qui doit être bien sûr supérieur. Il est à 42 par défaut.
     
    net accounts sans commutateurs donne l'état actuel des stratégies de mot de passe.
     
    Exemple :
     
    C:\>net accounts /maxpwage:unlimited
    La commande s'est terminée correctement.
     

    C:\>net accounts /minpwage:999
    La commande s'est terminée correctement.

    C:\>net accounts
    Fermeture forcée de la session après expiration ? :                    Jamais
    Durée de vie minimale du mot de passe (jours) :                        999
    Durée de vie maximale du mot de passe (jours) :                        Pas de limite
    Longueur minimale du mot de passe :                                    0
    Nombre de mots de passe antérieurs à conserver :                       Aucune
    Seuil de verrouillage :                                                Jamais
    Durée du verrouillage (min) :                                          30
    Fenêtre d'observation du verrouillage (min) :                          30
    Rôle de l'ordinateur :                                                 STATION
    La commande s'est terminée correctement.
     

    C:\>
     

     
    AIDE
    Pour une aide en ligne complète utiliser  /help plutôt que /?
     
    C:\>net accounts /help
    La syntaxe de cette commande est :
     
    NET ACCOUNTS
    [/FORCELOGOFF:{minutes | NO}] [/MINPWLEN:durée]
                  [/MAXPWAGE:{jours | UNLIMITED}] [/MINPWAGE:jours]
                  [/UNIQUEPW:nombre] [/DOMAIN]
     
    NET ACCOUNTS met à jour la base de données des comptes d'utilisateurs et
    modifie les exigences relatives au mot de passe et à l'ouverture de session
    pour tous les comptes. Utilisé sans options, NET ACCOUNTS affiche les
    paramètres actuels pour le mot de passe, les limitations d'ouverture de session
    et les informations de domaine.
     
    Deux conditions sont nécessaires pour que les options utilisées avec
    NET ACCOUNTS prennent effet :
     
    -  Les exigences relatives au mot de passe et à l'ouverture de session ne sont
       effectives que si des comptes d'utilisateurs ont été définis (utilisez
       le Gestionnaire des utilisateurs ou la commande NET USER).
     
    -  Le service Ouverture de session réseau doit s'exécuter sur tous les serveurs
       du domaine qui vérifient l'ouverture de session ; ce service démarre
       automatiquement en même temps que Windows.
     
    /FORCELOGOFF:{minutes | NO}   Définit le délai en minutes avant la
                                  déconnexion forcée d'un utilisateur dont le
                                  compte ou les heures d'ouverture de session
                                  arrivent à expiration. NO, valeur par défaut,
                                  empêche la déconnexion forcée.
    /MINPWLEN:durée               Nombre minimal de caractères pour un mot de
                                  passe. La plage est comprise entre 0 et 14
                                  caractères ; la valeur par défaut est de 6
                                  caractères.
    /MAXPWAGE:{jours | UNLIMITED} Délai maximal en jours pour la validité d'un
                                  mot de passe. Avec UNLIMITED, aucune limite n'est
                                  spécifiée. La valeur de /MAXPWAGE ne peut pas
                                  être inférieure à celle de /MINPWAGE. La plage
                                  est comprise entre 1 et 999 ; par défaut, la
                                  valeur reste inchangée.
    /MINPWAGE:jours               Délai minimal en jours avant d'autoriser un
                                  utilisateur à changer de mot de passe. La valeur
                                  0 indique qu'il n'y a pas de délai minimal. La
                                  plage est comprise entre 0 et 999 ; la valeur par
                                  défaut est de 0 jour. /MINPWAGE doit être
                                  inférieur à /MAXPWAGE.
    /UNIQUEPW:nombre              Empêche un utilisateur de reprendre le même mot
                                  de passe au cours d'un nombre de changements de
                                  mot de passe spécifique. La valeur maximale est
                                  24.
    /DOMAIN                       Effectue l'opération sur un contrôleur de domaine
                                  du domaine actuel. Dans le cas contraire,
                                  l'opération est effectuée sur l'ordinateur local.
     

    NET HELP commande | MORE affiche l'aide écran par écran.
     
    C:\>
     
    samedi 29 janvier 2011 07:19
  • Peut être via un script qui positionne les flags password no expire et user cannot change password. Par contre je ne me souviens plus si empêche un compte d'être sans mdp.

     

    Tu peux essayer qqch comme ça (pas testé) :

    Option Explicit
    
    Dim objNetwork, strComputer, strUser, objUser, lngFlag
    
    Const ADS_UF_PASSWD_CANT_CHANGE = &H10
    Const ADS_UF_DONT_EXPIRE_PASSWD = &H10000
    
    ' Specify user to set.
    strUser = "testuser"
    
    ' Retrieve NetBIOS name of local computer.
    Set objNetwork = CreateObject("Wscript.Network")
    strComputer = objNetwork.ComputerName
    
    
    ' Get User
    Set objUser = GetObject("WinNT://" & strComputer & "/" & strUser)
    
    ' Retrieve flags.
    lngFlag = objUser.userFlags
    ' Set Password cannot change.
    lngFlag = lngFlag Or ADS_UF_PASSWD_CANT_CHANGE
    ' Set Password never expires
    lngFlag = lngFlag Or ADS_UF_DONT_EXPIRE_PASSWD
    
    ' Save flag settings.
    objUser.Put "userFlags", lngFlag
    objUser.SetInfo
    
    
    

    samedi 29 janvier 2011 14:00