locked
strategie de mot de passe AD RRS feed

  • Question

  • Bonjour,

    Jusqu'à présent la direction nous demandait à ce que les mots de passe des utilisateurs ne changent pas. Suite à un audit, on change de sens, on nous demande maintenant à ce que tous les 2 mois, les utilisateurs doivent changer leurs mots de passe, avec un mot de passe complexe....

    J'ai donc créé une nouvelle GPO car je n'aime pas toujours à  la "default domain Policy".

    Vaut il mieux modifier la default domaine Policy ?
    est ce que cette GPO que j'ai créé, vu qu'elle s'applique aux ordinateurs va affecter les utilisateurs locaux des PC ?
    de plus, j'ai fait un RSOP, je vois que la nouvelle stratégie s'applique, pourtant quand j'ouvre ma session, cela ne me demande pas un nouveau pass, faut il sur le compte AD cliquer sur réinitialiser la 1er fois ?
    Est il possible de créer des strategie différentes appliquées sur des OU ou on est obligé de changer la domin Policy ?
    merci

    • Modifié ericbrest vendredi 11 septembre 2015 15:14
    vendredi 11 septembre 2015 15:13

Réponses

  • Par défaut c'est la stratégie de mot de passe définit dans default Domain Policy qui s'applique.

    voir http://pbarth.fr/node/146

    Si vous souhaitez vraiment en faire une autre, elle doit automatiquement être lié à la base du domaine et il faut manuellement modifié l'ordre de priorité dans les GPO pour la rendre plus prioritaire que la default Domain Policy.

    Les Stratégies de mot depasse définit dans des GPO sur des OU particulière ne s'applique pas aux compte AD.

    Si vous souhaitez utiliser des stratégies différentes ce n'est plus dans les GPO,mais il faut utiliser les strétégies de mot de passe affinées qui se configure dans l'AD, voir http://pbarth.fr/node/147



    vendredi 11 septembre 2015 16:33

Toutes les réponses

  • Par défaut c'est la stratégie de mot de passe définit dans default Domain Policy qui s'applique.

    voir http://pbarth.fr/node/146

    Si vous souhaitez vraiment en faire une autre, elle doit automatiquement être lié à la base du domaine et il faut manuellement modifié l'ordre de priorité dans les GPO pour la rendre plus prioritaire que la default Domain Policy.

    Les Stratégies de mot depasse définit dans des GPO sur des OU particulière ne s'applique pas aux compte AD.

    Si vous souhaitez utiliser des stratégies différentes ce n'est plus dans les GPO,mais il faut utiliser les strétégies de mot de passe affinées qui se configure dans l'AD, voir http://pbarth.fr/node/147



    vendredi 11 septembre 2015 16:33
  • Bonsoir,

    les stratégies sur les OUs s'appliquent... mais pas aux comptes AD! Elles s'appliquent aux comptes locaux des ordinateurs correspondants.

    L'ordre d'application des stratégies est important. Vérifier aussi la stratégie qui est définie sur le conteneur des contrôleurs de domaine. Elle peut influer sur les mots de passe modifier au niveau des contrôleurs de domaine !

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(82 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    vendredi 11 septembre 2015 19:13
  • justement je ne souhaite pas que la GPO s'applique pas sur les utilisateurs locaux, juste sur les comptes AD.

    je souhaite appliquer sur des OUs car chaque OU correspond à un site diffèrent chez moi et je souhaite définir une stratégie différente par site (donc par OU) 

    dimanche 13 septembre 2015 09:05
  • Dans ce cas il faut utiliser les "strategie de mot de passes granulaires" "PSO"

    Je t'invite à lire cet article :

    https://technet.microsoft.com/fr-fr/library/cc770394(v=ws.10).aspx.

    Il faut verifier les prérequis : Niveau fonctionel du domaine 2008

    • Proposé comme réponse Amine.G dimanche 13 septembre 2015 09:13
    • Non proposé comme réponse Philippe BarthMVP dimanche 13 septembre 2015 15:01
    dimanche 13 septembre 2015 09:13
  • Je n'avais pas lu au départ que tu parles de comptes locaux et non du domaine ... répondu trop vite ...

    Thierry : Tu as déjà essayer de définir des paramètres de mots de passe dans une GPO sur l'OU des contrôleurs de domaine ?

    Perso tous les tests que j'ai fait on montré que les paramètres de mot de passe (juste cela) appliqués dans une GPO sur le conteneur Domain Controller ne sont pas pris en compte par l'AD. Seul les paramètres définit sur le domaine fonctionne. Ce que montre également l'assistant de résultat de stratégie de groupe.

    Au niveau des comptes locaux des machines si l'on applique une GPO avec des paramètres de mot de passe différent sur l'OU contenant les ordinateurs client  la stratégie de mot de passe s'applique sur les comptes locaux de ces machines.



    dimanche 13 septembre 2015 15:12
  • tu me conseilles quoi alors ?

    modifier la domain Policy simplement ?

    lundi 14 septembre 2015 06:34
  • Dans la domain policy ou dans une autre GPO appliqué au niveau du domaine et avec une priorité supérieur à la défaut domain policy tu mets tes paramètres de stratégie pour les compte AD.

    Sur l'OU contenant les postes de travail tu mets une GPO pour le comptes locaux des postes.

    lundi 14 septembre 2015 08:20
  • Bon pour faire plus simple je crois que je vais modifier la "default domain Policy"

    Si je change la stratégie de mot de passe de "default dmain Policy", cela s'applique aux comptes AD mais est ce que cela va impacter aussi les comptes locaux des PCs ?

    lundi 14 septembre 2015 09:21
  • OUI il faut une 2 ème GPO sur l'OU des ordinateurs en question qui donne une stratégie différente pour les compte locaux.

    Je ne vois pas la complication ?!

    lundi 14 septembre 2015 10:01
  • Non c'est juste si tu veux des politiques de mot de passe différentes dans le même domaine AD de l'AD.

    Tu fais sur l'ou une GPO avec les même paramètres que les mots de passe dans la default domain policy mais avec les valeurs que tu souhaites pour tes comptes locaux et tu la lie sur l'ou ou se trouve les ordinateurs. La default domain policy definira les paramètres pour les mots de passe des compte de l'AD...

    A savoir : 

    Stratégies 
    Paramètres Windows
    Paramètres de sécurité
    Stratégies de comptes/Stratégie de mot de passe

    Stratégie
    Stratégie Paramètre
    Antériorité maximale du mot de passe x
    Antériorité minimale du mot de passe x jours
    Appliquer l’historique des mots de passe x mots de passe mémorisés
    Enregistrer les mots de passe en utilisant un chiffrement réversible Désactivé
    Le mot de passe doit respecter des exigences de complexité x
    Longueur minimale du mot de passe x caractères


    lundi 14 septembre 2015 13:46
  • bon j'ai activé FGPP, cela fonctionne.

    par contre, lorsque l'utilisateur rentre un nouveau mot de passe qui ne répond pas aux exigences de complexité, cela affiche simplement "ce mot de passe ne répond pas aux exigences de complexité"

    j'aurais aimé un message qui indique les exigences de complexité attendu, possible ?

    mardi 15 septembre 2015 07:52
  • Le message n'est pas modifiable.

    PErso je trouve un peu lourd d'utiliser les stratégies de mot de passe affinés pour avoir une stratégie unique dans le domaine alors qu'une simple GPO pour le domaine et une autre pour les postes client suffit, mai l'essentiel est que ca marche...

    mardi 15 septembre 2015 16:45
  • je comprends mais j'ai un seul domaine effectivement mais plusieurs sites distants

    avec FGPP je peux donc définir des stratégies différentes par site

    mercredi 16 septembre 2015 13:25
  • Tu définis des stratégie de mots de passe affinés par site AD ou plutôt par groupe d'utilisateur? 

    Donc tu veux plusieurs stratégie de mot de passe dans le même domaine, donc la solution est bien dans les stratégies de mot de passe affinés (FGPP)

    mercredi 16 septembre 2015 17:27