locked
Ma stratégie de mots de passe ne se déploie pas sur les postes clients !!! RRS feed

  • Question

  • Bonjour à tous,

     

    J'ai longtemp cherché avant de poster ce message, mais je n'arrive pas à comprendre pourquoi ma stratégie ne fonctionne pas.

     

    Pour vous mettre dans le contexte, mes postes clients en XP pro sont dans un domaine 2003 Server, avec un CD secondaire. Sur les deux CD est installé la console GPMC. Depuis cette console j'ai paramétré une stratégie de façon à réglementer les mots de passe ( caratères, nombres, durée de vie,...) .

     

    J'ai appliqué cette stratégie à un groupe d'utilisateurs que j'ai crée et dans lequel j'ai placé un utilisateur TEST. Dans l'AD, j'ai coché la case "l'utilisateur devra changer son MDP à la prochaine ouverture de session" afin de vérifier que ma stratégie fonctionne correctement. Je redémarre donc ma session, rentre un mot de passe non valide pour tester, et là un message s'affiche, m'informant que mon mot de passe doit contenir 8 caractères minimum. Le problème, c'est que quand je rentre "12345678" mon mot de passe est accepter alors qu'il ne respecte pas les exigences de complexité. Je n'y comprend vraiment rien !!!

     

    Même si je ne suis pas sûr que ce soit utile, après avoir crée cette stratégie j'ai quand même rentré la commande GPUPDATE /force, je suis allé vérifier dans l'observateur d'évenements qu'elle est bien été prise en compte, et je suis aussi allé vérifier dans la console GPMC du CD secondaire. Tout est OK !

    Sur le contrôleur de domaine, je suis allé voir comment était paramétré la stratégie de sécurité du domaine, et les paramètres de stratégie sont "non définis".

    Le problème viendrait-il de là ? Est-ce que les postes clients ne prennent en comptes que les paramètres choisis depuis les outils d'administration du serveur ? Et dans ce cas est-il possible de modifier ça ? Je suppose que oui sinon cette console ne servirait à rien...

     

    J'ai une dernière petite question, en fait je ne sais pas bien dans quelle UO je dois lier cet objet de stratégie. UO où figurent mes utilisateurs ? ou UO où figurent mes ordinateurs ? Actuellement je l'ai mise dans les deux.

     

    Si vous aviez un moyen de m'aiguiller, vous feriez un homme heureux

    Merci et à bientôt !

    jeudi 24 janvier 2008 12:06

Réponses

  •  

    Bonjour,

     

    une stratégie de mot de passe de domaine ne doit être configuré qu'au niveau de la GPO "Default Domain Policy". (Donc au niveau du domaine)

     

    En définissant une stratégie de mot de passe au niveau d'une OU, tu modifies en réalité la stratégie de mot de passe de la base de compte locale des ordinateurs se trouvant dans cette OU.

     

    Pour connaitre la stratégie de mot de passe du domaine appliqué sur un poste client, tu peux lancer depuis celui-ci la commande net accounts /domain (sans le /domain, tu obtiendras la stratégie de mot de passe locale, et donc probablement celle que tu pensais avoir défini pour ton utilisateur)

     

    Tiens moi au courant Wink

    jeudi 24 janvier 2008 12:21
  • Effectivement tu as bien compris le problème d'une stratégie de mot de passe dans un domaine Active Directory 2000/2003

     

    Il ne peut y avoir qu'une seule stratégie de mot de passe et elle sera commune à tous tes utilisateurs.

     

    Le logiciel Specops Password Policy permet en effet d'outrepasser cette restriction mais tout à un prix Wink.

     

    Il faut savoir sinon qu'avec l'arrivée de Windows Server 2008, tu auras la possibilité de définir une stratégie de mot de passe différentes en fonction de tes utilisateurs tout comme tu souhaites le faire.

     

    Si tu as d'autres questions, n'hésites pas

     

    @+

    jeudi 24 janvier 2008 13:38

Toutes les réponses

  •  

    Bonjour,

     

    une stratégie de mot de passe de domaine ne doit être configuré qu'au niveau de la GPO "Default Domain Policy". (Donc au niveau du domaine)

     

    En définissant une stratégie de mot de passe au niveau d'une OU, tu modifies en réalité la stratégie de mot de passe de la base de compte locale des ordinateurs se trouvant dans cette OU.

     

    Pour connaitre la stratégie de mot de passe du domaine appliqué sur un poste client, tu peux lancer depuis celui-ci la commande net accounts /domain (sans le /domain, tu obtiendras la stratégie de mot de passe locale, et donc probablement celle que tu pensais avoir défini pour ton utilisateur)

     

    Tiens moi au courant Wink

    jeudi 24 janvier 2008 12:21
  • Ouuuè super  Merci, je viens de comprendre un truc important là ! 

     

    Par contre avec le "net accounts" je n'ai pas la configuration que j'avais enregistré dans ma stratégie mais ça c'est pas grave...

     

    En étant dans la "Default Domain Policy", la stratégie de mot de passe de domaine ne peut donc pas gérer des groupe d'utilisateurs distincts ? Si j'avais par exemple voulu que les stagiaires aient des mots de passe basiques, alors que les autres utilisateurs, des mots de passe complexes... je laisse tomber l'idée  Enfin bon, c'est un peu dommage.

     

    Je voulais savoir, est-ce que tu connais le logiciel "Specops Password Policy" ? => http://www.specopssoft.com/products/specopspasswordpolicy/ (qui apparement permettrait de faire ce que j'aimerais).

     

    Merci encore.

    jeudi 24 janvier 2008 12:57
  • Effectivement tu as bien compris le problème d'une stratégie de mot de passe dans un domaine Active Directory 2000/2003

     

    Il ne peut y avoir qu'une seule stratégie de mot de passe et elle sera commune à tous tes utilisateurs.

     

    Le logiciel Specops Password Policy permet en effet d'outrepasser cette restriction mais tout à un prix Wink.

     

    Il faut savoir sinon qu'avec l'arrivée de Windows Server 2008, tu auras la possibilité de définir une stratégie de mot de passe différentes en fonction de tes utilisateurs tout comme tu souhaites le faire.

     

    Si tu as d'autres questions, n'hésites pas

     

    @+

    jeudi 24 janvier 2008 13:38
  • Bon, ben vive la migration sur server 2008 alors  Enfin... on verra... peut-être pas tout de suite quand même, laissons les autres avoir les nouveaux problèmes

     

    Merci beaucoup en tou cas  ++

    jeudi 24 janvier 2008 13:46
  •  

    Je ferai probablement parti "des autres"
    jeudi 24 janvier 2008 14:01
  • Merci pour nous xD

    jeudi 24 janvier 2008 14:10
  • Bonjour,

    Nous avons appliqué une stratégie similaire ici, mais en étant sous Windows Serveur 2003 j'ai pu faire que mes comptes génériques soient gérés distinctement par rapport aux autres concernant ces mots de passe. Normalement lorsque tu sélectionne tes objets (comptes utilisateurs en l'occurence) dans les propriétés, dans l'onglet compte tu peux cocher les cases :

    Le mot de passe n'expire jamais


     et

    L'utilisateur ne peut pas changer de mot de passe

    Et normalement ces paramètres ont priorité sur la GPO (en tout cas c'est le cas ici).

    Donc normalement pas besoin d'outil ni d'attendre Windows Serveur 2008. (la seule contrainte par contre qui n'est pas des moindre si tu veux que les mots de passe soient vraiment très "basique" c'est de désactiver l'exigence de complexité le temps de créer le compte stagiaire, puis de cocher les bonnes cases).

    En espérant t'avoir été utile.
    lundi 20 avril 2009 15:05