Remove From My Forums

Détécter le changement de mot de passe d'un utilisateur

Question
1

Connectez-vous pour voter

Bonjour,

Depuis quelques temps, notre direction nous impose une politique de sécurité de changement des mots de passe utilisateurs...

Cependant, en tant qu'admin du réseau, il m'est nécessaire d'avoir leur mot de passe. Or tous les utilisateurs ne pensent pas me l'envoyer une fois avoir changé celui-ci... J'ai bien tenté d'écrire un programme qui bosse avec la date de dernière modification du mot de passe, mais cela ne fonctionne pas à 100ù correctement.

Ma question est donc : y a t-il un moyen de savoir lorsque l’utilisateur change son mot de passe... Si possible avec un objet accessible par programmation, mais sinon tout aide sera la bienvenue .

Merci d'avance

orion

dimanche 11 janvier 2015 11:33

Réponses

2

Connectez-vous pour voter
bonjour,

pour info, la dll PCNS peut être scripté également et ne nécessite pas techniquement d'installer FIM ou MIM.

la dll PCNS peut intercepter le changement de mot de passe dans la mémoire du DC avant chiffrement on peut récupérer le mdp ou tout simplement générer un event pour avoir si il a été changé.

pour plus d'information sur cette DLL, voir: http://www.it-channels.com/forefront-identity-manager/145-fim-et-le-mecanisme-de-synchronisation-de-mot-de-passe

sylvain

Sylvain Cortes - MVP GPOs Weblog MVP: www.gpomasters.com Weblog Identity Management: www.identitycosmos.com Communauté Active Directory et Identity Management: www.cadim.org
- Proposé comme réponse Sylvain Cortes - MVPMVP dimanche 11 janvier 2015 17:08
- Marqué comme réponse Boris Ivanov _ mardi 13 janvier 2015 11:30
dimanche 11 janvier 2015 17:08

Toutes les réponses

1

Connectez-vous pour voter

Bonjour,

Depuis quelques temps, notre direction nous impose une politique de sécurité de changement des mots de passe utilisateurs...

Cependant, en tant qu'admin du réseau, il m'est nécessaire d'avoir leur mot de passe. Or tous les utilisateurs ne pensent pas me l'envoyer une fois avoir changé celui-ci... J'ai bien tenté d'écrire un programme qui bosse avec la date de dernière modification du mot de passe, mais cela ne fonctionne pas à 100ù correctement.

Ma question est donc : y a t-il un moyen de savoir lorsque l’utilisateur change son mot de passe... Si possible avec un objet accessible par programmation, mais sinon tout aide sera la bienvenue .

Merci d'avance

orion

Bonjour,

Mettons à part le côté "légal" de la question...

Sur chaque compte utilisateur Active Directory, tu as un attribut "PwdLastSet" qui correspond à la date de changement du mot de passe.
Blog
Scripts

dimanche 11 janvier 2015 11:44
1

Connectez-vous pour voter
Bonjour,

Tout d'abord, merci de votre réponse ...

Mettons à part le côté "légal" de la question... -> Attention, en aucun cas, je ne demande comment récupérer la valeur du mot de passe de l'utilisateur, juste savoir si celui-ci vient de changer son mot de passe, donc rien d'illégal...

Ensuite, oui je connais bien cette propriété... Comme je le disais j'ai créé un programme qui travail avec cette propriété mais cela n'est pas totalement fonctionnel.

Merci quand même
- Modifié Orion Dev dimanche 11 janvier 2015 11:47
dimanche 11 janvier 2015 11:47
1

Connectez-vous pour voter

Bonjour,

Que vous manque t il pour que le résultat vous convienne ?
Vous pouvez à l'aide de powershell récupérer cette information.
Vous pourriez nous donner votre script afin de vous aider à le faire fonctionner correctement ?

dimanche 11 janvier 2015 13:39
1

Connectez-vous pour voter
Bonjour,

Merci aussi à vous pour vos réponses...

Si votre question concerne le programme que j'ai écris :

Le programme en fait, ne fait que lire la propriété PwdLastSet, citée par Emmanuel Demillière. Et si cette propriété est comprise dans l'heure qui précède l'horaire actuelle, alors le programme demande à l'utilisateur de m'envoyer son mot de passe....

Le programme tourne alors une fois toute les heures, mais le problème est que si l'utilisateur change son mot de passe puis se déconnecte et ne se reconnecte pas dans l'heure qui suit le changement du mot de passe, le programme ne fonctionne pas.

Voila donc où j'en suis...

Je connais assez peu le PS... Je veux bien essayer de commencer un script mais en utilisant quel objet, l'AD, ou un autre relatif à la sécurité de Windows ?

merci d'avance

orion
- Modifié Orion Dev dimanche 11 janvier 2015 13:50
dimanche 11 janvier 2015 13:49
1

Connectez-vous pour voter

D'accord,

A part le fait que je ne comprenne pas vraiment pourquoi vous avez besoin du mot de passe (??), et que le stockage en clair pose de réels problèmes de sécurité, vous avez plusieurs solutions.

Soit avec la commande DSQUERY, par exemple :
dsquery user -name "*" -stalepwd 2 (qui n'a pas changé son mot de passe depuis plus de 2 jours)
... soit en powershell
Get-ADUser -filter * -properties passwordlastset (donne moi les dernières dates de changement)
Vous utilisiez déjà ce genre de commandes ?

dimanche 11 janvier 2015 14:18
1

Connectez-vous pour voter
Les mots de passes des utilisateurs me servent à les aider dans le sens ou nous avons plusieurs applications métiers qui utilisent une connexion LDAP par exemple ou encore tout simplement sur leur bureau Windows...

Pour les commandes, je ne savais pas qu'on pouvait faire cela avec DSQUERY et pour le PS, et bien c'est ce que j'ai fais en C# entre autre... A vous écouter, un script serait plus pratique pour obtenir ce genre d'informations....

Je vais essayer de voir avec ces commandes si je peux notifier le changement de mot de passe d'un utilisateur.

Encore merci

orion
- Modifié Orion Dev dimanche 11 janvier 2015 15:22
dimanche 11 janvier 2015 15:21
2

Connectez-vous pour voter
bonjour,

pour info, la dll PCNS peut être scripté également et ne nécessite pas techniquement d'installer FIM ou MIM.

la dll PCNS peut intercepter le changement de mot de passe dans la mémoire du DC avant chiffrement on peut récupérer le mdp ou tout simplement générer un event pour avoir si il a été changé.

pour plus d'information sur cette DLL, voir: http://www.it-channels.com/forefront-identity-manager/145-fim-et-le-mecanisme-de-synchronisation-de-mot-de-passe

sylvain

Sylvain Cortes - MVP GPOs Weblog MVP: www.gpomasters.com Weblog Identity Management: www.identitycosmos.com Communauté Active Directory et Identity Management: www.cadim.org
- Proposé comme réponse Sylvain Cortes - MVPMVP dimanche 11 janvier 2015 17:08
- Marqué comme réponse Boris Ivanov _ mardi 13 janvier 2015 11:30
dimanche 11 janvier 2015 17:08
1

Connectez-vous pour voter

Je ne sais pas si Orion utilise FIM mais c'est une bonne info !

dimanche 11 janvier 2015 17:12
1

Connectez-vous pour voter
Bonsoir à tous, et encore encore merci pour votre aide....

En effet, je ne connaissais rien de tout ca... ni la dll PCNS ni FIM, mais cela me parait la solution...

Je vais regarder tout cela et vous tient au courant.
- Modifié Orion Dev dimanche 11 janvier 2015 18:34
dimanche 11 janvier 2015 18:22
1

Connectez-vous pour voter

Re,

Je viens de regarder PNCS et FIM, et en effet, je pense pouvoir faire ce que je veux avec ca...

Pourriez-vous m'envoyer le fichier DLL SVP...

Je vais voir si je peux trouver une documentation pour implémenter cette DLL à mon programme.
Automatic notification from TechNet forum.

dimanche 11 janvier 2015 18:33
1

Connectez-vous pour voter

le fichier pcnsflt.dll serait-il le bon ?
Automatic notification from TechNet forum.

dimanche 11 janvier 2015 18:43

Produits

Resources

Solutions

Mises à jour

Évaluations

Sites connexes

Formation

Certifications

Autres ressources

Support TechNet

Autres liens

Pas un pro ?

Meilleur auteur de réponses

Détécter le changement de mot de passe d'un utilisateur

Question

Réponses

Toutes les réponses