locked
GPO et mot de passe RRS feed

 > 

  • Question

  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour à tous,

    Lors d'un changement de mot de passe sur un des pc du domaine, un message d'erreur m'indique si je ne respecte pas certains critères.

    "impossible de ... ne respecte pas les spec de longueurs, de complexité ou d'historique du domaine."

    Pourtant au niveau des GPO, notamment "default Domain Policy" et "Default Domain Controllers Policy", tous les choix de la stratégie d'un mot de passe sont en "Non défini".

    >configuration ordinateur >stratégies>Paramètres Windows>... de sécurité> ... des comptes>

    J'ai vérifié toutes les GPO, elles sont toutes paramétrées de la sorte.

    Plus étonnant, certains mots de passe rejetés à la saisie via le pc, sont validés si saisis au niveau du DC (comptes utilisateur, clic droit, "réinitialiser le mot de passe").

    Ma question : puisqu'il y a bien des règles concernant les mots de passe, à quel endroit puis je les retrouver, autre que ceux mentionnés?

    Quelques infos techniques :

    Domaine fonctionnel en 2000, 1 Dc en 2003 et 4 en 2008 R2.
    Les pc subissent un gpupdate /force puis un gpresult/r constamment

    Merci d'avance pour votre aide à la compréhension de ce phénomène qui n'est pas bloquant, mais m'agace depuis quelques jours.

    Bruno

    mercredi 27 mars 2019 09:54

Réponses

  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Pourtant au niveau des GPO, notamment "default Domain Policy" et "Default Domain Controllers Policy", tous les choix de la stratégie d'un mot de passe sont en "Non défini".

    Lorsque tu utilises non définit dans la stratégie de groupe, cela ne veut pas dire qu'il n'y aura pas de paramètre, mais que le paramètre appliqué ne viendra pas de ta stratégie. Si aucun paramètre n'est définit alors la stratégie appliqué sera la stratégie par défaut de l'ordinateur, qui a des exigences de complexité selon  les OS . Si tu veux désactivé le paramètre il faut définir une valeur dans la default domain policy ( longeur minimal 0, durée 0, complexité désactivé).

    Il faut imager les stratégies comme des calques, ils sont appliqués de la moins prioritaires à la plus prioritaire, si un paramètre dans une GPO plus prioritaire est définit il remplace le paramètre de l'autre ( " le cache par superposition).

    Pour la stratégie de mot de passe appliqué au compte du domaine, elle doit être définit sur une GPO lié au niveau du domaine : Default Domain Policy.

    • Marqué comme réponse Bruno_50 dimanche 31 mars 2019 08:40
    dimanche 31 mars 2019 07:16

Toutes les réponses

  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Bonjour

    Voici un lien qui pourra peut être vous aider

    http://www.pbarth.fr/node/146

    Seule la GPO « default Domain Policy » rentre en compte dans la stratégie de mots de passe du domaine.

    Pour info

    Retirer les contrôleur de domaine en 200, 2003 et 2008.

    Migrer en 2012 ou 2016 voir 2019.

    Placer le niveau fonctionnel en 2012 minimum.

    "Marquer comme réponse" les réponses qui ont résolu votre problème



    samedi 30 mars 2019 13:40
  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    +1 Pour Jerome.

    La gestion du mot de passe des comptes du domaine est gérée que via la GPO defaut domain policy.

    Je rejoin également Jerome que vous devez migrer le DC2003 en urgence vers une version plus récentes Windows 2012 R2 ou Windows 2016 et les autres DCs avant fin d'année vue que la fin du support de Windows 2008R2 est prévue debut de l'année prochaine.

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    samedi 30 mars 2019 14:49
    Auteur de réponse
  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Pourtant au niveau des GPO, notamment "default Domain Policy" et "Default Domain Controllers Policy", tous les choix de la stratégie d'un mot de passe sont en "Non défini".

    Lorsque tu utilises non définit dans la stratégie de groupe, cela ne veut pas dire qu'il n'y aura pas de paramètre, mais que le paramètre appliqué ne viendra pas de ta stratégie. Si aucun paramètre n'est définit alors la stratégie appliqué sera la stratégie par défaut de l'ordinateur, qui a des exigences de complexité selon  les OS . Si tu veux désactivé le paramètre il faut définir une valeur dans la default domain policy ( longeur minimal 0, durée 0, complexité désactivé).

    Il faut imager les stratégies comme des calques, ils sont appliqués de la moins prioritaires à la plus prioritaire, si un paramètre dans une GPO plus prioritaire est définit il remplace le paramètre de l'autre ( " le cache par superposition).

    Pour la stratégie de mot de passe appliqué au compte du domaine, elle doit être définit sur une GPO lié au niveau du domaine : Default Domain Policy.

    • Marqué comme réponse Bruno_50 dimanche 31 mars 2019 08:40
    dimanche 31 mars 2019 07:16
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour à tous les 3.

    Une réponse, même le dimanche avec le décalage horaire !

    Pour la version des DC, c'est l'affaire d'un projet qui est en cours. Et plus globalement DC + serveur + postes de travail.

    Donc pas d’inquiétude. Il y a d'autres difficultés "métier et historiques" dont je dois aussi lever les blocages. On a pas toujours ce que l'on veut!

    Pour la partie GPO, je les limites aux strictes nécessaires que m'impose la PSSI (mot de passe, IPv6,NBT-NR, ...) et WSUS. PPSI au niveau de l'OU du domaine, et WSUS OU ordinateur créé pour cela.

    Merci à Philippe qui me donne une piste essentielle que je vais explorer. Je ne doute pas de sa réponse, je vais donc clôturer le ticket.

    Profitez tous bien de WE ensoleillé.

    Nota : N'ayant pas "toutes" les compétences nativement, je profite pour dire merci aux personnes du forum de m'avoir accompagner sur cette question à la marge. Cela m'a permis de découvrir le site de P BARTH qui a la particularité d'être vulgarisateur pour un informaticien. Pour les autres ...

    Bruno

    dimanche 31 mars 2019 08:35
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour,

    Pour donner suite à ce post, ce que j'ai mis en place :

    1 - modification de la GPO "default Domain Policy ", comme préconisé par P BARTH, modification des lignes à 0.

    2 - gpupdate + gpresult + test d'un pc lambda : je peux mettre à jour un mot de passe sans aucunes restrictions

    3 - création d'une nouvelle GPO avec une restriction plus fine. Je l'ai "forcée".

    4 - gpupdate + gpresult + test d'un pc lambda : retour à la normale, c'est à dire que j'ai compris le fonctionnement

    Bonne soirée

    mercredi 3 avril 2019 18:22