none
GPO - Mise en place expiration du mot de passe AD des utilisateurs au bout de 6 mois RRS feed

  • Question

  • Bonjour,

    Nous voulons mettre en place l'expiration du mot de passe AD de tous les utilisateurs de l'AD au bout de 6mois.
    Pour cela, nous avons utilisé la GPO "Password Policy" et paramétré les différents paramètres comme ci-dessous : 

    La GPO est pourtant bien appliquée, nous l'a voyons apparaître lorsqu'on fait un gpresult / r /scope computer mais ceci ne fonctionne pas.
    Arrivé au bout des 180jours, le mot de passe fonctionne toujours et il m'est pas demandé de changer le mot de passe.

    Je ne comprends pas...

    Pouvez-vous nous aider SVP ?

    Merci beaucoup !

    lundi 24 juin 2019 13:47

Réponses

  • J'ai créé une nouvelle GPO sur une OU spécifique en appliquant les paramètres "Password Policy" avec la complexité du mot de passe et l'expiration.

    Elle ne sera jamais prise en compte pour les comptes du domaine, c'est une certitude !

    http://www.pbarth.fr/node/146

    Si tu veux des stratégies différentes pour certains utilisateurs il faut utiliser :

    http://www.pbarth.fr/node/147

    Cependant, l'expiration du mot de passe ne fonctionne pas mais la complexité du mot de passe fonctionne et je n'arrive pas à comprendre pourquoi l'expiration ne fonctionne pas... 

    Ce n'est pas ta GPO liée à une OU qui a activer la complexité des mots de passe sur les comptes du domaine.

    • Marqué comme réponse Marwin322 mercredi 3 juillet 2019 12:52
    mercredi 3 juillet 2019 12:41

Toutes les réponses

  • Bonjour,

    Un lien avec la capture d'écran svp.

    Ensuite, vérifiez que dans les propriétés d'un compte AD, la case "le mot de passe n'expire jamais" n'est pas cochée. Je ne sais pas si elle prend le dessus par rapport à la GPO.

    lundi 24 juin 2019 16:38
  • Vous devez définir la stratégie de mot de passe d'un domaine Active Directory de préférence dans la default domain policy. Il est possible de définir dans une autre stratégie en créant un lien au niveau du domaine et si elle est plus prioritaire que la default domain policy.

    Voir http://www.pbarth.fr/node/146

    Une stratégie de mot de passe définit dans une GPO liée sur une OU contenant des ordinateurs du domaine n'a pas d'impact sur les comptes du domaine.

    Ensuite, vérifiez que dans les propriétés d'un compte AD, la case "le mot de passe n'expire jamais" n'est pas cochée. Je ne sais pas si elle prend le dessus par rapport à la GPO

    Oui si l'option est coché sur le compte utilisateur son mot de passe n'expire pas.

    lundi 24 juin 2019 17:02
  • Bonjour,

    Dans la default domain policy, j'ai désactivé les paramètres concernant "Password Policy" pour pas que ça soit pris en compte.
    J'ai créé une nouvelle GPO sur une OU spécifique en appliquant les paramètres "Password Policy" avec la complexité du mot de passe et l'expiration.

    Cependant, l'expiration du mot de passe ne fonctionne pas mais la complexité du mot de passe fonctionne et je n'arrive pas à comprendre pourquoi l'expiration ne fonctionne pas...

    Quand j’exécute une commande powershell pour avoir la date d'expiration du MDP, cela me retourne "false" comme résultat alors que j'ai bien mis une durée maximum pour le mot de passe.

    Ci-dessous les paramètres mis en place ( 1 jour pour test pour la durée max du mot de passe ) :


    De plus, la case "le mot de passe n'expire jamais" n'est pas cochée.

    Merci à vous!

    mercredi 3 juillet 2019 12:21
  • J'ai créé une nouvelle GPO sur une OU spécifique en appliquant les paramètres "Password Policy" avec la complexité du mot de passe et l'expiration.

    Elle ne sera jamais prise en compte pour les comptes du domaine, c'est une certitude !

    http://www.pbarth.fr/node/146

    Si tu veux des stratégies différentes pour certains utilisateurs il faut utiliser :

    http://www.pbarth.fr/node/147

    Cependant, l'expiration du mot de passe ne fonctionne pas mais la complexité du mot de passe fonctionne et je n'arrive pas à comprendre pourquoi l'expiration ne fonctionne pas... 

    Ce n'est pas ta GPO liée à une OU qui a activer la complexité des mots de passe sur les comptes du domaine.

    • Marqué comme réponse Marwin322 mercredi 3 juillet 2019 12:52
    mercredi 3 juillet 2019 12:41
  • D'accord merci pour les infos !
    mercredi 3 juillet 2019 12:53
  • Bonjour,

    J'ai activé la GPO dans la default domain policy comme vous m'aviez dit mais l'attribut PasswordExpired est à "False".
    Du coup le mot de passe n'expire jamais...

    Quelle est le problème ?

    Merci à vous !

    mercredi 18 septembre 2019 09:08
  • Bonjour, 

    Je te propose d'utilisater la FGPP, une solution pour mettre les parametrès sans  toucher la Default password Policy: 

    https://blog.piservices.fr/post/2013/01/16/Fine-Grained-Password-Policy-e28093-Interface-Graphique


    Vote or mark as answer if you think useful



    • Modifié F.ABASSI mercredi 18 septembre 2019 09:32
    mercredi 18 septembre 2019 09:32
  • Sur tes comptes dans l'AD, la case a coché le mot de passe n'expire jamais est coché ?

    Si oui il faut décocher l'option. Si l'option est activé l'utilisateur n'a pas besoin de changer son mot de passe quelque soit la méthode utilisé :

     -default domain policy ou

     -stratégies de mot de passe affinées...


    mercredi 18 septembre 2019 14:06
  • Bonjour,

    J'ai activé la GPO dans la default domain policy comme vous m'aviez dit mais l'attribut PasswordExpired est à "False".
    Du coup le mot de passe n'expire jamais...

    Quelle est le problème ?

    Merci à vous !

    De plus que Philippe a recommandé, vous pouvez ativer l'option "Password Never Expired" rapidement, je te propose de lancez cette camander Powershell: 

    Get-ADUser -Filter {(ObjectClass -eq "user") | Set-ADUser -PasswordNeverExpires:$Ture


    Vote or mark as answer if you think useful





    • Modifié F.ABASSI mercredi 18 septembre 2019 14:15
    mercredi 18 septembre 2019 14:14