none
Forcer une stratégie de mot de passe affinée RRS feed

 > 

  • Question

  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    Dans un environnement AD 2012, niveau fonctionnel 2008, j'aimerais forcer une PSO sur les utilisateurs concernés.

    En effet, la création de stratégie de mot de passe affinée a correctement fonctionné et semble s'appliquer si l'utilisateur modifie son mot passe. Cependant, nous n'arrivons pas à forcer cette modification.

    Est il finalement possible que la PSO s'applique au logon par exemple, et qu'un message explicite s'affiche demandant à l'utilisateur de saisir un nouveau mot de passe respectant les réglages mis en place ?

    Merci de votre aide

    jeudi 17 décembre 2015 15:41
    |

Réponses

  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Désolé, je me suis mal exprimé.

    La solution est juste au dessus, je me sers d'une script powershell pour forcer le changement de mot passe à un groupe d'utilisateur donné (Get-ADGroupMember "Groupe_toto" | Set-ADUser -PasswordNeverExpires $false -ChangePasswordAtLo
    gon $true -CannotChangePassword $false)

    Cela automatise simplement l'action d'aller décocher manuellement les bonnes cases dans le profil utilisateur.

    Pour les connexions de type ferme RDS via client léger (Wyse), si cela interesse quelqu'un, il a fallu que je change la configuration de la couche de sécurité RDP. Je n'ai pas trouvé d'autre solution...


    mercredi 23 décembre 2015 14:26
    |

Toutes les réponses

  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    La PSO se créée mais ne s'applique pas comme vous l'avez définit ?

    Stratégie de mot de passe affinée.

    Cordialement,

    Emile

    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    vendredi 18 décembre 2015 09:13
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour Emile,

    J'ai suivi précisément ce tutorial, ça tombe bien.

    La stratégie est correctement crée et semble s'appliquer : si un utilisateur impacté décide de lui même de changer son mot de passe, ou si un admin change son mot de passe, je suis bien obligé de suivre les réglages de la PSO.

    Ce qui ne semble pas fonctionner, c'est "forcer" les utilisateurs impactés par la PSO à changer leur mot de passe si ce dernier ne répondait pas aux exigences.

    Je pensais, peut-être naïvement, qu'un nouveau mot de passe leur serait demandé à l'ouverture de session par exemple, si leur mot de passe actuel ne répondait pas aux exigences.

    Hors là, ce n'est pas le cas.

    Ps: D'ailleurs dans les commentaires du tutorial, quelqu'un semble avoir le même problème que moi.

    Merci


    • Modifié Yuma23 vendredi 18 décembre 2015 09:52
    vendredi 18 décembre 2015 09:24
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    Avez-vous trouvé une solution ? Il doit y avoir une GPO pour obliger les utilisateurs à changer leur mot de passe dans un cas défini ou après un laps de temps défini, vous pourriez peut-être vous en servir ponctuellement pour cet usage.

    Cordialement,

    Emile

    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    lundi 21 décembre 2015 13:01
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Non toujours pas trouvé de solution pour le moment

    J'ai parcouru rapidement les GPO ce matin, mais je n'ai pas encore trouvé la réponse :(

    Ps: J'ai un début de piste ici : https://social.technet.microsoft.com/Forums/windowsserver/fr-FR/81607b5f-f94f-47bc-89de-e1e36225f6ce/cocher-lutilisateur-doit-changer-de-mot-passe-pour-lensemble-de-mes-utilisateurs?forum=windowsserver2008fr

    Ce qui donnerait qqch comme : Get-ADGroupMember "Groupe_toto" | Set-ADUser -PasswordNeverExpires $false -ChangePasswordAtLo
    gon $true -CannotChangePassword $false

    Mais pour une connexion de type RDS cela ne fait que m'afficher un message "Vous devez modifier votre mot de passe avant la première connexion. Mettez celui-ci à jour ou contactez votre administrateur", sans donner la possibilité à l'utilisateur de changer son mot de passe

    • Modifié Yuma23 lundi 21 décembre 2015 14:20
    lundi 21 décembre 2015 13:23
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    Je pense comprendre le problème, et pense etre en mesure de donner une solution qui ne sera peut etre pas la meilleure mais probablement fonctionnelle.

    De maniere graphique aller sur le compte user -> compte -> coché l'utilisateur devra changer son mot de passe.

    Cela doit forcément pouvoir se trouver en powershell :) et donc il suffira de lister les membre du groupe auxquels s'applique la pso et leur appliquer la commande nécessaire.

    Il faut regarder du cote de set-aduser et -changepasswordatlogon je pense

    mardi 22 décembre 2015 13:57
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    J'ai finis par arriver à mes fins moyennant un petit réglage au niveau de la couche de sécurité RDP pour mes utilisateurs clients légers également

    Merci pour l'aide

    mardi 22 décembre 2015 15:18
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter
    Dans ce cas la, ce serai tbien que tu expose ta solution ici qui pourra servir à d'autres
    mercredi 23 décembre 2015 13:26
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Désolé, je me suis mal exprimé.

    La solution est juste au dessus, je me sers d'une script powershell pour forcer le changement de mot passe à un groupe d'utilisateur donné (Get-ADGroupMember "Groupe_toto" | Set-ADUser -PasswordNeverExpires $false -ChangePasswordAtLo
    gon $true -CannotChangePassword $false)

    Cela automatise simplement l'action d'aller décocher manuellement les bonnes cases dans le profil utilisateur.

    Pour les connexions de type ferme RDS via client léger (Wyse), si cela interesse quelqu'un, il a fallu que je change la configuration de la couche de sécurité RDP. Je n'ai pas trouvé d'autre solution...


    mercredi 23 décembre 2015 14:26
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    bonjour,

    attention, il faut bien comprendre le mécanisme des GPOs de mot de passe ou de PSO. La vérification de la conformité du mot de passe avec la politique paramétrée, se fait au niveau de la mémoire vive du Domain Controler AU MOMENT du changement de passe. Après le mot de passe est chiffré.

    Donc, si tu veux forcer les utilisateurs à avoir un mot de passe conforme à une nouvelle politique, il faut après avoir mis les nouveaux paramètres, obliger les utilisateurs à changer leur mot de passe (soit par l'option graphique, soit en forcant le paramètre par powershell sur un ensemble de user donné)

    voila

    sylvain

    Sylvain Cortes - MVP GPOs Weblog MVP: www.gpomasters.com Weblog Identity Management: www.identitycosmos.com Communauté Active Directory et Identity Management: www.cadim.org

    jeudi 31 décembre 2015 17:40
    |