GPO - Réduire l'expiration du mot de passe à moins de 42 jours

Toutes les réponses

• 

  

  1

  Connectez-vous pour voter

  Tu es dans un domaine Active Directory ? Si oui c'est la stratégie de mot de passe définit sur le domaine qui s'applique à l'ensemble des comptes de l'AD

  http://pbarth.fr/node/146

  • Marqué comme réponse Nedeltcho PopovMicrosoft contingent staff jeudi 5 novembre 2020 14:10

  lundi 12 octobre 2020 09:26

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Bonjour Philippe,

  Merci pour votre réponse, j'ai corrigé mon premier message qui était incomplet.

  Au début de mes tests j'avais fait une GPO et après consultation de vos articles 146 et 147 je me suis orienté vers la mise en place d'une stratégie affinée.

  J'ai donc désactivé ma GPO, le résultat sur mon poste après un gpupdate

  Ma stratégie affinée:

  

  Est-ce qu'il me manque une étape?

  Merci Bonne journée,

  lundi 12 octobre 2020 09:36

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Bonjour,

  je ressorts votre sujet car je rencontre un peu le même problème.

  Je viens d'appliquer une expiration de mot de passe à 44 jours sur ma Default Domain Policy.

  Quand j'effectue un rapport d'application, la GPO s'applique correctement sur l'ensemble de mes postes.

  Pourtant, les utilisateurs qui n'ont pas changé leur mot de passe depuis plus de 44 jours, ne sont pas invités à le modifier à l'ouverture de leur session. Ils peuvent se connecter sans soucis, mais du coup ne changent pas leur mot de passe.

  Que peut-il se passer d'après-vous?

  Cordialement

  jeudi 2 septembre 2021 08:56

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Bonjour,

  pour clore le sujet, le problème venait, du blocage d'héritage sur l'OU "Domain Controllers". tout bêtement...

  Après désactivation du blocage, les DC récupèrent bien mes paramètres de stratégies de mot de passe et mes comptes concernés ont bien reçu l'invitation à renouveler leur mot de passe à la connexion.

  Cordialement

  • Proposé comme réponse Philippe BarthMVP lundi 6 septembre 2021 09:29

  lundi 6 septembre 2021 09:28

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  
  

  pour clore le sujet, le problème venait, du blocage d'héritage sur l'OU "Domain Controllers". tout bêtement...

  C'est une très mauvaise idée que de mettre un blocage d'héritage sur l'OU Domain Controllers. Si vous souhaitez exclure certaines GPO du scope d'application sur les DCs, privilégiez plutôt les permissions en positionnant un deny sur le droit apply GPO pour le groupe enterprise domain controllers :

  

  Vous pouvez ensuite coupler cette approche avec un pragmatisme raisonné sur le linkage de vos stratégies :

  • Celle de sécurité générale sont à la racine du domaine (elles doivent s'appliquer pour tous, tout le temps)
  • Celle de configuration devrait être liée sur l'OU la plus proche des objets ciblés (ou sur un OU de site ou de pays, suivant votre topologie)

  Cela demande plus de travail mais vous y gagnerez en évitant les problèmes de conflits de GPO et en optimisant vos possibilités de personnalisation.

  • Modifié LoicVeirman mardi 14 septembre 2021 06:39

  mardi 14 septembre 2021 06:36

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  privilégiez plutôt les permissions en positionnant un deny sur le droit apply GPO pour le groupe enterprise domain controllers :

  Perso je n'utilise ni le blocage de l'héritage, ni aucun refus explicite. Tous est dans l'agencement des OUs et des GPOs.

  Je n'ai quasiment pas de GPO définit au niveau du domaine hormis la default domain policy qui contient la stratégie de mot de passe et certaines gpo pour diffuser des certificats d'autorité de certification dans les autorités approuvés.

  mardi 14 septembre 2021 11:58

  Réponse

  |

  Citation