Stratégie de mot de passe affinée sous Windows Server 2012 R2

I. Présentation

Par défaut, sur l’objet de stratégie de groupe (GPO) « Default Domain Policy » une politique de complexité des mots de passe et des verrouillages de compte est appliquée. Toutefois, avec Windows Server 2008, Windows Server 2008 R2 et maintenant Windows Server 2012/2012 R2, il est désormais possible de faire ce qu’on appelle une « Stratégie de mot de passe affinée » afin de créer plusieurs politiques de complexité des mots de passe et des verrouillages de compte puis ensuite de les appliquer uniquement sur certains objets.

Ainsi, on peut obliger les comptables à mettre un mot de passe de 12 caractères minimum et les secrétaires un mot de passe de 8 caractères minimum, par exemple.

Ces stratégies de mot de passe affinées permettent une plus grande flexibilité dans la gestion des mots de passe et du verrouillage de compte.

Dans ce tutoriel, nous allons voir comment créer une stratégie de mot de passe affinée sous Windows Server 2012/2012 R2 afin de l’appliquer sur le groupe « Admins du domaine » afin de protéger au mieux les comptes utilisateurs ayant des privilèges élevés au sein du domaine « it-connect.fr ».

II. Ce qu’il faut savoir

Les stratégies de mots de passe affinées correspondent à des objets « Paramètres de mots de passe » et sont également appelées « PSO » pour « Password Settings Object ».

PSO (Password Settings Object) : Objet de Paramètres de mot de passe
PSC (Password Settings Container) : Conteneur de paramètres de mot de passe

Un PSO peut être appliqué directement sur un utilisateur, mais également sur un groupe, ce qui sera plus intéressant en termes de souplesse d’administration. Un utilisateur/groupe peut être lié à plusieurs PSO.

En cas de conflit de PSO, un attribut de priorité nommé « valeur de précédence » permet de définir une priorité quant à l’application de la stratégie.

En l’absence d’une politique PSO, la stratégie de mots de passe du domaine s’applique.

Pour utiliser cette fonctionnalité, le niveau fonctionnel de votre domaine et de la forêt doit être au minimum « Windows Server 2008 ». Sachez qu’avec Windows Server 2012 et 2012 R2, Microsoft a simplifié la gestion des stratégies de mots de passe affinées.

III. Création d’une stratégie

Sur votre contrôleur de domaine, ouvrez le « Centre d’administration Active Directory » qui est accessible dans les Outils d’administration ou via « dsac.exe ».

Choisissez la vue arborescence sur la gauche, déroulez l’arborescence au niveau de votre nom de domaine, puis « System » et « Password Settings Container ».

pso1

Dans le volet de droite, cliquez sur « Nouveau » puis « Paramètres de mot de passe » comme ceci :

pso2

Un formulaire complet s’affiche à l’écran, attelez-vous il va falloir le compléter.

Voici quelques indications pour vous aider :

- Nom : Nom du PSO

- Priorité : Valeur supérieure à 0 qui servira à faire l’arbitrage en cas de conflit entre deux PSO qui s’appliquent sur un même objet. Pensez à espacer les valeurs de vos différents PSO afin de pouvoir jouer sur les priorités facilement.

Pour cela deux règles sont à connaître :

La valeur la plus faible sera prioritaire sur la valeur la plus haute.

Un PSO appliqué au niveau d’un utilisateur sera prioritaire appliqué au niveau du groupe.

- Appliquer la longueur minimale du mot de passe : Chiffre entier pour définir la longueur minimale que doit faire le mot de passe. Pour les admins, ce sera 15 caractères minimum.

- Appliquer l’historique des mots de passe : Permet de définir le nombre d’anciens mots de passe qu’un utilisateur ne peut pas réutiliser, cela le force à « inventer » un nouveau mot de passe un certain nombre de fois. Par défaut, la valeur est de 24 ce qui me semble très correct.

- Le mot de passe doit respecter des exigences de complexité : Indiquez si oui ou non le mot de passe doit respecter ces exigences (conseillé par sécurité).

- Stocker le mot de passe en utilisant un chiffrement réversible : Il est préférable de ne pas activer cette option, là aussi par sécurité.

- Protéger contre la suppression accidentelle : Permets de se protéger contre une éventuelle suppression involontaire.

- Appliquer l’âge minimal de mot de passe : Durée de vie minimale d’un mot de passe, ce qui permet d’empêcher un utilisateur de changer successivement plusieurs fois son mot de passe. Cela pourrait lui permettre de dépasser la limite de l’historique des mots de passe et de redéfinir son mot de passe initial…

Doit être écrit sous la forme suivante (exemple pour 1 jour de durée de vie minimale) : 1:00:00:00

Cela permet de définir une durée de vie minimale en heure, minute ou même seconde…

- Appliquer l’âge maximal de mot de passe : Même principe que le paramètre précédent, mais là pour la durée de vie maximale.

- Nombre de tentatives échouées autorisé : Une fois le nombre de tentatives autorisées sera dépassé, le compte sera verrouillé automatiquement. Cela permet d’éviter les attaques par brute force où de nombreuses tentatives seraient tentées…

- Réinitialiser le nombre de tentatives de connexion échouées après (mins) : Une fois ce délai écoulé, le nombre de tentatives échouées est remis zéro.

- Le compte va être verrouillé :

Lors du verrouillage d’un compte, ce dernier peut être verrouillé :

  • Pendant une durée de (mins) : Définissez une valeur de verrouillage du compte qui sera automatiquement déverrouillé une fois le délai terminé.
  • Jusqu’à ce qu’un administrateur déverrouille manuellement le compte : Une action d’un administrateur est requise pour déverrouiller le compte

pso3

Quant à la section « S’applique directement à » vous devez ajouter les utilisateurs et/ou les groupes sur lesquels vous souhaitez appliquer cette stratégie PSO. Pour cela, cliquez sur le bouton « Ajouter » situé en bas à droite.

Cliquez sur « OK » une fois la configuration terminée.

Pour finir, si vous désirez voir quelle stratégie s’applique à un utilisateur, toujours dans le « Centre d’administration Active Directory » sélectionnez « Users » dans l’arborescence. Ensuite, recherchez votre utilisateur dans la liste, sélectionnez-le puis sur la droite cliquez sur « Afficher les paramètres de mot de passe ».

pso4

Vous êtes désormais en mesure de mettre en place une stratégie de mot de passe affinée au sein de votre infrastructure Microsoft.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Consultant chez Délibérata le jour, blogueur pour IT-Connect la nuit, je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 2191 posts and counting.See all posts by florian

21 pensées sur “Stratégie de mot de passe affinée sous Windows Server 2012 R2

  • Merci pour ce magnifique travail, vous avez la maîtrise de l’explication et une très bonne méthode. bravo 1000x, (Allah te protège (incha Allah)

    Répondre
  • Bonjour merci pour ce tuto, jaimerais savoir si l’on applique se pso sur un domaine, est ce que sela s’applique automatiquement sur les utilisateurs, cad sil leur ai demande automatiquement de changer leur mot de passe

    Répondre
    • Bonjour,

      Oui la politique s’appliquera aux utilisateurs, et ils devront changer le mot de passe s’il est nécessaire qu’ils le changent (selon ce qui est définit dans la stratégie).

      Bonne journée
      Florian

      Répondre
      • Merci Florian, mais la j’ai un probleme; j’ai applique mon PSO a un seul utilisateur de mon domaine, mais rien, on ne lui demande pas de changer son mot de passe, il conserve toujours celui qui ne respecte pas les regles.

        Répondre
  • Peut-on également empêcher les usagers de réutiliser toujours et encore le même mot clé dans leurs mots de passe?

    Ex: Soleil01! Soleil02! Soleil03!

    Répondre
    • Bonjour Patrick,

      Oui il faut jouer sur l’historique des mots de passe, et si mes souvenirs sont bons on peut indiquer qu’un nouveau mot de passe ne contienne pas la valeur du mot de passe actuel. La stratégie peut être définie de façon avancée pour répondre à un maximum de besoins.

      Florian

      Répondre
  • Rebonjour Florian, mon problème persiste toujours; Ce que je voudrais, c’est quand l’utilisateur cherche a se connecter on lui notifie automatiquement de changer son mot de passe. la même avec la PSO, rien ne lui ai demande, et pourtant la PSO est attribue a cet utilisateur car quand il cherche de lui même a changer son mot de passe; on lui notifie les règles de la politique.

    Donc ma question est pourquoi on ne lui demande pas automatiquement de changer son mot de passe????

    Répondre
  • je crois qu’il n’y a pas de demande de changement de mot de passe suite a l’application de la PSO

    Répondre
  • Bonjour Florian,
    merci pour vos tutos qui sont très simples et claires.
    Moi j’ai un problème concernant la réinitialisation des mot de passes
    des users. A chaque changement de mot de passe sur le serveur (pour un user),
    l’utilisateur ne peut se connecter, ou soit il se reconnecte avec l’ancien mot de passe (qui fonctionne) malgré qu’il a été réinitialisé.

    Répondre
  • Bonjour Florian et bravo pour ce site et les conseils !

    Dans notre AD, nous avons créé une UO où tous les utilisateurs ne devraient pas avoir la possibilité de modifier leur mot de passe.
    Ma question : Est-il possible de modifier en une fois l’attribut mot de passe des users d’une UO ou même du domaine c’est – à – dire mettre Ne peut pas modifier le mot de passe à la place des habituels …Doit modifier …etc. ? Par GPO, je n’ai pas trouvé. Peut-être par script Powershell ? Bref, que cette action soit automatisée si possible car il y’aura environ 2000 users dans ce cas !
    Ou encore, est-il possible de déléguer cette opération (de changer cet attribut voir aussi la possibilité de modifier l’onglet Membre de) à un user afin qu’il aide les admins mais sans pouvoir faire quoi que ce soit d’autre ? (sachant que l’ad n’est accessible que par bureau à distance, tse)
    Par avance merci à tous,

    JC

    Répondre
  • Wow! Merci beaucoup! Grâce à vous, je comprend tout super facilement! Si seulement mes livres d’études étaient aussi efficaces que vos tutos…Encore merci!

    Répondre
  • je ne vois pas applique la stratégie a une forêt pourriz-vous m’expliquer ?
    merci

    Répondre
  • Note : Je m’immisce dans ces échanges pour signaler / rappeler qu’ils ne faut pas confondre les PSO et les GPO
    – Les PSO ne s’appliquent que lorsqu’un mot de passe doit être changé. (non concerné par gpupdate)
    – Les stratégies GPO de mot de passe, ne sont prises en compte que localement ou au niveau d’un domaine. Autrement dit, un GPO de mot de passe lié au niveau d’un OU ne sera jamais pris en compte.
    – la durée de vie d’un mot de passe est défini via la GPO de domaine (45j par défaut, avec notification 14 j avant) à moins que le compte d’utilisateur ait la case « le mot de passe n’expire jamais ».
    – un PSO appliqué à un utilisateur est prioritaire, à un PSO appliqué à un groupe (de ce même utilisateur) et supplante toujours un GPO (local ou de domaine.)
    Donc pour la question de JCD, à mon avis, pour éviter de diminuer la durée de vie de mot de passe dans le GPO de domaine, le plus simple est de sélectionner tous les users concernés dans la console ADUC, puis propriétés (communes) et sous l’onglet « compte », cocher la case « l’utilisateur devra changer son mot de passe ».
    Sinon il faut effectivement écrire un script, et modifier l’attribut UserAccountControl (même résultat, mais plus complexe 🙂 )
    Cordialement,

    Répondre
  • Hello, je voudrais forcer le changement un jour précis de la semaine exemple : un jeudi

    Répondre
  • Je l’ai trouvé sous labo.local –> system –> password setting container.

    Répondre
  • Bonjour, très bon article et toujours aussi clair dans l’ensemble.

    Toutefois, il y a quelque chose que je trouve contradictoire, que je n’ai en fait pas compris :

    « – Réinitialiser le nombre de tentatives de connexion échouées après (mins) : Une fois ce délai écoulé, le nombre de tentatives échouées est remis zéro.

    – Le compte va être verrouillé :

    Lors du verrouillage d’un compte, ce dernier peut être verrouillé :

    Pendant une durée de (mins) : Définissez une valeur de verrouillage du compte qui sera automatiquement déverrouillé une fois le délai terminé.

    Jusqu’à ce qu’un administrateur déverrouille manuellement le compte : Une action d’un administrateur est requise pour déverrouiller le compte »

    Comment est-ce possible de choisir « jusqu’à ce que l’administrateur déverrouille » et en même temps « après tel nombre de tentatives » ??

    Merci beaucoup d’avance !

    Répondre
  • J’ai une autre question :

    Quelle différence entre cette procédure et celle consistant à passer par :

    – Éditeur de gestion de stratégie de groupe -> Domaines -> domaine.local -> Default Domain Policy -> Modifier -> Stratégie Default Domain Policy -> Configuration ordinateur -> Stratégies -> Paramètres Windows Paramètres de sécurité -> Stratégie de comptes -> « Stratégie de mot de passe » et « Stratégie de verrouillage du compte » ?

    Merci beaucoup d’avance d’éclairer ma lanterne.

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.