[GPO] Stratégie de verrouillage des comptes

Dans cet article nous allons voir comment utiliser les stratégies de verrouillage de compte.

Le verrouillage des comptes permet de bloquer un compte pendant un certain temps si un nombre définit de tentatives de connexion n'ont pas réussi pendant une certaine période.

Le paramètre n'est pas une nouveauté et il est compatible avec l'ensemble des versions de contrôleurs de domaine.

Il se configure dans les Stratégies de Groupes (GPO), « Configuration Ordinateur \ Paramètres Windows \ Paramètre de sécurité \ Stratégie de compte \ Stratégie de verrouillage du compte \ ».

Il utilise 3 valeurs :

Seuil de verrouillage de comptes : cette valeur définit le nombre de « N » d'échecs d'ouverture de session autorisé (session fermée ou verrouillée) avant que le compte ne soit bloqué. La valeur « 0 » indique qu'il n'y a pas de verrouillage de compte.

Réinitialiser le compteur de verrouillages du compte après : cette valeur définit l'intervalle de temps « t1 » pendant lequel les « N » tentatives d'échec ont eu lieu. Si les tentatives de connexion se font à un intervalle supérieur à cette valeur le compte ne sera pas verrouillé.

Durée de verrouillage des comptes : cette durée indique la durée « t2 » pendant la quel le compte est considéré comme verrouillé, une fois ce temps dépassé les compteurs repartent à 0.

En résumé, s'il y a eu « N » erreur de mots de passe pendant « t1 » minute, alors le compte est verrouillé pendant « t2 » minute. Une fois « t2 » atteint le compte est automatiquement déverrouillé.

Vous pouvez configurer la stratégie dans la « Default Domain Policy » :

Vous pouvez consulter le paramètre appliqué à un poste avec la commande « Net Accounts » :

Lorsque vous essayez de vous authentifier avec un compte verrouillé, vous obtiendrez un message de ce genre :

Il est possible pour l'administrateur de déverrouiller manuellement le compte depuis la console « Utilisateurs et Ordinateurs Active Directory » :

Le verrouillage du compte est lié à un attribut « lockouttime » :

La valeur est égale à 0 si le compte n'est pas verrouillé :

 

 

 

Tags: 

Theme: 

Systeme: 

Annee: