Dans l’article précédent nous avions vu qu’il n’y a qu’une stratégie de groupe qui va fixer les stratégies de mot de passe pour l’ensemble du domaine. Néanmoins depuis Windows 2008, si vous souhaitez appliquer une stratégie de mot de passe différente pour des utilisateurs ou des groupes d’utilisateurs il est possible de créer des stratégies de mots de passe affinées. A la différence de la stratégie par défaut du domaine elle n’est pas configurée dans les stratégies de groupes mais directement dans l’annuaire Active Directory dans la partition du domaine.
L’opération est décomposée en 2 étapes :
- La création de la stratégie dans « modification ADSI » ;
- L’application dans « Utilisateurs et ordinateurs Active Directory » ;
Création d’une stratégie de mots de passe affinée
Commençons par ouvrir la console « ADSI » :
Nous allons ouvrir le contexte par défaut qui est la partition du domaine :
Recherchez « system » puis « password setting container »
Faites un clic droit dans la partie de droite et sélectionner « nouveau » puis « objet » :
Cn : nom de la stratégie
Type de valeur : chaîne de caractères.
msDS-PasswordSettingsPrecedence : permet de gérer les conflits de priorité si un utilisateur hérite de plusieurs stratégies. Le chiffre le plus faible gagne. Nous verrons un peu plus loin son utilisation.
Type de valeur : nombre entier.
msDS-PasswordReversibleEncryptionEnabled : autorise l’enregistrement du mot de passe avec un cryptage réversible (non recommandé).
Valeur : « False » ou « True »
msDS-PasswordHistoryLength : nombre de mot de passe dans l’historique, empêchant la réutilisation systématique du mot de passe
Type de valeur : nombre entier.
msDS-Password-ComplexityEnabled : activer les exigences de complexités des mots de passe
Valeur : « False » ou « True »
msDS-MinimumPasswordAge : longueur minimale du mot de passe
Type de valeur : nombre entier.
msDS-MinimumPasswordAge : durée de vie minimale du mot de passe
Type de valeur : durée avec le format JJ :HH :MM :SS (J :jour, H : heure, M : minutes, SS : seconde)
(msDS-MaximumPasswordAge : durée de vie maximale du mot de passe
Type de valeur : durée avec le format JJ :HH :MM :SS (J :jour, H : heure, M : minutes, SS : seconde)
msDS-LockoutThreshold : Nombre d’erreur entrainant le verrouillage du compte
Type de valeur : nombre entier.
msDS-LockoutObservationWindow : intervalle de temps pour le verrouillage du compte :
Type de valeur : durée avec le format JJ :HH :MM :SS (J :jour, H : heure, M : minutes, SS : seconde)
msDS-LockoutDuration : durée de verrouillage du compte
Type de valeur : durée avec le format JJ :HH :MM :SS (J :jour, H : heure, M : minutes, SS : seconde)
Attribuer la stratégie à un groupe de mot de passe à un groupe Active Directory .
Ouvrez la console « Utilisateurs et Ordinateurs Active Directory » et dans les options d’affichages sélectionnez « Fonctionnalités Avancées » :
Ouvrez le conteneur « System » puis « Password Settings Container ». A droite sur la stratégie nommées « 4Caractères » que nous venons de créer, faites un clic droit et ouvrez les propriétés :
Recherchez l’attribut « msDS-PSOAppliesTo » puis cliquez sur « modifier »:
Recherchez le groupe d’utilisateur auquel vous souhaitez appliquer cette stratégie :
Dans notre exemple nous allons prendre l’utilisateur « Yves Durand » qui est membre du groupe « SG-Compta » que nous venons de rajouter dans la stratégie « 4 Caractères » :
Si nous essayons de réinitialiser le mot de passe avec un mot de passe à 3 caractères, celui-ci est refusé :
Alors que pour l’utilisateur « Pierre Dupont » qui n’est pas membre du groupe « SG-compta » le nouveau mot de passe est bien pris en compte :
Gestion des conflits de stratégie de mots de passe
Pour compléter notre exemple nous avons créé 2 stratégies de mot de passe affinées. La première à l’étape précédente impose un minimum de 4 caractères. La 2ème sous le nom de « complexe » active les exigences de complexité de mot de passe.
La politique « 4 caractères » est appliqué aux groupe « SG-compta » alors que la politique « complexe » est appliquée au groupe « SG-Chef-de Service » :
L’utilisateur « Yves Durand » est membre à la fois du groupe « SG-compta » et du groupe « SG-chef-de-service ». Lors de la réinitialisation de son mot de passe par un mot de passe à 4 caractères, l’opération est refusée :
On aurait pu penser que la stratégie la plus sécurisée est prioritaire, mais en regardant de plus près le paramètre « msDS-PasswordSettingsPrecedence » nous remarquons :
· sur la stratégie « complexe » il est égal à 5
· Sur la stratégie « 4 caractères » il est égal à 10
Nous modifions sur la stratégie « 4 caractères » le paramètre « msDS-PasswordSettingsPrecedence » de 10 à 3
Maintenant il est possible de mettre un mot de passe à 4 caractères :
La valeur « msDS-PasswordSettingsPrecedence » permet de gérer les conflits. La valeur la plus faible est prioritaire. Il est donc préférable de ne pas mettre la même valeur pour toutes les stratégies.
Pour finir un peu de lecture : https://technet.microsoft.com/fr-fr/library/cc731589(v=ws.10).aspx