{"id":3109,"date":"2024-11-22T11:26:49","date_gmt":"2024-11-22T10:26:49","guid":{"rendered":"https:\/\/hinakuu.xyz\/?p=3109"},"modified":"2024-11-22T11:46:46","modified_gmt":"2024-11-22T10:46:46","slug":"ad-ds-definir-la-strategie-de-mot-de-passe","status":"publish","type":"post","link":"https:\/\/hinakuu.xyz\/?p=3109","title":{"rendered":"AD DS D\u00e9finir la strat\u00e9gie de mot de passe"},"content":{"rendered":"\n

D\u00e9finir la strat\u00e9gie de mot de passe<\/h3>\n\n\n\n

Nous allons dans ce premier exemple modifier la strat\u00e9gie de mot de passe d\u00e9finit par d\u00e9faut dans un domaine. L’option la plus souvent utilis\u00e9e est de modifier les param\u00e8tres de la strat\u00e9gie de groupe \u00ab Default Domain Policy \u00bb. Si vous d\u00e9finissez une strat\u00e9gie de mot de passe sur une unit\u00e9 d’organisation contenant des objets ordinateurs, la strat\u00e9gie que vous avez d\u00e9finie remplacera la strat\u00e9gie pour les comptes cr\u00e9\u00e9s localement sur la machine (voir SAM local), mais les comptes du domaine ne sont pas impact\u00e9s.<\/p>\n\n\n\n

Il faut retenir qu’il n’y a qu’une seule strat\u00e9gie de mot de passe dans un domaine sera appliqu\u00e9e au compte du domaine \u00e0 l’aide des strat\u00e9gies de groupes (GPO). Nous verrons plus loin qu’il est possible de cr\u00e9er des strat\u00e9gies sp\u00e9cifiques mais pas avec les GPO.<\/mark><\/strong><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Dans notre exemple nous allons cr\u00e9er une nouvelle strat\u00e9gie de groupe nomm\u00e9e \u00ab Password Default Policy \u00bb au niveau du domaine.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Une fois la strat\u00e9gie cr\u00e9\u00e9e nous allons modifier l’ordre de priorit\u00e9 des strat\u00e9gies afin de la rendre plus prioritaire que la strat\u00e9gie par d\u00e9faut.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Nous allons maintenant modifier les param\u00e8tres de strat\u00e9gies de groupe. Pour cela il faut faire un clic droit et \u00ab modifier \u2026\u00bb sur la strat\u00e9gie. Nous d\u00e9ployons l’arborescence \u00e0 gauche pour atteindre \u00ab Configuration ordinateur \\ Strat\u00e9gies \\ Param\u00e8tres Windows \\ Param\u00e8tres de s\u00e9curit\u00e9 \\ Strat\u00e9gies de comptes \\ Strat\u00e9gie de mot de passe \u00bb.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Nous allons d\u00e9finir les diff\u00e9rents param\u00e8tres :<\/p>\n\n\n\n

    \n
  • Conserver l’historique des mots de passe (PasswordHistoryCount) : ce nombre indique le nombre de mots de passe diff\u00e9rents que l’utilisateur doit d\u00e9finir avant de pouvoir en r\u00e9utiliser un. Il \u00e9vite qu’un utilisateur r\u00e9utilise trop rapidement le m\u00eame mot de passe.<\/li>\n<\/ul>\n\n\n\n

    <\/p>\n\n\n\n

      \n
    • Dur\u00e9e de vie maximale du mot de passe (MaxPasswordAge) : cette valeur oblige l’utilisateur \u00e0 modifier r\u00e9guli\u00e8rement son mot de passe. L’unit\u00e9 est le jour et lorsque le seuil est atteint l’utilisateur sera oblig\u00e9 de changer son mot de passe. Il faut noter que la date d’expiration du mot de passe est une valeur au format date et heure donc si votre mot de passe a \u00e9t\u00e9 d\u00e9fini \u00e0 9h30 il expirera \u00e9galement \u00e0 9h30.<\/li>\n<\/ul>\n\n\n\n

      <\/p>\n\n\n\n

        \n
      • Dur\u00e9e de vie minimale du mot de passe (minPasswordAge) : cette valeur d\u00e9termine le nombre de jours avant que l’utilisateur puisse de nouveau changer le mot de passe. Elle \u00e9vite qu’un utilisateur puisse changer plusieurs fois de suite son mot de passe afin de revenir au mot de passe d’origine.<\/li>\n<\/ul>\n\n\n\n

        <\/p>\n\n\n\n

          \n
        • Enregistrer les mots de passe en utilisant un chiffrement r\u00e9versible (ReversibleEncryptionEnabled). Cette option utilis\u00e9e pour faciliter l’authentification avec des applications utilisant d’ancienne m\u00e9thode repr\u00e9sente un risque. Il est recommand\u00e9 de la d\u00e9sactiver.<\/li>\n<\/ul>\n\n\n\n

          <\/p>\n\n\n\n

            \n
          • Le mot de passe doit respecter des exigences de complexit\u00e9(ComplexityEnabled). Il doit :\n
              \n
            • contenir au moins six caract\u00e8res ;<\/li>\n\n\n\n
            • contenir une combinaison d’au moins trois des caract\u00e8res suivants : lettres en majuscules, lettres en minuscules, chiffres et symboles (signes de ponctuation, #,&,@, \u2026) ;<\/li>\n\n\n\n
            • ne contiennent pas le nom d’utilisateur de l’utilisateur ou une partie du nom d’ouverture de session.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n

              <\/p>\n\n\n\n

                \n
              • Longueur minimale du mot de passe (MinPasswordLength): ce param\u00e8tre d\u00e9finit le nombre minimal de caract\u00e8re pour le mot de passe de l’utilisateur. Si les exigences de complexit\u00e9 sont activ\u00e9es il n’est pas pris en compte s’il est inf\u00e9rieur \u00e0 6 et il est prioritaire s’il est sup\u00e9rieur \u00e0 6.<\/li>\n<\/ul>\n\n\n\n

                <\/p>\n\n\n\n

                Pour modifier une valeur s\u00e9lectionnez le param\u00e8tre, puis activer l’option \u00ab d\u00e9finir ce param\u00e8tre de strat\u00e9gie \u00bb et indiquer la valeur d\u00e9sir\u00e9e.<\/p>\n\n\n\n

                \"\"<\/figure>\n\n\n\n

                Lorsque vous modifiez un param\u00e8tre il est possible de conna\u00eetre le d\u00e9tail de son action et \u00e9galement les versions de clients qui peuvent prendre en compte ce param\u00e8tre. La partie \u00ab expliquer \u00bb donne ses informations et je vous conseille de les lire.<\/p>\n\n\n\n

                \"\"<\/figure>\n\n\n\n

                Dans notre exemple nous avons d\u00e9fini une strat\u00e9gie de mot de passe sans niveau de complexit\u00e9 avec une longueur de 3 caract\u00e8res seulement. Je ne vous conseille pas de faire la m\u00eame chose dans votre environnement. Ce choix a \u00e9t\u00e9 uniquement fait car il est plus simple d’illustrer l’application de la strat\u00e9gie de mot de passe avec des valeurs simples.<\/p>\n\n\n\n

                \"\"<\/figure>\n\n\n\n

                Une fois que notre strat\u00e9gie est enregistr\u00e9e nous effectuons un \u00ab gpupdate \/force \u00bb sur le contr\u00f4leur de domaine et nous pouvons afin de la tester, r\u00e9initialiser le mot de passe d’un utilisateur.<\/p>\n\n\n\n

                RAPPEL : Par d\u00e9faut, les strat\u00e9gies de groupes sont actualis\u00e9es dans un intervalle pouvant atteindre deux heures. Il est possible de forcer imm\u00e9diatement l’actualisation des param\u00e8tres sur un poste avec la commande \u00ab gpupdate \/force<\/mark> \u00bb. Il est \u00e9galement possible de le faire sur un conteneur avec l’option \u00ab Mise \u00e0 jour de la strat\u00e9gie de groupe \u00bb depuis la console de gestion des strat\u00e9gies de groupe.<\/strong><\/p>\n\n\n\n

                Nous essayons de r\u00e9initialiser le mot de passe d’un utilisateur, avec un nouveau de trois caract\u00e8res.<\/p>\n\n\n\n

                \"\"<\/figure>\n\n\n\n

                Le mot de passe est conforme \u00e0 la nouvelle strat\u00e9gie et la r\u00e9initialisation fonctionne.<\/p>\n\n\n\n

                \"\"<\/figure>\n\n\n\n

                La commande PowerShell suivante d\u00e9termine les param\u00e8tres de la strat\u00e9gie de mot de passe de votre domaine :<\/p>\n\n\n\n

                Get-ADDefaultDomainPasswordPolicy<\/pre>\n\n\n\n
                \"\"<\/figure>\n\n\n\n
                Il est \u00e9galement possible de d\u00e9finir la strat\u00e9gie de mot de passe avec PowerShell, mais dans ce cas il faut conserver la GPO \u00ab Default Domain Policy \u00bb. Pour l’exemple nous supprimons la strat\u00e9gie \u00ab Password Default Policy \u00bb afin de revenir \u00e0 la m\u00e9thode classique et utiliser la GPO \u00ab Default Domain Policy \u00bb.<\/p>\n\n\n\n
                La commande suivante permet de configurer les param\u00e8tres pour le domaine :<\/p>\n\n\n\n
                Set-ADDefaultDomainPasswordPolicy -Identity htrab.lan -ComplexityEnabled $True -ReversibleEncryptionEnabled $False -MaxPasswordAge 60.00:00:00 -minPasswordAge 05.00:00:00 -MinPasswordLength 8 -PasswordHistoryCount 5<\/pre>\n\n\n\n
                \"\"<\/figure>\n\n\n\n
                Il est possible de v\u00e9rifier le r\u00e9sultat depuis la console de gestion des GPO (GPMC.msc).<\/p>\n\n\n\n
                \"\"<\/figure>\n\n\n\n
                Il faut donc retenir que dans un domaine Active Directory, il ne peut y avoir qu’une strat\u00e9gie de mot de passe d\u00e9fini dans les strat\u00e9gies de groupes pour les comptes du domaine. La strat\u00e9gie doit imp\u00e9rativement \u00eatre appliqu\u00e9e au niveau du domaine. N\u00e9anmoins si vous souhaitez mettre en place des strat\u00e9gies de mot de passe diff\u00e9rentes pour des groupes d’utilisateurs, il est possible d’utiliser les strat\u00e9gies de mots de passe affin\u00e9es (PSO) que nous verrons plus loin.<\/p>\n\n\n\n
                Il est recommand\u00e9 d’utiliser des mots de passe de plus de 8 caract\u00e8res et d’activer la complexit\u00e9, d’utiliser la dur\u00e9e minimale du mot de passe et maximale du mot de passe et de d\u00e9sactiver l’enregistrement des mots de passe avec un chiffrement r\u00e9versible.<\/strong><\/p>\n\n\n\n
                \"\"<\/figure>\n","protected":false},"excerpt":{"rendered":"
                D\u00e9finir la strat\u00e9gie de mot de passe Nous allons dans ce premier exemple modifier la strat\u00e9gie de mot<\/p>\n","protected":false},"author":1,"featured_media":3110,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-3109","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-classe"],"_links":{"self":[{"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=\/wp\/v2\/posts\/3109","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3109"}],"version-history":[{"count":7,"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=\/wp\/v2\/posts\/3109\/revisions"}],"predecessor-version":[{"id":3136,"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=\/wp\/v2\/posts\/3109\/revisions\/3136"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=\/wp\/v2\/media\/3110"}],"wp:attachment":[{"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3109"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3109"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3109"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}