au cours des 14 dernières années, j’ai parcouru le monde pour aider les administrateurs, les auditeurs et les professionnels de la sécurité à comprendre le fonctionnement de la stratégie de mot de passe de domaine dans Active Directory. Le comportement par défaut n’a pas changé au cours de ces 14 années, vous pouvez donc imaginer combien de personnes j’ai aidé, sans parler du nombre de fois où j’en ai parlé.
Alors, pourquoi le mentionner ici?, Eh bien, je trouve toujours que les administrateurs et les auditeurs ne comprennent pas comment fonctionne la stratégie de mot de passe de domaine, alors laissez-moi l’expliquer ci-dessous.
par défaut dans chaque installation D’Active Directory, la stratégie de domaine par défaut établit la stratégie de mot de passe de domaine (pour tous les utilisateurs configurés et stockés dans Active Directory, c’est-à-dire). La Figure 1 illustre à quoi ressemblent ces configurations et où vous pouvez les trouver dans la stratégie de domaine par défaut.
la Figure 1. Stratégie de domaine par défaut stratégie de mot de passe.,
la façon dont la stratégie de mot de passe fonctionne est que ce GPO et les paramètres contenus dans ce GPO configurent les contrôleurs de domaine (DCs) et les bases de données Active Directory qui s’y trouvent. Il est de la responsabilité du DCs et des bases de données qui s’y trouvent de filtrer chaque mot de passe qui est tenté d’être écrit dans la base de données, afin de s’assurer que le mot de passe respecte les paramètres de stratégie de mot de passe.
Remarque: En utilisant la stratégie de groupe, il ne peut y avoir qu’une seule stratégie de mot de passe pour les utilisateurs du domaine., La liaison et la configuration d’un GPO à une unité D’organisation ne configurent pas la stratégie de mot de passe différemment pour les utilisateurs de cette unité d’organisation. Les paramètres de stratégie de mot de passe affectent les ordinateurs (voir Figure 1) et non les comptes d’utilisateur!
ce que vous pouvez faire est de créer un nouveau GPO, de le lier au niveau du domaine et de lui donner une priorité supérieure à la stratégie de domaine par défaut. Les paramètres de ce nouveau GPO (par exemple, vous définissez la longueur minimale du mot de passe) remplaceront les paramètres de la stratégie de domaine par défaut en raison de la priorité plus élevée. Vous définissez la priorité dans L’outil de gestion des stratégies de groupe, que vous pouvez voir à la Figure 2.
Figure 2., Chaque GPO lié au domaine a une priorité, par rapport aux autres GPO.
Si vous souhaitez avoir plusieurs stratégies de mot de passe dans le même domaine, vous devez acheter un produit tiers ou utiliser les stratégies de mot de passe à grain fin. Les stratégies de mot de passe à grain fin sont une technologie Microsoft permettant de contrôler les stratégies de mot de passe, mais n’utilisent pas la stratégie de groupe comme mécanisme de déploiement.,
pour vérifier la stratégie de mot de passe de domaine efficace, vous ne pouvez évidemment pas simplement regarder la stratégie de domaine par défaut car un autre GPO lié au domaine peut avoir différents paramètres de stratégie de mot de passe contenus dans celui-ci qui remplaceront la stratégie de domaine par défaut. Alors, comment vérifiez-vous correctement la stratégie de mot de passe efficace pour vos utilisateurs de domaine stockés sur les contrôleurs de domaine?
la réponse est simple et un outil intégré! L’outil est secpol.msc et vous pouvez l’exécuter sur n’importe quel contrôleur de domaine à partir de l’invite de commande ou le bouton Démarrer | Rechercher les programmes et fichiers., La Figure 3 illustre à quoi ressemblerait le résultat.
la Figure 3. Secpol.msc affiche les paramètres réels de l’ordinateur.
En utilisant le secpol.outil msc, vous pouvez vérifier avec 100% de confiance quels sont les paramètres de stratégie de mot de passe actuels pour vos utilisateurs de domaine.
gérer et obtenir des rapports sur les objets de stratégie de groupe Active Directory.
Téléchargement Gratuit
appliquer des stratégies de mot de passe granulaires, basées sur le groupe / OU pour les utilisateurs AD.
Téléchargement Gratuit
suivre les modifications apportées aux objets de stratégie de groupe AD en temps réel.,
Télécharger Gratuitement