PG Software - Votre distributeur IT

Blog

Microsoft dispose de deux solutions pour déployer des contraintes de mot de passe sur un domaine Active Directory. Les contraintes, qui se réfèrent aux politiques de mot de passe, peuvent être déployées à travers des objets de stratégie de groupe (GPO) ou par l'intermédiaire des politiques granulaires de mot de passe (FGPP). Les deux solutions ont la même liste de contraintes telles que la longueur minimale/maximale du mot de passe, mais leur mise en œuvre est radicalement différente.

Le déploiement d'une politique de mot de passe en utilisant des GPO est la solution la plus répandue puisqu’elle a été introduite lors du lancement d’Active Directory en 2000. Par défaut, la politique de mot de passe est configurée dans la stratégie de domaine, qui est liée au noeud de domaine. L'image ci-dessous illustre ce qu’a été la politique de mot de passe depuis plus de dix ans.

politique password AD gpo vs fgppConfiguration de la politique de mot de passe dans la stratégie par défaut de domaine.

Bien que la politique de mot de passe puisse être configurée dans n’importe quel GPO et liée à n’importe quel noeud dans Active Directory, les seuls paramètres de politique de mot de passe qui seront appliqués aux utilisateurs de domaine seront ceux des GPO liés au domaine, contenant les paramètres de la politique de mot de passe, et avec la plus haute priorité. Par conséquent, il ne peut y avoir qu'une seule politique de mot de passe pour tous les utilisateurs d’un même domaine.

Pour voir la politique de mot de passe résultante, vous pouvez exécuter secpol.msc depuis l’invite de commande de l'un des contrôleurs de domaine de votre domaine. Le résultat est visible sur l'image ci-dessous.

politique mots de passe AD gpo vs fgpp

Politique de mot de passe déployée en utilisant des GPO comme indiqué par la commande secpol.msc.

Les FGPP, quant à elles, ne sont pas déployées à l'aide des GPO. Au lieu de cela, les FGPP sont définies au sein d'Active Directory en créant un Password Settings Container. Ceci peut être accompli en utilisant ADSIEdit.msc depuis un contrôleur de domaine. Vous pouvez voir le Password Settings Container dans l'iamge suivante:

politique mots de passe AD gpo vs fgppLe Password Settings Container permet la création de FGPP.

En faisant un clic droit sur Password Settings Container, vous pouvez créer un nouvel objet et vous êtes ensuite guidé par un assistant pour définir les paramètres. Les paramètres des FGPP sont les mêmes que pour la politique de mot de passe déployée via les GPO, mais au lieu de modifier directement chaque paramètre, l'assistant vous aide pour chaque réglage.

Il peut y avoir plus d'une FGPP et celles-ci permettent d’appliquer plusieurs politiques de mot de passe pour les utilisateurs d’un même domaine. Pour cibler les utilisateurs qui reçoivent les FGPP, l'attribut msDS-PSOAppliesTo de l'objet FGPP nouvellement créé doit être configuré avec le(s) groupe(s) approprié(s). Plusieurs groupes peuvent recevoir une même FGPP. Si un utilisateur ne reçoit pas de FGPP via son appartenance à un groupe, la politique de mot de passe déployée via le GPO lié au domaine, sera appliquée à cet utilisateur. Chaque FGPP a une priorité de sorte que si un utilisateur fait partie de plus d'un groupe répertorié par l'attribut msDS-PSOAppliesTo, l'utilisateur recevra uniquement les paramètres de mot de passe contenus dans la FGPP ayant la priorité la plus élevée.

Quelques notes explicatives :

1. Il ne peut y avoir qu'une seule politique de mot de passe si vous utilisez les paramètres de politiques de mot de passe des GPO.

2. Un GPO lié à une unité d'organisation (OU) ne sera pas affecté à tous les utilisateurs de domaine situés dans cette unité d'organisation.

3. Aucun paramètre supplémentaire ne peut être configuré dans la politique de mot de passe, sauf ceux qui sont énumérés dans l'image 2

4. Un nouveau filtre de politique de mot de passe peut être créé et appliqué sur le domaine, mais cela nécessite un développement et une configuration importante.

5. Les FGPP ne fournissent pas de contrôles supplémentaires sur la politique de mot de passe autres que ceux énumérés dans l'image 2.

Comme vous pouvez le voir, les deux solutions de Microsoft sont un peu déroutantes, mais efficaces. Si vous souhaitez configurer davantage vos politiques de mot de passe, vous aurez besoin d’utiliser d'autres solutions. Dans notre prochain article, nous allons comparer ces deux solutions Microsoft à ADSelfService Plus, qui permet un contrôle plus fin et un déploiement par OU.