Dans les versions antérieures à Windows 2008, la stratégie de mot de passe et de verrouillage de compte était unique au sein d'un même domaine (stratégie de domaine par défaut) et mise à part en utilisant des produits tiers payants (Specops Password Policy ) ou un filtre de mot de passe, il était impossible de définir des stratégies différentes en fonction des besoins de l'entreprise. Cela pouvait se révéler problématique si vous vouliez par exemple complexifier le mot de passe pour certaines catégories d'utilisateur de votre domaine.
Par exemple, en admettant que la politique de mot de passe soit peu sécurisée sur votre domaine (pas de complexité et une longueur de 6 caractères), cela donnait la possibilité à des personnes avec des privilèges élevés de définir un mot de passe simple et donc facile à cracker, laissant ainsi une faille de sécurité importante sur votre Active Directory.
Avec Windows 2008, il est maintenant possible de définir plusieurs stratégies de mot de passe et de verrouillage de compte sous le nom de "stratégie de mot de passe affinée". La stratégie de base s'applique comme auparavant au niveau du domaine, cependant quelques manipulations permettent d'affecter différentes stratégies appliquées à des objets utilisateurs ou groupes globaux Active Directory. Attention on ne peut pas appliquer ces nouvelles stratégies à des unités organisationnelles (OU). Si vous souhaitez appliquer ce type de stratégie à tous les utilisateurs d'un OU particulière, il vous faudra créer un groupe appelé « groupe intermédiaire » (ou shadow) contenant tous les utilisateurs de l'OU.
Vous pouvez donc appliquer par exemple des stratégies de mot de passe et de verrouillage de compte différentes suivant le type de compte. Par exemple, une stratégie classique pour les utilisateurs « normaux », une stratégie plus sécurisée pour les administrateurs et enfin une autre pour les comptes de service.
- **Pré requis à la création de Stratégie de mot de passe affinée:
**
Mode fonctionnel du domaine en Windows 2008 (tous les contrôleurs de domaine doivent être en Windows 2008)
Etre administrateur du domaine si aucune délégation spécifique n'a été mise en place
- **Fonctionnement technique
**
Cette nouvelle fonctionnalité s'appuie sur 2 nouvelles classes d'objet et quelques attributs liés à une de ces 2 classes du schéma Active Directory : Password Settings Container (PSC) et Password settings Object (PSO).
**Classe Password Settings Container (PSC) : msDS-PasswordSettingsContainer
**
La classe Password Settings Container (PSC) est visible directement dans la console « Utilisateurs et ordinateurs Active Directory » en activant les fonctionnalités avancées :
Ce conteneur par défaut vide contiendra tous les paramètres de mot de passe (Password Settings Object - PSO) créés suivant les besoins
**Classe Password Settings Object : msDS-PasswordSettings:
**
Cette classe s'appuie sur des attributs existants déjà utilisés dans la stratégie de domaine par défaut.
- msDS-PasswordHistoryLength : Appliquer l'historique des mots de passe
- msDS-MaximumPasswordAge : Durée de vie maximale du mot de passe
- msDS-MinimumPasswordAge : Durée de vie minimale du mot de passe
- msDS-MinimumPasswordLength : Longueur minimale du mot de passe
- msDS-PasswordComplexityEnabled :Le mot de passe doit respecter des exigences de complexité
- msDS-PasswordReversibleEncryptionEnabled : Enregistrer les mots de passe en utilisant un chiffrement réversible
- msDS-LockoutDuration : Durée de verrouillage de compte
- msDS-LockoutThreshold : Seuil de verrouillage de compte
- msDS-LockoutObservationWindow : Réinitialiser le compteur de verrouillage de compte après
2 nouveaux attributs viennent compléter cette liste :
msDS-PSOAppliesTo : attribut multi valeur lié aux objets Utilisateur et/ou Groupe. C'est un lien de redirection vers des objets Utilisateur ou groupe uniquement.
**msDS-PasswordSettingsPrecedence : **attribut permettant de gérer la priorité en cas de conflit si plusieurs Password Settings Object sont appliquées sur un même objet
Hormis l'attribut msDS-PSOAppliesTo , les 10 autres attributs sont des attributs obligatoires de type « MustHave » c'est-à-dire qu'une valeur doit être absolument définie pour chacun d'entre eux.
- **Procédure d'installation d'une stratégie de mot de passe affinée
**
2 méthodes sont disponibles pour implémenter une stratégie de mot de passe affinée :
- L'utilitaire en ligne de commande LDIFDE
- L'éditeur ADSI
Dans la procédure ci-dessous, nous utiliserons AdsiEdit.
Lancez ADSIEdit, développez le conteneur CN=System dans la partition de domaine et cliquez droit sur le « sous conteneur « CN=Password Settings Container. Puis choisissez « nouvel objet »
La création d'un nouvel objet lance un « assistant » demandant une valeur à chaque attribut
Le tableau ci-dessous énumère les différentes valeurs d'attribut à renseigner tout au long de la création de l'objet PSO :
Attributs
Valeur possible
Exemples de valeur
msDSPasswordReversibleEncryptionEnabled
Booléen soit FALSE ou TRUE
FALSE (valeur recommandée)
msDS-PasswordHistoryLength
de 0 à 1 024
24
msDS-PasswordComplexityEnabled
Booléen soit FALSE ou TRUE
TRUE (valeur recommandée)
msDS-MinimumPasswordLength
De 0 à 255
12
msDS-MinimumPasswordAge
De 00:00:00:00 à la valeurmsDSMaximumPasswordAge
Format : jj :hh :mm :ss1 :00 :00 :00 soit 1 jour
msDS-MaximumPasswordAge
De la valeur **msDSMinimumPasswordAge à **(Jamais)
Format : jj :hh :mm :ss30 :00 :00 :00
msDS-LockoutThreshold
De 0 à 65 535
3
msDS-LockoutObservationWindow
De 00:00:00:01 à la valeurmsDS-LockoutDuration
00 :00 :30 :00
msDS-LockoutDuration
De la valeur **msDSLockoutObservationWindow
**à (Jamais)
00 :00 :30 :00
msDS-PSOAppliesTo
0 ou plusieurs noms uniquesd'utilisateurs ou de groupes de sécuritéglobaux
CN=UserAdmin,OU=MarketingOU,
OU=Utilisateurs,DC=mydomain,
DC=local
Une fois ces valeurs renseignées, l'assistant vous propose de donner une valeur à des attributs supplémentaires. Il reste l'attribut « msDS-PSOAppliesTo » à renseigner pour affecter le PSO à un groupe ou utilisateur. Cliquez sur « More attributes » et choisissez l'attribut « msDS-PSOAppliesTo » puis dans la partie « Edit Attribute » donnez le DN de l'utilisateur ou groupe sur lequel la stratégie va s'appliquer.
Vous pouvez accéder à cet attribut pour vérifier ou ajouter un groupe ou utilisateur via la console « Utilisateurs et ordinateurs Active Directory » et l'éditeur d'attribut apparaissant dans les propriétés d'un objet :
Vous pouvez définir plusieurs stratégies de mot de passe affinées sur un même objet, dans ce cas c'est la valeur de l'attribut « **msDS-PasswordSettingsPrecedence » **qui permettra d'appliquer la bonne stratégie à l'objet. La valeur la plus basse aura la priorité. Ainsi un PSO avec une valeur à 1 sur l'attribut « **msDS-PasswordSettingsPrecedence » **sera celui appliqué à l'objet. D'autre part, si plusieurs PSO ayant la même valeur **msDS-PasswordSettingsPrecedence **sont appliqués sur un utilisateur, le PSO dont le GUID est le plus faible sera appliqué.
.