Comment mettre en œuvre des politiques de mots de passe précises dans Active Directory

Comment gérer concrètement les politiques de mots de passe précises dans Active Directory

Ce genre de configuration peut s’avérer fastidieux si vous n’y êtes jamais allé. Les stratégies de mot de passe à granularité fine (FGPP) sont quasiment indispensables si vous souhaitez appliquer des règles de mot de passe différentes à différents groupes, par exemple des politiques plus strictes pour les administrateurs ou les prestataires externes. Avant Windows Server 2008, vous étiez limité à une seule stratégie de mot de passe pour l’ensemble du domaine, ce qui n’était pas idéal. Désormais, grâce aux FGPP, il est possible d’attribuer plusieurs stratégies et ainsi de renforcer la sécurité sans impacter les autres utilisateurs. Il faut l’avouer, c’est un peu déroutant au début, surtout pour comprendre comment créer, attribuer et vérifier ces stratégies. Mais une fois la technique maîtrisée, la gestion des exigences de sécurité pour des groupes spécifiques devient beaucoup plus simple, en particulier sur les grands réseaux.

Ce genre de paramètres s’avère généralement utile lorsque les utilisateurs signalent des erreurs de mot de passe étranges ou lorsqu’on souhaite une règle totalement distincte pour les comptes critiques. Sur une configuration, ça a fonctionné, sur une autre… beaucoup moins, car, comme toujours, Windows complique inutilement les choses. Voici donc un récapitulatif des solutions qui m’ont été utiles.

Comment créer et attribuer une stratégie de mot de passe détaillée dans Active Directory

Utilisation du Centre d’administration Active Directory (ADAC)

Si vous utilisez Windows Server 2012 ou une version ultérieure, voici la méthode la plus simple : ouvrez le Centre d’administration Active Directory en exécutant la commande appropriée dsac.msc. Développez l’arborescence complète ; vous trouverez le conteneur « Paramètres de mot de passe » sous le conteneur « Système ». Faites un clic droit dessus, puis choisissez « Nouveau » > « Paramètres de mot de passe ». Si vous ne le voyez pas, assurez-vous d’avoir activé les fonctionnalités avancées dans le menu « Affichage » > « Fonctionnalités avancées ».

C’est là que ça devient intéressant : donnez un nom clair à votre stratégie, par exemple « Stratégie de mot de passe pour les administrateurs », et ajustez les paramètres. Vous verrez des options comme la longueur minimale du mot de passe, la complexité du mot de passe, la longueur de l’historique des mots de passe et les options de verrouillage. Les attributs que vous définissez correspondent aux attributs Active Directory, tels que [ insérer les noms d’utilisateur] msDS-MaximumPasswordAge, [insérer les noms d’utilisateur msDS-MinimumPasswordLength], etc. Attention : faites attention à la priorité. Plus le nombre est bas, plus la priorité est élevée. Si un utilisateur se voit attribuer plusieurs stratégies, Active Directory applique celle dont le numéro de priorité est le plus bas. Cela peut souvent prêter à confusion, surtout si différentes stratégies sont appliquées via l’appartenance à un groupe et l’attribution directe.

Application de la politique aux utilisateurs ou aux groupes

Une fois la stratégie créée, vous devrez sélectionner les destinataires. Pour ce faire, rendez-vous dans la section « S’applique directement à », de préférence en sélectionnant des groupes. Pensez aux groupes de sécurité tels que les administrateurs de domaine ou aux groupes personnalisés pour les prestataires externes. Ajoutez le groupe, puis enregistrez. Ensuite, sur un poste client, vous pouvez vérifier la stratégie appliquée en accédant à l’éditeur d’attributs d’un objet utilisateur (avec Utilisateurs et ordinateurs Active Directory avec fonctionnalités avancées activé).Recherchez l’attribut msDS-ResultantPSO. Il indiquera la stratégie finalement utilisée par l’utilisateur.

Astuce : Vous pouvez aussi utiliser l’outil en ligne de commande dsget pour des vérifications rapides. Exemple : dsget user "CN=Max, OU=Admins, DC=woshub, DC=com" –effectivepso. C’est un peu étrange, mais plus efficace que de cliquer au hasard.

Gérer FGPP avec PowerShell — Parce que l’automatisation est reine

Si vous préférez les scripts (et qui ne les préfère pas ?), PowerShell simplifie la création et l’attribution de stratégies. Assurez-vous d’abord que le module Active Directory est installé. La commande principale pour créer une nouvelle stratégie estNew-ADFineGrainedPasswordPolicy : `powershex`.Par exemple :

New-ADFineGrainedPasswordPolicy -Name "Admin PSO Policy" -Precedence 10 -ComplexityEnabled $true -Description "Domain password policy for admins" -DisplayName "Admin PSO Policy" -LockoutDuration "0.20:00:00" -LockoutObservationWindow "0.00:30:00" -LockoutThreshold 6 -MaxPasswordAge "12.00:00:00" -MinPasswordAge "1.00:00:00" -MinPasswordLength 8 -PasswordHistoryCount 12 -ReversibleEncryptionEnabled $false

Une fois créée, attribuez-la à un groupe tel que Administrateurs du domaine avec :

Add-ADFineGrainedPasswordPolicySubject "Admin PSO Policy" -Subjects "Domain Admins"

Vous souhaitez modifier certains paramètres ultérieurement ? Utilisez Set-ADFineGrainedPasswordPolicy. Par exemple, pour augmenter le nombre de mots de passe enregistrés dans l’historique :

Set-ADFineGrainedPasswordPolicy "Admin PSO Policy" -PasswordHistoryCount 12

Pour consulter toutes les politiques de votre domaine, cela permet d’éviter toute confusion :

Get-ADFineGrainedPasswordPolicy -Filter *

Et pour savoir quelles politiques un utilisateur ou un groupe a actuellement appliquées (pratique en cas de dysfonctionnement), procédez comme suit :

Get-ADUserResultantPasswordPolicy -Identity "CN=Max, OU=Admins, DC=woshub, DC=com"

ou pour les groupes :

Get-ADGroup "Domain Admins" -properties * | Select-Object msDS-PSOApplied

Bien entendu, la politique de mot de passe par défaut reste applicable sauf si elle est modifiée ; vérifiez cela avec :

Get-ADDefaultDomainPasswordPolicy