Il y a beaucoup de confusion sur la façon dont les stratégies de mot de passe doivent être mises en œuvre sur un domaine Active Directory. Dans cet article, j’ai voulu fournir quelques conseils sur la façon de dépanner les paramètres de la politique de mot de passe, en particulier pour les situations où vous savez que vous avez correctement défini la politique, mais constatez quand même que les paramètres ne sont pas appliqués comme prévu.
Mise en œuvre d’une politique de mot de passe
Voici quelques conseils de dépannage lorsque la politique de mot de passe de votre domaine ne semble pas s’appliquer aux utilisateurs de votre domaine :
Les contrôleurs de domaine ignorent les paramètres de la politique de mot de passe définis dans les GPO liés au OU des contrôleurs de domaine. Assurez-vous que votre GPO de politique de mot de passe est lié au niveau de l'objet de domaine. La politique de compte est propagée via le contrôleur de domaine détenant le rôle d'émulateur PDC, en écrivant les valeurs à la racine du contexte de nommage du domaine (DC=domaine,DC=tld).
Vérifiez les problèmes courants qui affectent le comportement d'héritage de la politique par défaut.
Link Order - l'ordre de préséance des GPO liées à un conteneur donné. Le lien GPO avec Link Order de 1 a la plus haute priorité sur ce conteneur.
Bloquer l'héritage - la possibilité d'empêcher une OU ou un domaine d'hériter des GPO de l'un de ses conteneurs parents. Notez que les liens GPO appliqués seront toujours hérités.
Enforcement - (précédemment connu sous le nom de "No Override") la possibilité de spécifier qu'une GPO doit avoir la priorité sur toutes les GPO qui sont liées aux conteneurs enfants.
Statut du lien - détermine si un lien GPO donné est traité ou non pour le conteneur auquel il est lié.
Vérifiez si l'OU des contrôleurs de domaine bloque ou non l'héritage. Cette configuration empêchera les DC de lire les politiques liées au niveau des objets du domaine.
Assurez-vous que tous les objets de votre contrôleur de domaine sont toujours stockés dans le OU des contrôleurs de domaine, spécifiquement et surtout le DC détenant le rôle d'émulateur PDC.
Vérifiez qu'il n'y a pas de problèmes de réplication dans le domaine.
Les stratégies de mot de passe appliquées au niveau de l'OU s'appliqueront aux objets informatiques de l'OU lié. Les stratégies de mot de passe sont des paramètres de configuration de l'ordinateur, et non des paramètres de configuration de l'utilisateur. Si vous appliquez une stratégie de mot de passe au niveau de l'OU, les utilisateurs locaux stockés sur les ordinateurs de l'OU lié sont le seul compte utilisateur affecté par le GPO.
Si vous souhaitez appliquer des politiques différentes à des utilisateurs spécifiques, envisagez d'utiliser des politiques de mot de passe à grain fin (FGGP). Pour plus d'informations, consultez l'article TechNet de Microsoft : http://technet.microsoft.com/en-us/library/cc770394(WS.10).aspx.
Si vous ne voulez pas que la politique de mot de passe du domaine affecte les utilisateurs locaux stockés dans la base de données SAM sur les ordinateurs du domaine, vous pouvez bloquer l'héritage sur les OU ou créer une GPO telle que 'Client Device Password Policy' pour remplacer la politique de mot de passe du domaine au niveau OU de l'ordinateur client.
Voici un autre message d’erreur courant pour les utilisateurs lorsque la politique de mot de passe est activée : « Le mot de passe ne répond pas aux exigences de la politique de mot de passe. Vérifiez les exigences en matière de longueur minimale du mot de passe, de complexité du mot de passe et d’historique du mot de passe. »
Une chose que la plupart des gens oublient est que lorsque la complexité est activée, le mot de passe ne peut pas contenir l’intégralité du nom de compte ou du nom complet de l’utilisateur. Le nom de compte et le nom complet sont analysés à la recherche de délimiteurs : virgules, points, tirets ou traits d’union, traits de soulignement, espaces, dièses et tabulations.
Si l’un de ces délimiteurs est trouvé, le nom du compte ou le nom complet est divisé et toutes les sections sont vérifiées pour ne pas être incluses dans le mot de passe. Il n’y a pas de vérification pour un seul caractère ou pour trois caractères successifs.
Les conseils énumérés ci-dessus couvrent généralement la plupart des problèmes de politique de mot de passe que vous pouvez rencontrer. Si vous rencontrez toujours des problèmes après la lecture de cet article, je vous suggère de contacter le support technique de Microsoft pour obtenir des conseils supplémentaires, avant de réinstaller Active Director ou d’introduire des modifications supplémentaires susceptibles de provoquer d’autres problèmes liés à AD.