Écoutez cet article

Bien que le déploiement d’une politique de mot de passe Active Directory (AD) soit techniquement facile, la plupart du temps, la planification et la conception appropriées ne sont pas prises en compte. Par conséquent, les résultats attendus de la politique ne sont pas toujours obtenus.

Avant de configurer les politiques de mot de passe sur les ordinateurs de votre réseau, vous devez identifier les paramètres pertinents, déterminer les valeurs que vous utiliserez pour ces paramètres et comprendre comment Windows stocke les informations de configuration des politiques de mot de passe.

Identification des paramètres liés aux stratégies de mot de passe

Il existe, au niveau le plus élémentaire, cinq paramètres que vous pouvez configurer et qui sont liés aux caractéristiques des mots de passe : Appliquer l’historique des mots de passe, l’âge maximum des mots de passe, l’âge minimum des mots de passe, la longueur minimum des mots de passe et les mots de passe doivent répondre aux exigences de complexité. 

Appliquer l’historique des mots de passe détermine le nombre de nouveaux mots de passe uniques qu’un utilisateur doit utiliser avant de pouvoir réutiliser un ancien mot de passe. La valeur de ce paramètre peut être comprise entre 0 et 24 ; si cette valeur est définie sur 0, l’application de l’historique des mots de passe est désactivée.

L’âge maximal du mot de passe détermine le nombre de jours pendant lesquels un mot de passe peut être utilisé avant que l’utilisateur ne soit obligé de le changer. Cette valeur est comprise entre 0 et 999 ; si elle est fixée à 0, les mots de passe n’expirent jamais. Si vous définissez une valeur trop faible, vos utilisateurs risquent d’être frustrés ; si vous la définissez trop élevée ou si vous la désactivez, les attaquants potentiels auront plus de temps pour déterminer les mots de passe.

L’âge minimum du mot de passe détermine le nombre de jours pendant lesquels un utilisateur doit conserver ses nouveaux mots de passe avant de pouvoir les modifier. Ce paramètre est conçu pour fonctionner avec le paramètre Appliquer l’historique des mots de passe afin que les utilisateurs ne puissent pas réinitialiser rapidement leurs mots de passe le nombre de fois requis, puis revenir à leurs anciens mots de passe. La valeur de ce paramètre peut être comprise entre 0 et 999 ; s’il est défini sur 0, les utilisateurs peuvent immédiatement changer de nouveaux mots de passe.

Comment supprimer votre mot de passe Windows 11

La longueur minimale du mot de passe détermine la brièveté des mots de passe.

Les mots de passe doivent répondre aux exigences de complexité détermine si la complexité des mots de passe est appliquée. Si ce paramètre est activé, les mots de passe des utilisateurs répondent aux exigences suivantes :

  1. Le mot de passe comporte au moins six caractères. 
  2. Le mot de passe contient des caractères d’au moins trois des quatre catégories suivantes :
  • Caractères majuscules anglais (A – Z)
  • Caractères minuscules anglais (a – z)
  • Chiffres en base 10 (0 – 9)
  • caractères non alphanumériques (par exemple : !, $, # ou %).
  • Le mot de passe ne doit pas contenir l’intégralité du nom de compte ou du nom complet de l’utilisateur. Le nom de compte et le nom complet sont analysés pour détecter les délimiteurs : virgules, points, tirets ou traits d’union, traits de soulignement, espaces, dièses et tabulations. Si l’un de ces délimiteurs est trouvé, le nom du compte ou le nom complet est divisé et toutes les sections sont vérifiées pour ne pas être incluses dans le mot de passe. Il n’y a pas de vérification pour un seul caractère ou pour trois caractères successifs.

Lors de la vérification du nom complet de l’utilisateur, plusieurs caractères sont traités comme des délimiteurs qui séparent le nom en jetons individuels. Il s’agit des virgules, des points, des tirets/hyphènes, des traits de soulignement, des espaces, des dièses et des tabulations. Pour chaque jeton de trois caractères ou plus, ce jeton est recherché dans le mot de passe ; s’il est présent, le changement de mot de passe est rejeté.

Par exemple, le nom « Erin M. Hagens » sera divisé en trois jetons : « Erin », « M » et « Hagens ». Comme le deuxième jeton ne comporte qu’un seul caractère, il est ignoré. Par conséquent, cet utilisateur ne peut pas avoir un mot de passe qui inclut « Erin » ou « Hagens » comme sous-chaîne n’importe où dans le mot de passe. Toutes ces vérifications sont insensibles à la casse.

Déployer la politique de mot de passe

Il est assez fréquent qu’un administrateur qui ne comprend pas comment les politiques de mot de passe sont stockées se demande si la politique doit être appliquée au niveau du domaine, des contrôleurs de domaine ou de l’OU individuel. Avant Active Directory 2008 et l’introduction de Fine Grained Password Policies (FGGP), vous ne pouvez appliquer qu’une seule politique de mot de passe à vos objets utilisateurs. J’aborderai brièvement l’utilisation des FGGP dans cet article.

Donc, s’il ne peut y avoir qu’une seule politique de mot de passe pour le domaine pré-2008, où dois-je lier la politique, l’objet de domaine ou le OU des contrôleurs de domaine. La réponse est que les stratégies de compte doivent être appliquées au niveau de l’objet de domaine. Les contrôleurs de domaine ignoreront les paramètres de la stratégie de compte qui sont configurés dans une GPO liée à l’OU des contrôleurs de domaine.

Si nous examinons un exemple de GPO, la première chose que vous devez noter est que les paramètres de la stratégie de mot de passe sont stockés dans la section Configuration de l’ordinateur, et non dans la section Configuration de l’utilisateur. Ceci est essentiel pour comprendre comment appliquer cette politique.

Puisque les paramètres de la politique de mot de passe sont stockés dans la section Configuration de l’ordinateur, les paramètres que vous définissez s’appliqueront aux objets de l’ordinateur. Si vous appliquez le GPO au niveau du domaine, il s’appliquera à TOUS les objets informatiques sous la racine (y compris les DC qui partagent la base de données des comptes).

Si vous la liez à une OU dans l’arborescence, elle ne sera appliquée qu’aux ordinateurs situés dans cette OU et toute OU enfant. Lorsque vous appliquez la politique de compte au niveau de l’OU, les comptes d’utilisateur définis localement sur les ordinateurs de l’OU seront affectés, et non les objets utilisateur de l’OU.

Maintenant que nous avons déterminé que la politique des mots de passe est appliquée aux ordinateurs et non aux utilisateurs, comment se fait-il que les utilisateurs du domaine soient liés par la politique ? Eh bien, pensez-y logiquement, lorsque vous liez la politique au niveau de l’objet de domaine (racine), les ordinateurs qui sont impactés incluent… les CONTROLEURS DE DOMAINE.

La politique de compte est en fait propagée via le contrôleur de domaine détenant le rôle d’émulateur PDC, en écrivant les valeurs à la racine du Domain Naming Context (DC=domain, DC=tld). Chaque contrôleur de domaine du domaine réplique une copie du NC de domaine. Les autres DC du domaine lisent les informations à partir de la tête du NC de domaine (et non à partir de la GPO contenant les paramètres de la politique) et les appliquent.

Je pense que c’est la raison pour laquelle les politiques de compte doivent être liées au niveau du domaine. Si vous deviez la lier au OU des contrôleurs de domaine et que le DC détenant le rôle d’émulateur PDC était déplacé hors de ce OU, cela poserait problème. En le liant au niveau de l’objet du domaine, l’émulateur PDC sera en fait ciblé.