Dans les environnements Microsoft, la mise en oeuvre de l’annuaire Active Directory représente le socle de la stratégie d’authentification au sein de l’entreprise, sans Active Directory, il n’y a pas de gestion centralisée de la politique de mot de passe.
Au travers d’Active Directory, la politique
La politique des mots de passe dans Active Directory
de mot de passe se base principalement sur quatre éléments :
• Complexité du mot de passe
• Age maximum du mot de passe
• Age minimum du mot de passe
• Historisation des mots de passe
La politique de mot de passe de l’organisation se définit au sein d’une stratégie de groupe liée au niveau du domaine, traditionnellement la stratégie de groupe nommée « Default Domain Policy » contiendra cette politique. Cette stratégie de groupe est créée automatiquement lors de la création du domaine. (voir Figure 1) Il est à noter que la politique de mot de passe ne se définit qu’au niveau du domaine, toutes les stratégies de groupe contenant des paramètres sur la politique de mot de passe positionnées au niveau des sites ou des unités d’organisations sont totalement inutiles et n’ont aucun effet sur les paramètres de sécurité portés vers les utilisateurs du réseau.
En termes de design Active Directory, cette unité des caractéristiques de sécurité du mot de passe, affecte considérablement les choix d’implémentation. Si une organisation désire utiliser des politiques de mots de passe différentes en fonction de certaines filiales par exemple, elle devra obligatoirement créer autant de domaines que de politiques différentes au sein de la forêt.
Concernant l’exploitation, les exigences de complexité définies par la stratégie de groupe sont appliquées quand les mots de passe sont modifiés ou créés : la modification de la stratégie n’est pas « dynamique » – il ne suffit donc pas de modifier la stratégie pour que les nouveaux standards de complexité s’appliquent aux utilisateurs ; cette latence inhérente au rythme naturel des changements de mots de passe de la part des utilisateurs est à prendre en considération lors des évolutions de politique.
A noter que l’éditeur de solutions pour Active Directory specopssoft.com propose un logiciel permettant de gérer plusieurs politiques de mot de passe au sein d’un même domaine Windows 2000 ou 2003. De plus, cette limitation fonctionnelle sera éliminée avec l’arrivée de Windows Server 2008 qui proposera en standard une fonction permettant de rendre granulaire la politique de mot de passe au sein d’un domaine Windows 2008.
Téléchargez cette ressource
Microsoft 365 Tenant Resilience
Face aux failles de résilience des tenants M365 (configurations, privilèges, sauvegarde). Découvrez 5 piliers pour durcir, segmenter et surveiller vos environnements afin de limiter l’impact des attaques. Prioriser vos chantiers cyber et améliorer la résilience de vos tenants Microsoft 365.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- L’anxiété liée à l’IA, un risque sous-estimé pour la sécurité
- IA générative en Europe : une adoption massive, mais une gouvernance toujours en retard
- Golden records : le socle oublié des projets IA
- Communication d’entreprise à l’ère de l’IA : fragmentation, Shadow AI et perte de contrôle
Articles les + lus
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
Analyse Patch Tuesday Mai 2026
Les coûts cachés des merge requests générées par l’IA
À la une de la chaîne Tech
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
- Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
- Analyse Patch Tuesday Mai 2026
- Les coûts cachés des merge requests générées par l’IA
