Vous croyez connaître le fonctionnement des stratégies de mots de passe dans Active Directory. Mais est-ce vraiment le cas ? Découvrez comment les gérer dans Windows Server 2008 et Windows Server 2008 R2
Gestion des stratégies de mots de passe Active Directory

Certaines choses de l’existence, telles que la mort et les impôts ou taxes, sont claires pour tous. Il en est d’autres qui semblent également claires ou dont vous croyez connaître le fonctionnement. C’est le cas notamment des stratégies de mots de passe Active Directory.
Ensuite, il y a les choses que vous souhaitez utiliser et, lorsqu’elles se présentent, vous avez l’impression de connaître leur fonctionnement avant même de les examiner.
C’est le cas notamment des stratégies de mots de passe à granularité fine (FGPP). Nous n’allons pas aborder les thèmes de la mort ou des impôts dans cet article, mais plutôt clarifier les idées fausses autour des stratégies de mots de passe Active Directory et des FGPP.
Gestion des stratégies de mots de passe Active Directory
Cela fait maintenant plus de 10 ans que la technologie des stratégies de mots de passe existe, et vous pensez que le sujet est parfaitement clair. Ce n’est toutefois pas le cas et certaines discussions avec des administrateurs réseau montrent toujours une vision embrouillée de ces aspects.
Les notions de base
Les aspects suivants sur les domaines Active Directory n’ont pas changé depuis la sortie de Windows 2000 il y a 11 ans :
• La stratégie de domaine par défaut définit les stratégies de mots de passe par défaut pour chaque utilisateur dans Active Directory et pour chaque utilisateur figurant dans la SAM (Security Account Manager) locale sur chaque serveur et poste de travail rattaché à Active Directory.
• Il ne peut y avoir qu’une stratégie de mots de passe pour les utilisateurs d’un domaine Active Directory Windows 2000 et Windows Server 2003.
• Il est impossible de configurer la stratégie de mots de passe pour une unité organisationnelle (OU) d’utilisateurs afin qu’elle soit différente de la stratégie d’autres utilisateurs dans le domaine ou dans une autre OU.
• Vous ne pouvez pas étendre les paramètres de stratégie de mots de passe sans recourir à un outil tierce partie ou sans développer une solution de stratégie de mots de passe personnalisée.
• Il est impossible de configurer une stratégie de mots de passe pour le domaine racine et de l’employer comme filtre vers les autres domaines dans l’arborescence Active Directory.
Je vois encore des administrateurs et entreprises qui essaient d’expliquer que leur environnement va au-delà des limites ci-dessus et qui sont persuadés d’avoir une autre configuration pour les mots de passe. Dans ce cas, je les encourage à mettre leur croyance à l’épreuve des « tests ». A moins d’avoir installé un produit tierce partie ou d’avoir des domaines Windows Server 2008 en mode natif, il est impossible d’avoir autre chose que ce qui est indiqué ici.
Téléchargez cette ressource

État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- De la 5G à la 6G : la France se positionne pour dominer les réseaux du futur
- Datanexions, acteur clé de la transformation numérique data-centric
- Les PME attendent un meilleur accès aux données d’émissions de la part des fournisseurs
- Fraude & IA : Dr Jekyll vs. Mr Hyde, qui l’emporte ?
- Gestion du cycle de vie des outils de cyberdéfense : un levier de performance pour les entreprises
