Gestion des stratégies de mots de passe Active Directory

Certaines choses de l’existence, telles que la mort et les impôts ou taxes, sont claires pour tous. Il en est d’autres qui semblent également claires ou dont vous croyez connaître le fonctionnement. C’est le cas notamment des stratégies de mots de passe Active Directory.

Ensuite, il y a les choses que vous souhaitez utiliser et, lorsqu’elles se présentent, vous avez l’impression de connaître leur fonctionnement avant même de les examiner.

C’est le cas notamment des stratégies de mots de passe à granularité fine (FGPP). Nous n’allons pas aborder les thèmes de la mort ou des impôts dans cet article, mais plutôt clarifier les idées fausses autour des stratégies de mots de passe Active Directory et des FGPP.

Gestion des stratégies de mots de passe Active Directory

Cela fait maintenant plus de 10 ans que la technologie des stratégies de mots de passe existe, et vous pensez que le sujet est parfaitement clair. Ce n’est toutefois pas le cas et certaines discussions avec des administrateurs réseau montrent toujours une vision embrouillée de ces aspects.

Les notions de base

Les aspects suivants sur les domaines Active Directory n’ont pas changé depuis la sortie de Windows 2000 il y a 11 ans :

• La stratégie de domaine par défaut définit les stratégies de mots de passe par défaut pour chaque utilisateur dans Active Directory et pour chaque utilisateur figurant dans la SAM (Security Account Manager) locale sur chaque serveur et poste de travail rattaché à Active Directory.
• Il ne peut y avoir qu’une stratégie de mots de passe pour les utilisateurs d’un domaine Active Directory Windows 2000 et Windows Server 2003.
• Il est impossible de configurer la stratégie de mots de passe pour une unité organisationnelle (OU) d’utilisateurs afin qu’elle soit différente de la stratégie d’autres utilisateurs dans le domaine ou dans une autre OU.
• Vous ne pouvez pas étendre les paramètres de stratégie de mots de passe sans recourir à un outil tierce partie ou sans développer une solution de stratégie de mots de passe personnalisée.
• Il est impossible de configurer une stratégie de mots de passe pour le domaine racine et de l’employer comme filtre vers les autres domaines dans l’arborescence Active Directory.

Je vois encore des administrateurs et entreprises qui essaient d’expliquer que leur environnement va au-delà des limites ci-dessus et qui sont persuadés d’avoir une autre configuration pour les mots de passe. Dans ce cas, je les encourage à mettre leur croyance à l’épreuve des « tests ». A moins d’avoir installé un produit tierce partie ou d’avoir des domaines Windows Server 2008 en mode natif, il est impossible d’avoir autre chose que ce qui est indiqué ici.