Nouvelle fonctionnalité AD DS : Nouvelle Finesse dans les stratégies de mots de passe

avec les domaines Windows NT ou Active Directory quel qu’en soit le niveau fonctionnel. Les seules solutions de contournement à cette limitation historique consistaient à mettre en oeuvre un ou des domaines supplémentaires ou bien à développer une DLL de filtrage de mots de passe tels que cela est spécifié dans les SDK. Bien entendu, ces 2 solutions sont très contraignantes et donc peu utilisées. La mise en oeuvre de stratégies de mots de passe particulières au sein d’un même domaine Active Directory utilise une nouvelle classe d’objet appelée PSO pour « Password Settings Object ». Malheureusement, à l’heure où ces lignes sont écrites et dans la version Beta 3 de Windows Server 2008 Build 6001, il n’existe pas d’interface graphique pour gérer cette nouvelle fonctionnalité. Ainsi, vous devrez utiliser l’habituel ADSI Edit ou des scripts de type Ldif pour réaliser les opérations de création, de suppression, de modification, d’ordre d’application et de liaisons des objets PSO sur des objets utilisateurs ou groupes globaux de sécurité.

Pour plus d’informations sur cette fonctionnalité, recherchez sur le site Microsoft Technet « Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration ».

Voir Figure 13. Vous remarquerez que, désormais, tous les objets manipulés via les nouveaux composants d’administration disposent d’un nouvel onglet « Attribute Editor ». Cette amélioration de l’interface est très pratique car elle permet un accès total à tous les attributs de tous les objets Active Directory. Par exemple, l’association qui relie l’objet PSO à un utilisateur ou un groupe de sécurité est réalisée en déclarant le DN de l’objet en tant que valeur de l’attribut msDS-PSOAppliesTo.
Une autre alternative consiste à utiliser la commande Ldifde. Elle vous permettra d’appliquer à de multiples utilisateurs ou groupes d’utilisateurs un objet PSO, en une seule opération.

A propos de Ldifde : LDIF est un standard Internet qui définit un format de fichier particulier pour réaliser des opérations en mode batch vers des annuaires respectant les standards LDAP. LDIF peut être utile pour des opérations d’importation et d’exportation de données. Pour plus d’informations sur l’utilisation de LDIFDE avec Active Directory, consultez le lien http://go. microsoft.com/fwlink/?LinkId =87487.

Le tableau 2 liste les attributs qui vous permettront de définir les détails d’un objet PSO (Password Settings Object) en déclarant les différents attributs obligatoires et optionnels.
Il convient de préciser qu’il est possible de « lier » plusieurs objets PSO sur le même utilisateur ou groupe d’utilisateurs. Il est aussi possible qu’un utilisateur soit membre de plusieurs groupes d’utilisateurs disposant de liaisons vers plusieurs objets PSO. Pour des raisons évidentes de gestion des règles de sécurité relatives aux mots de passe, il a été convenu que les objets PSO ne seraient pas fusionnés. L’attribut msDS-PSOAppliesTo d’un objet PSO permet la liaison vers compte d’utilisateur ou de groupe pris pour cible. Le schéma Active Directory de Windows Server 2008 ajoute l’attribut msDS-PSOApplied en tant que lien inverse assurant la liaison entre l’objet utilisateur ou groupe et l’objet PSO. Le protocole RSOP sera alors utilisé pour résoudre les liaisons vers les objets PSO. Finalement, 2 types de liaisons peuvent exister : Une liaison directe, l’objet PSO étant lié sur l’objet utilisateur ou une liaison indirecte, sur la base des objets PSO liés sur les groupes dont l’utilisateur est membre.

Finalement, si plusieurs objets PSO existent pour un utilisateur donné, alors un arbitrage aura lieu pour n’en sélectionner qu’un en utilisant l’attribut msDS-PasswordSettingsPrecedence des différents objets PSO. L’objet PSO disposant de la valeur de précédence la plus faible sera appliqué. Si plusieurs objets PSO disposent du même niveau de précédence, l’objet PSO disposant du GUID le plus faible sera sélectionné puis appliqué. Ce genre de problème ne se produira pas si la valeur de précédence de chaque objet PSO a correctement été définie.