Il s’agit là d’une petite révolution ! Il est désormais possible de définir au sein du même domaine différentes stratégies de mots de passe et de verrouillage des mots de passe. Pour rappel, cette opération n’a jamais été possible, ni dans le cas des domaines Microsoft OS/2 LAN Manager, ni
Nouvelle fonctionnalité AD DS : Nouvelle Finesse dans les stratégies de mots de passe
avec les domaines Windows NT ou Active Directory quel qu’en soit le niveau fonctionnel. Les seules solutions de contournement à cette limitation historique consistaient à mettre en oeuvre un ou des domaines supplémentaires ou bien à développer une DLL de filtrage de mots de passe tels que cela est spécifié dans les SDK. Bien entendu, ces 2 solutions sont très contraignantes et donc peu utilisées. La mise en oeuvre de stratégies de mots de passe particulières au sein d’un même domaine Active Directory utilise une nouvelle classe d’objet appelée PSO pour « Password Settings Object ». Malheureusement, à l’heure où ces lignes sont écrites et dans la version Beta 3 de Windows Server 2008 Build 6001, il n’existe pas d’interface graphique pour gérer cette nouvelle fonctionnalité. Ainsi, vous devrez utiliser l’habituel ADSI Edit ou des scripts de type Ldif pour réaliser les opérations de création, de suppression, de modification, d’ordre d’application et de liaisons des objets PSO sur des objets utilisateurs ou groupes globaux de sécurité.
Pour plus d’informations sur cette fonctionnalité, recherchez sur le site Microsoft Technet « Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration ».
Voir Figure 13. Vous remarquerez que, désormais, tous les objets manipulés via les nouveaux composants d’administration disposent d’un nouvel onglet « Attribute Editor ». Cette amélioration de l’interface est très pratique car elle permet un accès total à tous les attributs de tous les objets Active Directory. Par exemple, l’association qui relie l’objet PSO à un utilisateur ou un groupe de sécurité est réalisée en déclarant le DN de l’objet en tant que valeur de l’attribut msDS-PSOAppliesTo.
Une autre alternative consiste à utiliser la commande Ldifde. Elle vous permettra d’appliquer à de multiples utilisateurs ou groupes d’utilisateurs un objet PSO, en une seule opération.
A propos de Ldifde : LDIF est un standard Internet qui définit un format de fichier particulier pour réaliser des opérations en mode batch vers des annuaires respectant les standards LDAP. LDIF peut être utile pour des opérations d’importation et d’exportation de données. Pour plus d’informations sur l’utilisation de LDIFDE avec Active Directory, consultez le lien http://go. microsoft.com/fwlink/?LinkId =87487.
Le tableau 2 liste les attributs qui vous permettront de définir les détails d’un objet PSO (Password Settings Object) en déclarant les différents attributs obligatoires et optionnels.
Il convient de préciser qu’il est possible de « lier » plusieurs objets PSO sur le même utilisateur ou groupe d’utilisateurs. Il est aussi possible qu’un utilisateur soit membre de plusieurs groupes d’utilisateurs disposant de liaisons vers plusieurs objets PSO. Pour des raisons évidentes de gestion des règles de sécurité relatives aux mots de passe, il a été convenu que les objets PSO ne seraient pas fusionnés. L’attribut msDS-PSOAppliesTo d’un objet PSO permet la liaison vers compte d’utilisateur ou de groupe pris pour cible. Le schéma Active Directory de Windows Server 2008 ajoute l’attribut msDS-PSOApplied en tant que lien inverse assurant la liaison entre l’objet utilisateur ou groupe et l’objet PSO. Le protocole RSOP sera alors utilisé pour résoudre les liaisons vers les objets PSO. Finalement, 2 types de liaisons peuvent exister : Une liaison directe, l’objet PSO étant lié sur l’objet utilisateur ou une liaison indirecte, sur la base des objets PSO liés sur les groupes dont l’utilisateur est membre.
Finalement, si plusieurs objets PSO existent pour un utilisateur donné, alors un arbitrage aura lieu pour n’en sélectionner qu’un en utilisant l’attribut msDS-PasswordSettingsPrecedence des différents objets PSO. L’objet PSO disposant de la valeur de précédence la plus faible sera appliqué. Si plusieurs objets PSO disposent du même niveau de précédence, l’objet PSO disposant du GUID le plus faible sera sélectionné puis appliqué. Ce genre de problème ne se produira pas si la valeur de précédence de chaque objet PSO a correctement été définie.
Téléchargez cette ressource

Rapport mondial 2025 sur la réponse à incident
Dans ce nouveau rapport, les experts de Palo Alto Networks, Unit 42 livrent la synthèse des attaques ayant le plus impacté l'activité des entreprises au niveau mondial. Quel est visage actuel de la réponse aux incidents ? Quelles sont les tendances majeures qui redessinent le champ des menaces ? Quels sont les défis auxquels doivent faire face les entreprises ? Découvrez les top priorités des équipes de sécurité en 2025.
Les articles les plus consultés
- Et si les clients n’avaient plus le choix ?
- Activer la mise en veille prolongée dans Windows 10
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
Les plus consultés sur iTPro.fr
- Reporting RSE : un levier d’innovation !
- De la 5G à la 6G : la France se positionne pour dominer les réseaux du futur
- Datanexions, acteur clé de la transformation numérique data-centric
- Les PME attendent un meilleur accès aux données d’émissions de la part des fournisseurs
- Fraude & IA : Dr Jekyll vs. Mr Hyde, qui l’emporte ?
