> Tech > Paramètres possibles dans la stratégie de mots de passe

Paramètres possibles dans la stratégie de mots de passe

Tech - Par iTPro - Publié le 27 février 2013
email

Lorsque vous modifiez un objet de stratégie de groupe (GPO) standard à partir de la console de gestion des stratégies de groupe (GPMC), vous trouvez les mêmes options pour la stratégie de compte.

Paramètres possibles dans la stratégie de mots de passe

Pour localiser les paramètres de stratégie de mots de passe, lesquels figurent sous la stratégie de compte, accédez aux dossiers de stratégie via le chemin suivant : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes (Computer Configuration\Strategies\Windows Settings\Security Settings\Account Policies). A ce niveau, vous allez trouver trois dossiers de stratégies : Stratégie de mots de passe (Password Policies), Stratégie de verrouillage du compte (Account Lockout Policies) et Stratégie Kerberos (Kerberos Policies).

Pour chacun de ces dossiers et les paramètres qu’ils contiennent, il existe des valeurs par défaut dans les domaines Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 nouvellement installés. Ces paramètres par défaut sont présentés dans le tableau 1 ci-dessous.

Limitations de la stratégie de mots de passe pour les utilisateurs du domaine

Pour être certain que vous compreniez ma définition des utilisateurs du domaine, voyons où ils résident. Il s’agit des utilisateurs qui sont créés et stockés dans la base de données Active Directory. Autrement dit, cela englobe tous les utilisateurs stockés sur vos contrôleurs de domaine (DC). Un moyen facile de voir les personnes concernées consiste à ouvrir la console Utilisateurs et ordinateurs Active Directory (Active Directory Users and Computers, ADUC) et à effectuer une recherche sur tous les utilisateurs de ce domaine. Les personnes s’affichant dans le résultat entrent dans cette catégorie.

Le seul moyen de contrôler la stratégie de mots de passe pour les utilisateurs du domaine consiste à configurer la stratégie de compte précitée dans un GPO lié au domaine. C’est le seul moyen par défaut ! Evidemment, il est vrai que Default Domain Policy est le GPO contenant les paramètres de stratégie de mots de passe par défaut, mais il est possible d’aller au-delà. Il est très facile de créer un nouveau GPO, de configurer les paramètres de stratégie de compte selon vos besoins et d’attribuer la priorité la plus élevée au GPO dans la console GPMC. Au final, ce nouveau GPO contrôlera les paramètres de stratégie de compte pour tous les utilisateurs du domaine.

 

Tableau 1. Valeurs par défaut des paramètres de stratégie de comptes.

 

Paramètre de stratégie

Valeur de paramètre par défaut

Enforce password history (Conserver l’historique des mots de passe)

24 jours

Maximum password age (Durée maximale du mot de passe)

42 jours

Minimum password age (Durée de vie minimale du mot de passe)

1 jour

Minimum password length (Longueur minimale du mot de passe)

7

Password must meet complexity requirements (Le mot de passe doit respecter les exigences de complexité)

Activé

Store passwords using reversible encryption (Enregistrer les mots de passe en utilisant un cryptage réversible)

Désactivé

Account lockout duration (Durée de verrouillage du compte)

Non défini

Account lockout threshold (Seuil de verrouillage du compte)

0

Reset account lockout counter after (Réinitialiser le compteur de verrouillages du compte après)

Non défini

Enforce user logon restrictions (Appliquer les restrictions pour l’ouverture de session)

Activé

Maximum lifetime for service ticket (Durée de vie maximale du ticket de service)

600 minutes

Maximum lifetime for user ticket (Durée de vie maximale du ticket utilisateur)

10 jours

Maximum lifetime for user ticket renewal (Durée de vie maximale pour le renouvellement de ticket utilisateur)

7 jours

Maximum tolerance for computer clock synchronization (Tolérance maximale pour la synchronisation des horloges des ordinateurs)

5 minutes

 

Téléchargez gratuitement cette ressource

*** SMART DSI *** VERSION NUMÉRIQUE

*** SMART DSI *** VERSION NUMÉRIQUE

Découvrez SMART DSI, la nouvelle revue du Décideur IT en version numérique. Analyses et dossiers experts pour les acteurs de la transformation numérique de l'entreprise, Gagnez en compétences et expertise IT Professionnelle avec le contenu éditorial premium de SMART DSI.

Tech - Par iTPro - Publié le 27 février 2013