1- Qu'est ce qu'une stratégie de mot de passe affinée (FGPP)?
Avant Windows Server 2008, un domaine Windows disposait d'une seule stratégie de mot de passe. Windows Server 2008 introduit la notion de "Fine Grained Password Policy", il existe toujours une stratégie de mot de passe au niveau du domaine, mais des paramètres complémentaires sont ajoutés pour les utilisateurs (ou les groupes) ayant besoin de stratégies différentes.
Ces paramètres s'appellent : objets de paramétrage de mot de passe : "Password Settings Objects" (PSOs), ils permettent de simuler plusieurs stratégies de mot de passe dans le même domaine. Ce sont des objets de l'annuaire issuent de la classe "msDS-PasswordSettings" contenant les attributs suivants :
|
Nom d’attribut
|
Description
|
|
msDS-PasswordSettingsPrecedence
|
Précédence des paramètres de mot de passe (Supérieur à 0). Permet d'identifier la PSO prioritaire en cas de conflit.
|
|
msDS-PasswordReversibleEncryptionEnabled
|
État de chiffrement réversible de mot de passe pour les comptes d’utilisateurs, vaut FALSE / TRUE (Valeur recommandée : FALSE)
|
|
msDS-PasswordHistoryLength
|
Longueur de l’historique du mot de passe pour les comptes d’utilisateurs (de 0 à 1 024)
|
|
msDS-PasswordComplexityEnabled
|
État de complexité du mot de passe pour les comptes d’utilisateurs, vaut FALSE / TRUE (Valeur recommandée : TRUE)
|
|
msDS-MinimumPasswordLength
|
Longueur minimale du mot de passe pour les comptes d’utilisateurs (de 0 à 255)
|
|
msDS-MinimumPasswordAge
|
Durée de vie minimale du mot de passe pour les comptes d’utilisateurs, peut valoir :
- (Aucune)
- De 00:00:00:00 à la valeur msDS-MaximumPasswordAge
|
|
msDS-MaximumPasswordAge
|
Durée de vie maximale du mot de passe pour les comptes d’utilisateurs
- (Jamais)
- De la valeur msDS-MinimumPasswordAge à (Jamais)
- La valeur de msDS-MaximumPasswordAge ne peut
|
|
msDS-LockoutThreshold
|
Seuil de verrouillage pour le verrouillage des comptes d’utilisateurs
|
|
msDS-LockoutObservationWindow
|
Fenêtre d’observation pour le verrouillage des comptes d’utilisateurs
|
|
msDS-LockoutDuration
|
Durée de verrouillage pour les comptes d’utilisateurs verrouillés
|
|
msDS-PSOAppliesTo
|
Liens jusqu’aux objets auxquels cet objet PSO s’applique (lien avant)
|
2 - Création des FPOs au moyen de l'interface native
La création et la gestion des PSOs se fait à partir des outils suivants : MMC de gestion des utilisateurs Active Directory, ADSIEdit.msc, LDIF.exe, PowerShell.
Il est possible d'ajouter une PSO en créant un nouvel objet dans le "Password Settings Container" du container "System" (MMC en mode fonctionalités avancées).
3 - Interface utilisateur SlxFGPP
Cette interface s'installe par simple application d'un composant MSI déployable à travers GPO sur les contrôleurs de domaine.
Une fois installé un nouvel élément de menu, permettant de gérer simplement les FGPPs, apparait dans le menu contextuel du "Password Settings Container"
Ce menu permet d'accèder à un formulaire de création d'objets de stratégie de mot de passe.
Ce formulaire permet d'obtenir (après rafraichissement de la MMC utilisateurs et ordinateurs Active-Directory) un nouvel objet de classe "msDS-PasswordSettings" que l'on peut éditer avec un formulaire analogue à partir de ses propriétés.
L'éditeur d'attribut est toujours disponible, Mais on peut retrouver l'équivalent du formulaire précédent permettant de modifier une stratégie de mot de passe dans l'onglet "Stratégie de mot de passe détaillé".
