Si vous avez un domaine Active Directory sous Windows Server 2003, vous avez surement déjà essayé de définir plusieurs stratégies de mot de passe pour vos différents types d’utilisateurs.
Pour cela, vous avez créé plusieurs stratégies de groupe et vous les avez liés aux unités d’organisation de votre domaine. Cependant, cette solution donne toujours le même résultat : seule la stratégie de mot de passe spécifiée au niveau du domaine s’applique, la Default Domain Policy.
Sous Windows Server 2003, il est impossible de définir plusieurs stratégies de mot de passe pour le domaine.
Heureusement, Windows Server 2008 autorise désormais la création de plusieurs stratégies de mot de passe, dites granulaires. Néanmoins, elles ne pourront s’appliquer que sur des comptes utilisateurs ou de groupes de sécurité et non sur des unités d’organisation.
Pourquoi
On peut se poser la question de pourquoi a-t-on besoin d’avoir des mots de passe différents pour le domaine.
La réponse est simple : vous avez dans votre entreprise différents types d’utilisateurs et tous n’ont pas la même importance.
Pour des questions de sécurité, vous aimeriez que vos administrateurs changent leur mot de passe tous les 30 jours, que la longueur soit d’au moins 12 caractères…
Cependant, il est très difficile d’imposer à un utilisateur lambda la même complexité, ceux-ci seraient alors tentés d’inscrire le mot de passe sur leur bureau.
Configuration
L’ajout de stratégies granulaire s’effectue en 3 étapes :
- Vérification des prés requis.
- Création de la stratégie.
- Attribution à un groupe
Pré Requis
La stratégie de mots de passes granulaire est une chose qui n’existait pas sous Windows Server 2003, il faudra donc élever le niveau fonctionnel de votre domaine sous Server 2008. Si vous souhaitez utiliser ces stratégies, il faudra migrer tous vos contrôleurs de domaine sous Windows Server 2008.
Pour augmenter le niveau fonctionnel d’un domaine, rendez-vous dans Active Directory Domains and Trusts. Il suffit ensuite de cliquer avec le bouton droit sur votre nom de domaine et de sélectionner Augmenter le niveau fonctionnel de domaine.
Dans la liste, sélectionnez Windows Server 2008 et cliquez sur Augmenter.
Création
Afin de créer et d’appliquer nos stratégies granulaires, nous allons utiliser ADSI Edit car il n’y a pas réellement d’outil dédié pour cela.
Une fois que vous avez connecté la console ADSI à votre serveur, vous obtenez un arbre qui décrit les caractéristiques du domaine.
Pour Windows Server 2008, les stratégies de mots de passe granulaires (Fine-grained Password en anglais) ne sont pas considérées comme des GPO mais comme des objets particuliers.
Ces objets sont appelés : Password Settings Objects (PSO) et ont différents attributs qui détermineront les mots de passe.
Les PSO se situent dans l’emplacement System -> Password Settings Container. Ou si vous préférez le chemin LDAP: « CN=Password Settings Container,CN=System,DC=votre_domaine »
Avant de créer votre premier Password Setting Object, il est important de se souvenir que ce type d’objet ne peut s’appliquer qu’à des comptes utilisateurs ou à des groupes globaux.
Pour ajouter une stratégie, cliquez droit sur le conteneur CN=Password Settings Container et de sélectionner New et Object
L’assistant ne vous propose qu’un seul type d’objet possible : le msDS-PasswordSettings.
Cliquez sur Next et renseignez les informations demandées pour tous les attributs de l’objet.
Voici les explications des attributs du PSO :
cn: Common Name. Le nom de votre objet PSO. Exemple: Password Admin Labo IT
msDS-PasswordSettingsPrecedence: Un PSO peut-être lié à plusieurs utilisateurs ou groupes globaux, et un utilisateur ou un groupe peut se voir appliqué plusieurs PSOs. Pour déterminer quels sont les paramètres à utiliser, chaque PSO possède une précédence. Celle-ci permet de définir des priorités entre les PSO. C’est un nombre commence à 1. Plus la valeur est petite, plus elle est prioritaire.
msDS-PasswordReversibleEncryptionEnabled: Activer le chiffrement réversible des mots de passe. C’est une valeur booléenne (TRUE ou FALSE). Cette fonction est fortement déconseillée.
msDS-PasswordHistoryLength: Taille de l’historique des mots de passe. Nombre entier.
msDS-PasswordComplexityEnabled: Paramètre permettant d’activer la complexité des mots de passe. Un mot de passe est considéré comme complexe lorsqu’il combine 3 des 4 critères suivant: lettres minuscules, lettres majuscules, chiffres et caractères spéciaux. La valeur attendue est un booléen.
msDS-MinimumPasswordLength: Taille minimale du mot de passe. La valeur attendue doit un nombre entier supérieur ou égal à 0.
msDS-MinimumPasswordAge: Durée de vie minimum d’un mot de passe. La valeur attendue est une durée exprimée sous le format j:hh:mm:ss. Exemple pour 1 jour et 8 heures, 1:08:00:00.
msDS-MaximumPasswordAge: Durée de vie maximale du mot de passe. Force l’utilisateur a changé de mot de passe une fois la durée de vie maximale atteinte. La valeur attendue est une durée au format j:hh:mm:ss. msDS-LockoutTreshold: Seuil de verrouillage pour la stratégie de verrouillage des comptes. Cela permet de définir le nombre de tentatives possibles. La valeur attendue est un nombre entier supérieur ou égal à 0.
msDS-LockoutObservationWindow: Durée pendant laquelle un utilisateur ne peut plus tenter d’ouvrir sa session. La valeur attendue est une durée au format j:hh:mm:ss comprise entre 00:00:00:01 et la valeur du paramètre msDS-LockoutDuration.
msDS-LockoutDuration: Durée pendant laquelle un compte utilisateur reste verrouillé s’il n’y a pas eu l’intervention d’un administrateur. La valeur attendue est une durée au format j:hh:mm:ss.
Une fois la configuration terminée, l’objet PSO doit apparaitre dans la liste de droite.
Attribution
La dernière étape consiste à attribuer notre PSO à un compte utilisateur ou un groupe global.
Pour avoir une meilleure gestion des stratégies, je vous conseille d’appliquer les PSO aux groupes et non à un compte utilisateur.
Pour appliquer une stratégie, cliquez droit dessus puis Propriétés. Cherchez ensuite l’attribut msDS-PSOAppliedTo, sélectionnez-le puis cliquez sur le bouton Modifier.
Dans la fenêtre qui apparaît cliquez sur Ajouter un Compte Windows et sélectionnez le groupe voulu.
Notre objet de mot de passe est désormais créé et appliqué sur un groupe.
Conclusion
Après cet article, les stratégies de mot de passes granulaires ne devraient plus avoir de secret pour vous. J’espère qu’il vous aidera à les mettre en place et à comprendre leur fonctionnement.
