Ultimate Guide to Configuring Default Password Policy in Active Directory – Best Practices and Tips. Par défaut, Active Directory is configured with a default domain password policy. This policy defines the password requirements for Active Directory user accounts such as password length, âge, et ainsi de suite.
Paramètres de stratégie de mot de passe
Appliquer l'historique des mots de passe:
This setting defines how many unique passwords must be used before an old password can be reused. Par exemple, if my current password is “Th334goore0!” then I can’t reuse that password until I’ve changed my password 24 fois (ou quel que soit le numéro auquel la politique est définie). This setting is useful so users don’t keep reusing the same password. Le paramètre par défaut est 24
Âge maximum du mot de passe:
This setting defines how long in days a password can be used before it needs to be changed. Le paramètre par défaut est 42 jours
Âge minimum du mot de passe
This setting determines how long a password must be used before it can be changed. Le paramètre par défaut est 1 jour
Longueur minimale du mot de passe
This setting determines how many characters a password must have. The default is 7. This means my password must contain at least 7 personnages.
Le mot de passe doit répondre aux exigences de complexité
Si les mots de passe activés doivent répondre à ces exigences:
- Ne pas contenir le nom de compte de l'utilisateur ou des parties du nom complet de l'utilisateur dépassant deux caractères consécutifs
- Comporter au moins six caractères
- Contenir des personnages de trois des quatre catégories suivantes:
- Caractères majuscules anglais (A à Z)
- Caractères minuscules anglais (a à z)
- Base 10 chiffres (0 à travers 9)
- Caractères non alphabétiques (Par exemple, !, $, #, %)
Ceci est activé par défaut
Stockez les mots de passe à l’aide d’un cryptage réversible
This setting determines if the operating system stores password using reversible encryption. Cela revient essentiellement à stocker les versions les plus récentes des mots de passe.. Cette stratégie ne doit JAMAIS être activée, sauf si vous avez des exigences d'application très spécifiques..
Modifier la politique de mot de passe de domaine par défaut
1. Log in to your Domain Controller (or use a windows client with installed RSAT). Click on the Commencer bouton et recherchez dans la liste des applications Outils administratifs Windows;
2. Cliquer sur Gestion des stratégies de groupe;
3. Trouver Default Domain Policy (ForêtDomaines<Nom de domaine>\Objets de stratégie de groupe);
Si vous devez modifier certains paramètres contenus dans le Default Domain Policy GPO, il est recommandé de créer un nouveau GPO à cet effet, link it to the domain, et réglez le Imposer option.
TechNet: Lier des GPO
Do not modify the default domain policy or default domain controller policy unless necessary. Plutôt, create a new GPO at the domain level and set it to override the default settings in the default policies.
TechNet: Établir les lignes directrices opérationnelles de la politique de groupe
4. Bouton droit de la souris cliquer sur Default Domain Policy et sélectionner Modifier;
5. Aller à Password Policy (Configuration ordinateurStratégiesParamètres WindowsParamètres de sécuritéStratégie de mot de passe) and configured the password policies settings to the configuration you desire;
6. Appliquer l'historique des mots de passe – de combien de mots de passe le système se souviendra. How many unique passwords user must use when every time reset the password;
7. Maximum Password Age – how long will the password lives After this period user, will be prompted to reset the password. (Vous pouvez définir «0" pour "illimité" âge temps);
8. Minimum Password Age – the user may change the password after this period. (Vous pouvez définir «0" pour "illimité" âge temps);
9. Minimum Password Length – quelle sera la durée de vos mots de passe, mais pas moins que cette valeur;
10. Le mot de passe doit répondre aux exigences de complexité – vous pouvez définir ce paramètre si vous avez besoin de mots de passe très forts (petit "a" et grand "UN"lettres, chiffres "1" et symboles spéciaux "!");
11. Stockez les mots de passe à l’aide d’un cryptage réversible – by default not used in the domain, seulement si l'application l'exige.
You can also view the default password policy with Windows PowerShell:
Get-ADDefaultDomainPasswordPolicyCONSEIL: Make sure you inform all your users when you are going to do this as it may trigger them to change their password the next time they log on.
NOTE: Even if you apply the password policies to the “Domain Controllers” OU it will not modify the domain’s password policy. Pour autant que je sache, c'est la seule exception à la règle selon laquelle les GPO s'appliquent aux objets.
