Guide ultime de configuration de la politique de mot de passe par défaut dans Active Directory – Meilleures pratiques et conseils. Par défaut, Active Directory est configuré avec une stratégie de mot de passe de domaine par défaut. Cette stratégie définit les exigences en matière de mot de passe pour les comptes d'utilisateurs Active Directory, telles que la longueur du mot de passe., âge, et ainsi de suite.
Paramètres de stratégie de mot de passe
Appliquer l'historique des mots de passe:
Ce paramètre définit le nombre de mots de passe uniques qui doivent être utilisés avant qu'un ancien mot de passe puisse être réutilisé.. Par exemple, si mon mot de passe actuel est « Th334goore0!" alors je ne peux pas réutiliser ce mot de passe tant que je n'ai pas changé mon mot de passe 24 fois (ou quel que soit le numéro auquel la politique est définie). Ce paramètre est utile pour que les utilisateurs ne réutilisent pas constamment le même mot de passe. Le paramètre par défaut est 24
Âge maximum du mot de passe:
Ce paramètre définit la durée en jours pendant laquelle un mot de passe peut être utilisé avant de devoir être modifié.. Le paramètre par défaut est 42 jours
Âge minimum du mot de passe
Ce paramètre détermine la durée pendant laquelle un mot de passe doit être utilisé avant de pouvoir être modifié.. Le paramètre par défaut est 1 jour
Longueur minimale du mot de passe
Ce paramètre détermine le nombre de caractères qu'un mot de passe doit contenir. La valeur par défaut est 7. Cela signifie que mon mot de passe doit contenir au moins 7 personnages.
Le mot de passe doit répondre aux exigences de complexité
Si les mots de passe activés doivent répondre à ces exigences:
- Ne pas contenir le nom de compte de l'utilisateur ou des parties du nom complet de l'utilisateur dépassant deux caractères consécutifs
- Comporter au moins six caractères
- Contenir des personnages de trois des quatre catégories suivantes:
- Caractères majuscules anglais (A à Z)
- Caractères minuscules anglais (a à z)
- Base 10 chiffres (0 à travers 9)
- Caractères non alphabétiques (Par exemple, !, $, #, %)
c'est activé par défault
Stockez les mots de passe à l’aide d’un cryptage réversible
Ce paramètre détermine si le système d'exploitation stocke le mot de passe à l'aide d'un cryptage réversible.. Cela revient essentiellement à stocker les versions les plus récentes des mots de passe.. Cette stratégie ne doit JAMAIS être activée, sauf si vous avez des exigences d'application très spécifiques..
Modifier la politique de mot de passe de domaine par défaut
1. Connectez-vous à votre contrôleur de domaine (ou utilisez un client Windows avec RSAT installé). Clique sur le Commencer bouton et recherchez dans la liste des applications Outils d'administration Windows;
2. Cliquer sur Gestion des politiques de groupe;
3. Trouver Politique de domaine par défaut (ForêtDomaines<Nom de domaine>\Objets de stratégie de groupe);
Si vous devez modifier certains paramètres contenus dans le GPO de stratégie de domaine par défaut, il est recommandé de créer un nouveau GPO à cet effet, liez-le au domaine, et réglez le Imposer option.
TechNet: Lier des objets de stratégie de groupe
Ne modifiez pas la stratégie de domaine par défaut ou la stratégie de contrôleur de domaine par défaut, sauf si nécessaire. Plutôt, créez un nouveau GPO au niveau du domaine et configurez-le pour remplacer les paramètres par défaut dans les politiques par défaut.
TechNet: Établir les lignes directrices opérationnelles de la politique de groupe
4. Bouton droit de la souris cliquer sur Politique de domaine par défaut et sélectionnez Modifier;
5. Aller à Politique de mot de passe (Configuration ordinateurStratégiesParamètres WindowsParamètres de sécuritéStratégie de mot de passe) et configuré les paramètres des politiques de mot de passe selon la configuration souhaitée;
6. Appliquer l'historique des mots de passe – de combien de mots de passe le système se souviendra. Combien de mots de passe uniques l'utilisateur doit utiliser à chaque réinitialisation du mot de passe;
7. Âge maximum du mot de passe – combien de temps le mot de passe sera-t-il conservé ? Après cette période utilisateur, sera invité à réinitialiser le mot de passe. (Vous pouvez définir "0" pour "illimité" âge temps);
8. Âge minimum du mot de passe – l'utilisateur peut changer le mot de passe après cette période. (Vous pouvez définir "0" pour "illimité" âge temps);
9. Longueur minimale du mot de passe – quelle sera la durée de vos mots de passe, mais pas moins que cette valeur;
10. Le mot de passe doit répondre aux exigences de complexité – vous pouvez définir ce paramètre si vous avez besoin de mots de passe très forts (petit "un" et grand "UN" des lettres, chiffres "1" et symboles spéciaux "!");
11. Stockez les mots de passe à l’aide d’un cryptage réversible – par défaut non utilisé dans le domaine, seulement si l'application l'exige.
Vous pouvez également afficher la politique de mot de passe par défaut avec Windows PowerShell:
Get-ADDefaultDomainPasswordPolicy
CONSEIL: Assurez-vous d'informer tous vos utilisateurs lorsque vous comptez le faire, car cela pourrait les inciter à changer leur mot de passe lors de leur prochaine connexion..
NOTE: Même si vous appliquez les politiques de mot de passe à l’UO « Contrôleurs de domaine », cela ne modifiera pas la politique de mot de passe du domaine.. Pour autant que je sache, c'est la seule exception à la règle selon laquelle les GPO s'appliquent aux objets.