Exporter (0) Imprimer
Développer tout

Services de domaine Active Directory : Stratégies de mot de passe affinées

Mis à jour: juillet 2010

S'applique à: Windows Server 2008

Le système d’exploitation Windows Server® 2008 offre aux organisations la possibilité de définir différentes stratégies de verrouillage de compte et de mot de passe pour divers groupes d’utilisateurs d’un domaine. Dans les domaines Active Directory de Microsoft® Windows® 2000 et Windows Server® 2003, une seule stratégie de mot de passe et une seule stratégie de verrouillage de compte pouvaient être appliquées à tous les utilisateurs du domaine. Ces stratégies étaient spécifiées dans la stratégie de domaine par défaut du domaine. Par conséquent, les organisations qui voulaient appliquer différents paramètres de verrouillage de compte et de mot de passe selon les groupes d’utilisateurs devaient, soit créer un filtre de mot de passe, soit déployer plusieurs domaines. Ces deux options se révèlent coûteuses pour différentes raisons.

À quoi servent les stratégies de mot de passe affinées ?

Vous pouvez employer des stratégies de mot de passe affinées pour spécifier plusieurs stratégies de mot de passe au sein d’un même domaine. Vous pouvez également les employer afin d’appliquer différentes restrictions pour les stratégies de verrouillage de compte et de mot de passe à différents groupes d’utilisateurs d’un domaine.

Par exemple, vous pouvez appliquer des paramètres plus stricts aux comptes requérant des privilèges élevés, et des paramètres moins stricts aux comptes des autres utilisateurs. Dans certains cas, vous souhaiterez peut-être appliquer une stratégie de mot de passe particulière aux comptes dont les mots de passe sont synchronisés avec d’autres sources de données.

À qui cette fonctionnalité s’adresse-t-elle ?

Ces informations concernant les stratégies de mot de passe affinées s’adressent aux personnes suivantes :

  • Planificateurs et analystes informatiques qui procèdent à une évaluation technique du produit

  • Concepteurs et planificateurs informatiques au sein des organisations

  • Administrateurs ou responsables chargés de la sécurité informatique

Existe-t-il des considérations particulières ?

Les stratégies de mot de passe affinées s’appliquent exclusivement aux objets utilisateur (ou aux objets inetOrgPerson s’ils sont utilisés à la place des objets utilisateur) et aux groupes de sécurité globaux. Par défaut, seuls les membres du groupe Administrateurs du domaine peuvent définir des stratégies de mot de passe affinées. Toutefois, vous pouvez déléguer la définition de ces stratégies à d’autres utilisateurs. Le niveau fonctionnel du domaine doit correspondre à Windows Server 2008.

Il n’est pas possible d’appliquer directement les stratégies de mot de passe affinées à une unité d’organisation. Si vous voulez appliquer une stratégie de mot de passe affinée aux utilisateurs d’une unité d’organisation, vous pouvez utiliser un groupe intermédiaire (shadow).

Un groupe intermédiaire est un groupe de sécurité global qui est mappé de manière logique à une unité d’organisation afin d’appliquer une stratégie de mot de passe affinée. Vous ajoutez les utilisateurs de l’unité d’organisation en tant que membres du groupe intermédiaire qui vient d’être créé, puis vous appliquez la stratégie de mot de passe affinée à ce groupe intermédiaire. Vous pouvez créer des groupes intermédiaires supplémentaires pour d’autres unités d’organisation en fonction de vos besoins. Si vous déplacez un utilisateur d’une unité d’organisation à une autre, vous devez mettre à jour l’appartenance des groupes intermédiaires correspondants.

Les stratégies de mot de passe affinées n’interfèrent pas avec les filtres de mot de passe personnalisés que vous utilisez éventuellement dans le même domaine. Les organisations qui ont déployé des filtres de mot de passe personnalisés sur des contrôleurs de domaine exécutant Windows 2000 ou Windows Server 2003 peuvent continuer d’utiliser ces filtres afin d’imposer des restrictions supplémentaires aux mots de passe.

Quelles sont les nouveautés de cette fonctionnalité ?

Stockage des stratégies de mot de passe affinées

Pour stocker les stratégies de mot de passe affinées, Windows Server 2008 inclut deux nouvelles classes d’objet dans le schéma des services de domaine Active Directory (AD DS) :

  • Conteneur de paramètres de mot de passe (PSC)

  • Paramètres de mot de passe

Un conteneur de paramètres de mot de passe (Password Settings Container, PSC) est créé par défaut sous le conteneur système du domaine. Vous pouvez l’afficher à l’aide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory (en activant les fonctionnalités avancées). Ce conteneur stocke les objets PSO (Password Settings Object) de ce domaine.

Il est impossible de renommer, de déplacer ou de supprimer ce conteneur. Vous pouvez créer d’autres conteneurs PSC personnalisés, cependant, ils ne sont pas pris en compte lorsque le jeu de stratégie résultant est calculé pour un objet. Par conséquent, ils ne sont pas recommandés. Pour plus d’informations sur la comptabilisation des jeux de stratégie résultants, voir « RSOP » plus loin dans cette rubrique.

Un objet PSO inclut des attributs de tous les paramètres pouvant être définis dans la stratégie de domaine par défaut (à l’exception des paramètres Kerberos). Ces paramètres incluent des attributs pour les paramètres de mot de passe suivants :

  • Appliquer l’historique des mots de passe

  • Durée de vie maximale du mot de passe

  • Durée de vie minimale du mot de passe

  • Longueur minimale du mot de passe

  • Le mot de passe doit respecter des exigences de complexité

  • Enregistrer les mots de passe en utilisant un chiffrement réversible

Ces paramètres incluent également des attributs pour les paramètres de verrouillage de compte suivants :

  • Durée de verrouillage de compte

  • Seuil de verrouillage de compte

  • Réinitialiser le compteur de verrouillage de compte après

Qui plus est, un objet PSO possède les deux nouveaux attributs suivants :

  • Liaison PSO. Il s’agit d’un attribut à plusieurs valeurs qui est lié aux objets Utilisateur et/ou Groupe.

  • Priorité. Il s’agit d’une valeur entière, utilisée pour résoudre les conflits si plusieurs PSO sont appliqués à un objet Utilisateur ou Groupe.

Ces neuf attributs sont des attributs de type mustHave, ce qui signifie que vous devez définir une valeur pour chacun d’eux. Il est impossible de fusionner les paramètres de plusieurs PSO.

Définition de l’étendue des stratégies de mot de passe affinées

Un PSO peut être lié à un objet Utilisateur (ou inetOrgPerson) ou Groupe situé dans le même domaine.

  • Un PSO possède un attribut nommé msDS-PSOAppliesTo qui contient un lien redirecteur vers des objets Utilisateur ou Groupe uniquement. L’attribut msDS-PSOAppliesTo est un attribut à plusieurs valeurs, ce qui signifie que vous pouvez appliquer un PSO à plusieurs utilisateurs ou groupes. Vous pouvez créer une stratégie de mot de passe et l’appliquer à différents ensembles d’utilisateurs ou de groupes.

  • Un nouvel attribut nommé msDS-PSOApplied a été ajouté aux objets Utilisateur et Groupe dans Windows Server 2008. L’attribut msDS-PSOApplied contient un lien retour vers le PSO. Dans la mesure où l’attribut msDS-PSOAppliesTo possède un lien retour, plusieurs PSO peuvent être appliqués à un utilisateur ou à un groupe. Dans ce cas, les paramètres qui sont appliqués sont calculés par RSOP. Pour plus d’informations, voir la section « RSOP » plus avant dans cette rubrique.

Vous pouvez lier un PSO non seulement à des groupes de sécurité globaux, mais aussi à d’autres types de groupes. Cependant, lorsque le jeu de stratégie résultant (RSOP) est déterminé pour un utilisateur ou un groupe, seuls les PSO qui sont liés à des groupes de sécurité globaux ou à des objets Utilisateur sont pris en compte. Les PSO qui sont liés à des groupes de distribution ou à d’autres types de groupe de sécurité sont ignorés.

RSOP

Plusieurs PSO peuvent être liés à un objet Utilisateur ou Groupe, soit du fait de l’appartenance à plusieurs groupes où chaque groupe peut se voir appliquer différents PSO, soit du fait que plusieurs PSO sont appliqués directement à l’objet. Cependant, un seul PSO peut être appliqué comme stratégie de mot de passe effective. Seuls les paramètres de ce PSO peuvent affecter l’utilisateur ou le groupe. Les paramètres d’autres PSO qui sont liés à l’utilisateur ou au groupe ne peuvent en aucun cas être fusionnés.

Le jeu de stratégie résultant (RSOP) peut être calculé uniquement pour un objet Utilisateur. Il existe deux méthodes pour appliquer le PSO à l’objet Utilisateur :

  1. Directement : le PSO est lié à l’utilisateur.

  2. Indirectement : le PSO est lié à un ou à plusieurs groupes dont cet utilisateur est membre.

Chaque PSO est doté d’un attribut supplémentaire nommé msDS-PasswordSettingsPrecedence, qui contribue au calcul du RSOP. L’attribut msDS-PasswordSettingsPrecedence possède une valeur entière supérieure ou égale à 1. Si la valeur de l’attribut de priorité est inférieure à 1, cela signifie que la priorité ou le rang du PSO est supérieur à celui des autres PSO. Par exemple, supposons que deux PSO soient liés à un même objet. Un PSO possède une valeur de priorité de 2, et l’autre possède une valeur de priorité de 4. Dans ce cas, le PSO dont la priorité est égale à 2 est à un rang supérieur. Par conséquent, il est appliqué à l’objet.

Si plusieurs PSO sont liés à un utilisateur ou à un groupe, le PSO résultant qui est appliqué est déterminé comme suit :

  1. Un PSO qui est lié directement à l’objet Utilisateur est le PSO résultant. (Les objets PSO multiples ne devraient pas être directement liés à un objet Utilisateur.)

  2. Si aucun PSO n’est lié directement à l’objet Utilisateur, une comparaison est effectuée pour les appartenances aux groupes de sécurité globaux de l’utilisateur et pour tous les PSO applicables à l’utilisateur en fonction des groupes globaux auxquels il appartient. Le PSO doté de la valeur de priorité la plus faible constitue le PSO résultant.

  3. Si aucun PSO n’est obtenu à partir des conditions (1) et (2), la stratégie de domaine par défaut est appliquée.

Nous vous conseillons d’appliquer une valeur msDS-PasswordSettingsPrecedence unique à chaque PSO que vous créez. Vous pouvez toutefois créer plusieurs PSO possédant la même valeur msDS-PasswordSettingsPrecedence. Si plusieurs PSO ayant la même valeur msDS-PasswordSettingsPrecedence sont obtenus pour un utilisateur à partir des conditions (1) et (2), le PSO doté du GUID le plus faible est appliqué.

Un autre attribut nommé msDS-ResultantPso a été ajouté à l’objet Utilisateur. Un administrateur peut lancer une requête sur cet attribut pour extraire le nom unique du PSO qui est appliqué à cet utilisateur (en fonction des règles énoncées précédemment). S’il n’existe aucun objet PSO s’appliquant à l’utilisateur, soit directement, soit d’après l’appartenance au groupe, la requête retourne la valeur Null.

Si vous voulez qu’un membre spécifique du groupe respecte une stratégie différente de celle appliquée à l’ensemble du groupe, vous pouvez créer un PSO exceptionnel et le lier directement à cet utilisateur spécifique. Lorsque l’attribut msDS-ResultantPso de cet utilisateur est calculé, le PSO exceptionnel qui est lié directement à l’utilisateur prévaut sur tous les autres PSO.

L’objet Utilisateur comporte trois bits qui annulent les paramètres présents dans le jeu de stratégie résultant (de la même manière que ces bits annulent les paramètres dans la stratégie de domaine par défaut de Windows 2000 et Windows Server 2003). Vous pouvez définir ces bits dans l’attribut userAccountControl de l’objet Utilisateur :

  • Chiffrement réversible du mot de passe requis

  • Mot de passe non requis

  • Le mot de passe n’expire jamais

Ces bits continuent de remplacer les paramètres du jeu de stratégie résultant qui est appliqué à l’objet Utilisateur.

Sécurité et délégation

Par défaut, seuls les membres du groupe Administrateurs du domaine peuvent créer des PSO. Seuls les membres de ce groupe disposent des autorisations Créer un enfant et Supprimer un enfant sur l’objet PSC (Password Settings Container). De plus, seuls les membres du groupe Administrateurs du domaine disposent par défaut d’autorisations Propriété d’écriture sur l’objet PSO. Par conséquent, seuls les membres du groupe Administrateurs du domaine peuvent appliquer un PSO à un groupe ou un utilisateur. Vous pouvez déléguer cette autorisation à d’autres utilisateurs ou groupes.

Vous n’avez pas besoin d’autorisations sur l’objet Utilisateur ou Groupe pour être en mesure de lui appliquer un PSO. Le fait de bénéficier d’autorisations Propriété d’écriture sur l’objet Utilisateur ou Groupe ne vous permet pas de lier un PSO à l’utilisateur ou au groupe. Le propriétaire du groupe n’est pas autorisé à lier un PSO au groupe car le lien redirecteur est situé sur le PSO. La possibilité de lier un PSO au groupe ou à l’utilisateur est accordée au propriétaire de l’objet PSO.

Les paramètres sur le PSO peuvent être considérés comme confidentiels ; par conséquent, les comptes Utilisateurs authentifiés ne bénéficient pas d’autorisations Propriété de lecture sur un PSO par défaut. Par défaut, seuls les membres du groupe Administrateurs du domaine bénéficient d’autorisations Propriété de lecture sur le descripteur de sécurité par défaut de l’objet PSO dans le schéma.

Vous pouvez déléguer ces autorisations à n’importe quel autre groupe (par exemple, le personnel d’assistance technique ou une application de gestion) du domaine ou de la forêt. De cette manière, vous pouvez empêcher un utilisateur de voir ses paramètres de mot de passe dans l’annuaire. L’utilisateur peut lire les attributs msDS-ResultantPso ou msds-PSOApplied, mais ces attributs affichent uniquement le nom unique du PSO qui s’applique à l’utilisateur. L’utilisateur ne peut pas voir les paramètres dans ce PSO.

Comment préparer le déploiement de cette fonctionnalité ?

Pour être en mesure d’ajouter un contrôleur de domaine exécutant Windows Server 2008 à un domaine Active Directory existant, vous devez au préalable exécuter la commande adprep. Lorsque vous exécutez adprep, le schéma Active Directory est étendu afin qu’il intègre les nouvelles classes d’objet nécessaires aux stratégies de mot de passe affinées.

Si vous ne créez aucune stratégie de mot de passe affinée pour différents groupes d’utilisateurs, les paramètres de la stratégie de domaine par défaut s’appliquent à tous les utilisateurs du domaine, de la même manière que dans Windows 2000 et Windows Server 2003.

Cette fonctionnalité est-elle disponible dans toutes les éditions de Windows Server 2008 ?

Les stratégies de mot de passe affinées sont disponibles dans toutes les éditions de Windows Server 2008.

Références supplémentaires

Pour plus d’informations sur les stratégies de verrouillage de compte et de mot de passe affinées, voir le Guide pas à pas relatifs à la configuration des stratégies de verrouillage de compte et de mot de passe affinées (http://go.microsoft.com/fwlink/?LinkID=128039).

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft