ExpertSécuritéTutorielWindows Server 2012 / R2

Windows Server : mots de passe des utilisateurs Active Directory

La gestion d’un réseau informatique passe entre autres par la configuration de mots de passe pour les comptes d’utilisateurs. La complexité des mots de passe est nécessaire pour éviter les classiques « password » ou « 123456 » trop faciles à deviner. Ce tutoriel explique, pour Windows Server 2000, 2003, 2008 / R2 et 2012 / R2, comment gérer les paramètres de sécurité des comptes Active Directory pour que les utilisateurs choisissent un mot de passe « fort » et ainsi éviter le piratage de comptes.

 

Sécurité des mots de passe avec Windows Server 2000 et 2003

Les paramètres de sécurité des mots de passe Active Directory se gèrent dans Outils d’administration et Stratégie de sécurité du domaine (à ne pas confondre avec la sécurité du contrôleur de domaine qui ne concerne que les comptes locaux du serveur lui-même).

 

Sécurité des mots de passe avec Windows Server 2008 / R2

Windows Server 2008 / R2 nécessite de se rendre dans les Outils d’administration, Gestion des stratégies de groupe (ou GPMC.msc). Les GPO peuvent s’appliquer au domaine, aux unités d’organisation (OU), aux groupes, etc.

1. Dérouler Gestion de stratégie de groupe, Forêt, Domaines, nom du domaine.

2. Clic droit et Modifier sur Default Domain Policy, cela ouvre l’Editeur de gestion des stratégies de groupe.

3. Dérouler Configuration ordinateur, Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies de comptes, Stratégie de mot de passe.

tutoriel strategie securite mot de passe Windows Server 2008 R2

4. On peut ainsi configurer :

  • Nombre de mots de passe à garder en historique : pour éviter que les utilisateurs reprennent les mêmes
  • Durée de vie minimale et maximale du mot de passe : expiration automatique du mot de passe
  • Exigence de complexité du mot de passe : un mot de passe « fort » se doit de mélanger majuscules, minuscules, chiffres et caractères spéciaux, le tout ayant plus de X caractères
  • Longueur minimale : fixer le nombre de caractères minimum que les mots devront avoir

5. Fermer les fenêtres et appliquer les modifications avec un gpupdate /force dans un Invite de commandes ou dans la console Exécuter.

 

Sécurité des mots de passe avec Windows Server 2012 / R2

Windows Server 2012 / R2 a un nouveau Gestionnaire de serveur. Ouvrir le menu Outils, Gestion des stratégies de groupe (ou GPMC.msc).

1. Dans la Gestion de stratégie de groupe, dérouler la Forêt, Domaines, nom du domaine.

2. Clic droit et Modifier sur Default Domain Policy, cela ouvre l’Editeur de gestion des stratégies de groupe.

3. Dérouler Configuration ordinateur, Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies de comptes, Stratégie de mot de passe.

tutoriel Windows Server 2012 R2 GPO strategie mot de passe

4. Les différentes stratégies qui peuvent s’appliquer :

  • Conserver l’historique : pour empêcher les utilisateurs d’utiliser plusieurs fois le même mot de passe
  • Durée de vie minimale et maximale du mot de passe : délai minimum entre deux changement et expiration automatique
  • Exigence de complexité : il est conseillé de mélanger majuscules, minuscules, chiffres et caractères spéciaux
  • Longueur minimale : par défaut, un mot de passe doit comporter au moins 7 caractères

5. Après l’activation ou la désactivation de ces stratégies, fermer les fenêtres et appliquer les modifications par un gpupdate /force (dans un Invite de commandes ou via la console Exécuter).

Voir aussi

  1. bonjour
    et mercie pour tous les information
    la modification de default domaine policy est griser
    svp quest ce que je peux faire pour désactiver

  2. bonjour, j’aiun probleme d’acces en local avec mon windows server 2008 R2,
    le message d’erreur dit que le nom d’utilisateur ou le mot de passe est incorrecte or tout est correcte

  3. Ah ! Mis à part le précédent post qui m’a enduit d’erreurs d’indice 50 pourcent…
    L’avant dernier post date de… …
    … L’année passé ! Ouaip Gagné !

    1. Bonjour,
      Concrètement, tu ne peux pas aller sur le serveur et changer ce mot de passe ou le vérifier ?
      On ne peut pas « lire » le mot de passe Admin (heureusement), tu peux à la limite le modifier pour ne plus avoir de problème.
      Mais de quel moyen essaies-tu d’y accéder depuis Linux ? rdesktop ?

      1. Bonjour,
        Merci de ta réponse.
        Oui effectivement, je peux changer de passe.
        Je suis plus habitué apple, mais ce qui m’arrive avec Windows est plus compliqué qu’il n’y parait.
        Je pourrais mettre 123456 comme passe sur mon serveur Windows, mais une fois en production je serais confronté au même souci.
        Je vais essayer d’être le plus rapide possible à expliquer:
        1) install de VMware 6.0, choix du clavier = French (pas d’autres choix possibles)
        2) je me connecte avec mon portable avec mes iso d’install de Windows, j’installe mon premier serveur Win 2012 r2 sous une VM.
        3) PS: Ce Win server est contrôleur de domaine, tout fonctionne.
        4) Alors, sur mon portable, connecté à mon serveur Win, je tape les caractères exact souhaités, je vérifie même quelque part dans l’appli où l’on peut écrire du texte, tous les caractères voulus s’affichent.
        Toujours sur mon portable, à travers l’appli client VMware, je vais même sur la console de Win Server, j’envoie un ctrl-alt-supr, je fais apparaitre pour pouvoir écrire du texte le « Autre utilisateur » de Win server pour pouvoir écrire en clair dans la partie du nom de l’user.
        Et je rajoute une couche en faisant apparaitre le clavier virtuel Windows, que je vais utiliser pour vérifier l’exactitude des caractères de mon mot de passe.
        Je continue à utiliser le clavier virtuel qui m’a prouvé l’exactitude de mes caractères de mot de passe, et je me loggue sous Windows Sever en admin, aucun souci !!!

        5) Pourquoi je craque? Je re-fait exactement la même chose d’un autre poste Windows; 10 fois, 100 fois ! Impossible de me logguer !!!!!!!
        Je ne peux accéder à ce serveur que, et rien que de mon portable, pour cause de mot de passe faut.
        Sur apple il existe une fonction qui fait apparaitre en clair ton mot de passe. ( A condition bien entendu que tu puisse le donner avant ) L’avantage est surtout de pouvoir rapidement faire apparaitre tous les mot2passe existant sur ta machine, à condition de connaitre le passe root.
        Bref, désolé Julien, j’ai du mal à faire court.

        1. L’autre poste Windows est un W7 ? W10 ? Tu te connectes en Bureau à distance ?
          Si tu tapes le MDP sur le champ « Nom d’utilisateur », tu vois en clair ce que tu écris. Ce n’est pas possible ?
          As-tu essayé d’installer le client VMware sur ton 2e PC Windows ?
          Est-ce que le 2012R2 est en anglais, en français ? Au login, le clavier change peut-être de langue.
          Mets un nouveau mot de passe comme ERTertghjGHJ par exemple, pour éviter les différences AZERTY / QWERTY / etc.

          1. Merci, mais il y a un truc qui ne colle pas.
            Je confirme:
            quotteunquotte

            Oui, tout à fait c’est ce que j’ai fait 10 fois !
            Je tape le passe au clavier visuel en étant sur mon portable sur « nom d’utilisateur »
            Je vois donc en clair mon passe qui me satisfait.
            Je fais la même chose d’un autre poste Windows, donc visuellement je suis certain de valider les bons caractères ceux qui fonctionnent parfaitement sur le portable !
            Bing re-essayer bla bla…

            Mon Win server 2012 R21 est en Français.

            J’ai en tête d’essayer de changer de passe pour éviter les caractères qui changent entre clavier Fr et En, mais bon, ça va alors fonctionner, mais j’ai l’impression qu’il me visualise du poste Windows qui ne fonctionne pas les caractère FR qui me conviennent, mais qu’ils se transforment dans la liaison d’échange au moment où je tape « Entrée » …

            Du coup je ne peux pas être certain que les caractères qui fonctionnent à l’origine de mon portable sont bien les caractères pris en comptes dans la mémoire du passe.

            Voilà pourquoi une fonction de mots de passes en clair m’aurait aidé.

            Si je trouve une solution je viendrais l’ajouter ici, on sait jamais, ça peut servir.

            Merci quand même Julien, bonne continuation.

  4. Bonjours, merci pour tous ces tutoriels très bien faits. Spécialement les tutos sur quoi je bosse ! « lire la suite … ».
    S’inquiéter de la sécurité des mots de passe est nécessaire.
    Mais quelle prise de tête !
    Je travaille à installer Win server 2012 r2 sur un serveur virtualisé avec VMware Vsphere, et le simple client WMware ou Client web.
    Je choisi un mot de passe dans les normes comme il est dit ici.
    Et en ce moment je me dit: « Mais quelle chance inouï j’ai eu ! En effet, en travaillant près du serveur avec mon portable aucun problèmes d’accès par mot 2 passe durant toute l’installation.
    Je monte à l’étage, et je tente de me loguer comme je l’ai fais 1000 fois déjà lors de l’installation, mais cette fois sur l’un de mes deux PC maison…
    Rien à faire !!! Je pense avoir une certaine expérience en ordi… (vraiment pas pour me vanter) …
    Mais, après deux soirées passés à changer les configs clavier dans tous les sens, copier/coller, glisser, tout essayer…
    Il ne me reste plus qu’un seul espoir avant la réinitialisation du passe Admin (que je n’ai vraiment pas envie de me taper…)
    Ce serait de trouver comment faire apparaitre en clair mon mot 2 passe admin quelque part ? D’un manière ou d’une autre ??
    PS: Je suis plutôt Linux, et même « ex apple » (je ne met plus de majuscule à apple mais c’est un autre débat). Avec apple il y avait le « trousseau de clés » pratique pour être certain de savoir comment le système a digéré mon passe !
    Mais sous Windows server ou Windows en général pourriez-vous m’aider si il existe une solution ?
    Je ne vois plus que ça ! Trouver mon passe en clair écrit …

  5. J’aimerais scripter cette modification via une clé de registre a modifier.
    Comme cela je l’ajoute a mon script et plus de clic.

    Ci vous connaissez la clé de registre …. ^^

  6. Bonjour,

    J’ai un serveur qui fonctionne sous windows server 2012 R2. Après un redémarrage du serveur et log, il annonce que le mot de passe a expiré et qu’il faut entrer un nouveau mot de passe. Mais pour toutes mes tentatives de mot de passe (mélange de majuscules, minuscules, chiffres et symboles), il écrit « paramètre incorrect ».
    Prière m’orienter
    Merci d’avance

    1. Salut,
      Tu peux donc encore te connecter avec le mot de passe actuel. Microsoft conseille de remplacer ce mot de passe mais ce n’est pas obligatoire.
      Concernant la complexité du mot de passe, il vaut mieux en effet mélanger majuscules, minuscules, chiffres et caractères spéciaux.
      « Paramètre incorrect » n’est pas une erreur au niveau du mot de passe mais peut-être au niveau de la validation par le système.
      Comment procèdes-tu pour changer ce password ? Quel est le compte en question ?

      1. Bonjour,
        J’ai également le meme problème avec les stations en windows 10. Les utlisateurs xp, seven et 8 peuvent changer leur mot de passe mais pas les utilisateur sous windows 10.

    1. Bonjour, quelle différence entre les 2 ???

      J’ai l’impression qu’avec le centre d’administration, ça ne peut s’appliquer qu’aux ordinateurs, je me trompes ?

      Merci bien.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page