Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
Comment auditer les changements de mot de passe dans AD
Windows Server fournit des outils natifs pour modifier les mots de passe des utilisateurs et auditer les changements de mots de passe dans AD. Cependant, pour être tout à fait francs, ils sont quelque peu insuffisants. Des outils tiers tels que Specops uReset peuvent rendre le processus plus simple et plus sûr.
ADUC
Les administrateurs peuvent réinitialiser les mots de passe de deux manières principales à l’aide des outils administratifs natifs fournis avec Windows Server. La première méthode consiste à utiliser ADUC.
To reset a user’s password using ADUC, simply right-click on the user account, and then select the Reset Password command from the shortcut menu. This will cause Windows to display the Reset Password dialog box, which you can see below.
Comme vous pouvez le voir sur la figure, cette méthode permet à l’administrateur de fournir et de confirmer un nouveau mot de passe. La boîte de dialogue contient également une option permettant de forcer l’utilisateur à changer son mot de passe lors de sa prochaine connexion. L’administrateur peut également déverrouiller le compte de l’utilisateur à partir de cette boîte de dialogue si nécessaire.
PowerShell
La deuxième option native pour réinitialiser le mot de passe d’un utilisateur est d’utiliser PowerShell. Pour ce faire, un administrateur devra ouvrir une session PowerShell élevée et utiliser la cmdlet Set-ADAccountPassword en conjonction avec les paramètres Identity et NewPassword. Supposons par exemple qu’un administrateur ait besoin de réinitialiser le mot de passe d’un utilisateur nommé User2. Voici à quoi pourrait ressembler la commande utilisée pour ce faire :
Set-ADAccountPassword -Identity User2 -NewPassword (ConvertTo-SecureString -AsPlainText “P@ssw0rd” -Force)
Notez que cette méthode implique un peu plus que la simple fourniture du nom d’utilisateur et du nouveau mot de passe. Le mot de passe doit être converti en une chaîne sécurisée avant de pouvoir être utilisé. L’image ci-dessous montre à quoi ressemble la commande lorsqu’elle est utilisée.
Si un administrateur a besoin de vérifier le processus de réinitialisation du mot de passe à l’aide d’outils natifs, la meilleure option est d’utiliser le journal de sécurité de Windows (Windows Event ID 4724). Vous pouvez voir ci-dessous à quoi ressemble une entrée du journal de changement de mot de passe. Remarquez dans la figure que la catégorie de tâche est simplement répertoriée comme Gestion du compte utilisateur, et non comme réinitialisation du mot de passe. Le seul moyen de savoir qu’il s’agit d’une opération de réinitialisation de mot de passe est de regarder la description de l’événement, affichée dans la partie inférieure de l’interface. C’est également là que vous trouverez le nom de l’utilisateur, et le nom de l’utilisateur qui a effectué la réinitialisation du mot de passe. Les mots-clés Audit Success indiquent que le mot de passe a été réinitialisé avec succès.
Audit des changements de mot de passe dans AD à l’aide d’outils tiers
Specops uReset allows users to perform self service password resets, so at least in theory, users should never have to contact the helpdesk for assistance. If a user does need to contact the helpdesk however, then the technician will use the Service Desk interface to complete the password reset process.
The first step in this process is for the technician to enter the user’s name or username into the interface. Upon doing so, the Service Desk console will identify the user’s AD account.
One of the major differences between the native password reset methods, and the Specops method, is that the native method allows a helpdesk technician to reset passwords at will. In contrast, Specops can be configured to force the helpdesk technician to verify the user’s identity prior to allowing them to reset the password. Identify verification can also be required prior to unlocking the user’s account.
The helpdesk technician can verify the user’s identity by using the same authentication methods from the user’s enrollment. For example, the helpdesk technician can verify the user’s identity by sending a code to the user’s registered mobile device via SMS text message.
Once the technician has verified the user’s identity, resetting the user’s password is a simple process. The technician must simply click on the Reset tab, and then either enter a password manually, or click on the Generate button to automatically generate a new password.
Specops uReset makes it easy to audit password changes in AD. The administrative interface includes a reporting menu which provides access to statistical data, reports related to system events, and auditing information. The Auditing tab provides access to all of the actions performed through uReset. Administrators can even filter this information by resource or date.
Specops uReset permet aux utilisateurs d’effectuer des réinitialisations de mot de passe en libre-service, de sorte qu’au moins en théorie, les utilisateurs ne devraient jamais avoir à contacter le service d’assistance pour obtenir de l’aide. Cependant, si un utilisateur doit contacter le service d’assistance, le technicien utilisera l’interface du Service Desk pour terminer le processus de réinitialisation du mot de passe.
La première étape de ce processus consiste pour le technicien à saisir le nom ou le nom d’utilisateur de l’utilisateur dans l’interface. Ce faisant, la console du Service Desk identifiera le compte AD de l’utilisateur.
L’une des principales différences entre les méthodes natives de réinitialisation des mots de passe et la méthode Specops est que la méthode native permet à un technicien du service d’assistance de réinitialiser les mots de passe à volonté. En revanche, Specops peut être configuré pour obliger le technicien du service d’assistance à vérifier l’identité de l’utilisateur avant de l’autoriser à réinitialiser le mot de passe. La vérification de l’identité peut également être requise avant de déverrouiller le compte de l’utilisateur.
Le technicien du service d’assistance peut vérifier l’identité de l’utilisateur en utilisant les mêmes méthodes d’authentification que celles utilisées pour l’inscription de l’utilisateur. Par exemple, le technicien du service d’assistance peut vérifier l’identité de l’utilisateur en envoyant un code au dispositif mobile enregistré de l’utilisateur par message texte SMS.
Une fois que le technicien a vérifié l’identité de l’utilisateur, la réinitialisation du mot de passe de l’utilisateur est un processus simple. Le technicien doit simplement cliquer sur l’onglet Reset, puis saisir un mot de passe manuellement, ou cliquer sur le bouton Generate pour générer automatiquement un nouveau mot de passe.
Specops uReset permet d’auditer facilement les changements de mot de passe dans AD. L’interface administrative comprend un menu de rapports qui permet d’accéder à des données statistiques, à des rapports relatifs aux événements du système et à des informations d’audit. L’onglet Auditing donne accès à toutes les actions effectuées par uReset. Les administrateurs peuvent même filtrer ces informations par ressource ou par date.
(Dernière mise à jour le 05/11/2021)