Flexible Security for Your Peace of Mind

Comment configurer les notifications d’expiration de mot de passe

Lorsqu’il s’agit d’informer les utilisateurs de l’expiration prochaine de leur mot de passe, il est toujours préférable de communiquer davantage. Les utilisateurs n’apprécient pas le processus de changement de mot de passe ; les tenir informés de la date d’expiration de leur mot de passe est un excellent moyen d’améliorer leur expérience. Ce billet de blog donne un aperçu de la façon dont vous pouvez configurer les paramètres de notification d’expiration de mot de passe pour les utilisateurs d’Active Directory.

Active Directory prend en charge la notification aux utilisateurs de l’expiration prochaine de leur mot de passe, mais uniquement lorsqu’ils sont connectés à des systèmes clients reliés à un domaine et connectés au réseau de l’entreprise.

La configuration de ces notifications se trouve dans la stratégie de groupe, sous Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Interactive Logon : Inviter l’utilisateur à changer de mot de passe avant l’expiration.

Vous pouvez définir cette option dans votre stratégie de domaine par défaut ou créer/utiliser une autre GPO et configurer le nombre de jours avant l’expiration pour lesquels l’utilisateur doit être informé.

Mais qu’en est-il des utilisateurs qui ne sont pas régulièrement sur des machines jointes au domaine sur le réseau ? Que faire si vous souhaitez avoir un contrôle accru du moment où les utilisateurs sont notifiés, ou des informations que vous fournissez dans le cadre de la notification (par exemple, les exigences de la politique de mot de passe).

De nombreux administrateurs se tournent vers les scripts pour trouver les utilisateurs dont le mot de passe expire bientôt et générer des e-mails.

Le script PowerShell suivant répertorie tous les utilisateurs dont le mot de passe devrait expirer en fonction du seuil défini sur la première ligne, ainsi que l’heure exacte en UTC à laquelle leur mot de passe expirera. Les résultats sont ensuite utilisés pour générer des messages électroniques destinés aux utilisateurs dont le mot de passe est sur le point d’expirer.

$daysbeforeexpirytonotify = 14  
$now = (get-date).ToUniversalTime().ToFileTime()  
$threshold = (get-date).ToUniversalTime().adddays($daysbeforeexpirytonotify).ToFileTime()  
$users = Get-ADUser -filter { Enabled -eq $True -and PasswordNeverExpires -eq $False } `  
                    –Properties "msDS-UserPasswordExpiryTimeComputed",mail `  
                    -searchbase "OU=Users,OU=Specops,DC=specopsdemo1,DC=com" |   
   where { $_."msDS-UserPasswordExpiryTimeComputed" -lt $threshold -and `  
           $_."msDS-UserPasswordExpiryTimeComputed" -gt $now } |   
   Select-Object "Name",  
                 "Mail",  
                 @{Name="ExpiryDate";Expression={  
                       [datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")  
                       }  
                 },  
                 @{Name="DaysToExpiry";Expression={  
                        [int](($_."msDS-UserPasswordExpiryTimeComputed" - $now) / 864000000000)  
                        }  
                 } |  
    sort-object name  
  
$users  
  
foreach ($user in $users) {  
    send-mailmessage -from "it@specopsdemo1.com" `  
                     -smtpserver mail.specopsdemo1.com `  
                     -to $user.mail `  
                     -subject "Votre mot de passe expirera dans $($user.daystoexpiry) days" `  
                     -body "Votre mot de passe expirera à $($user.expirydate) (UTC)."   
}

Les administrateurs peuvent trouver que la création d’un script personnalisé pour notifier aux utilisateurs l’expiration de leur mot de passe peut devenir difficile à maintenir et à prendre en charge. Dans ce cas, vous souhaiterez peut-être mettre en œuvre une solution tierce, telle que Specops Password Notification et Specops Password Policy, qui est conçue pour gérer l’ensemble du processus dans une interface graphique simple. Vous pouvez également activer des notifications à l’écran pour encourager les utilisateurs à modifier ou réinitialiser leurs propres mots de passe avant leur expiration. Avec ces solutions, il suffit de spécifier le seuil d’alerte et de saisir les paramètres de votre serveur SMTP.

Vous pouvez même inclure automatiquement dans le courriel une liste des règles de votre politique en matière de mots de passe, ainsi que tout autre message que vous souhaitez inclure.

Pour plus d’informations sur la notification de mot de passe et notre solution de réinitialisation de mot de passe en libre-service, contactez-nous.

(Dernière mise à jour le 12/11/2021)

Tags:

Revenir sur le blog

© 2024 Specops Software. All rights reserved.

Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.

Politique de confidentialité

OK