Configuration de la politique
Les politiques de mot de passe peuvent être configurées à partir de l'outil d'administration de domaine ou dans les objets de stratégie de groupe (si le module complémentaire de stratégie de groupe a été installé). La procédure ci-dessous décrit le processus à partir de l'outil d'administration de domaine.
Configurer une politique de mot de passe
Cette procédure décrit la configuration d'une toute nouvelle politique de mot de passe liée à un GPO nouvellement créé.
Pour créer une politique pour un GPO existant, passez à l'étape 7.
Pour modifier des politiques existantes, sélectionnez la politique dans la liste, puis cliquez sur Modifier, et passez à l'étape 9.
- Dans l'outil d'administration de domaine, Politiques de mot de passe cliquez sur Créer une nouvelle politique de mot de passe.
- Choisissez un GPO existant dans la liste et cliquez sur OK (passez à l'étape 8), ou cliquez sur Nouvel objet de stratégie de groupe....
- Donnez un nom au nouveau GPO.
- Sélectionnez l'OU dans la liste de gauche si la politique doit s'appliquer uniquement aux utilisateurs d'une OU particulière.
- Si la politique doit s'appliquer uniquement aux utilisateurs au sein de l'OU sélectionnée qui sont également membres d'un groupe de sécurité particulier, cliquez sur Ajouter dans la colonne de droite. Entrez le nom du groupe de sécurité et cliquez sur OK. Sélectionnez le groupe de sécurité.
- Cliquez sur OK.
- Le GPO correct est sélectionné dans la liste. Cliquez sur OK.
- Choisissez parmi la liste des modèles (ou choisissez Personnalisé pour commencer avec une politique vierge), puis cliquez sur Suivant.
- Dans la section Démarrer, configurez la politique pour utiliser des règles de mot de passe, des phrases de passe, ou les deux.
- Configurez les Paramètres généraux.
- Configurez quand les mots de passe doivent expirer et quelles notifications doivent être envoyées sous Expiration du mot de passe.
- Configurez les règles auxquelles les mots de passe doivent adhérer (longueur, caractères requis, dictionnaires, etc.) sous Règles de mot de passe.
- Cliquez sur OK.
Remarque
Pour une description plus détaillée de tous les paramètres disponibles pour les politiques, veuillez vous référer à la section Paramètres de politique ci-dessous.
Paramètres de politique
Vous pouvez créer ou modifier des politiques de mot de passe de deux manières:
À partir de l'outil d'administration de domaine
- Ouvrez l'outil d'administration de domaine
- Dans la navigation de gauche, cliquez sur Politiques de mot de passe
- Cliquez sur Créer une nouvelle politique de mot de passe, ou sélectionnez un GPO dans la liste des politiques de mot de passe, puis cliquez sur Modifier la politique.
À partir de l'éditeur de gestion des stratégies de groupe
Remarque
Bien qu'il soit possible d'accéder aux politiques de mot de passe via l'outil de gestion des stratégies de groupe, il est recommandé d'y accéder via l'outil d'administration de domaine.
- Accédez à l'éditeur de gestion des politiques pour le GPO avec lequel vous souhaitez associer une politique
- Développez la configuration utilisateur, les politiques, le nœud des paramètres Windows, et sélectionnez Specops Password Policy.
- Cliquez sur Configurer la politique de mot de passe, ou Créer une nouvelle politique de mot de passe (si le GPO n'a pas encore de politique associée).
Démarrer
Vous pouvez configurer une politique de mot de passe pour utiliser des règles de mot de passe classiques, et/ou des phrases de passe. Une phrase de passe est un type spécial de mot de passe basé sur une phrase, ou une série de mots. Les exigences d'une phrase de passe, par défaut, sont qu'elle doit être longue.
Paramètres généraux
Historique des mots de passe
Remarque
Si vous activez la mémorisation des mots de passe, un objet feuille est créé pour stocker l'historique des mots de passe. Par défaut, l'objet feuille est verrouillé et non accessible à l'utilisateur. Avec les "mots de passe mémorisés" activés, chaque mot de passe est salé et haché avec bcrypt avant le stockage.
| Paramètre | Description |
|---|---|
| Nombre de mots de passe mémorisés, y compris les variations | Spécifiez combien de mots de passe passés, y compris les variations, le système se souviendra. Par exemple, définir cette valeur à 4 signifie que les utilisateurs ne peuvent pas réutiliser l'un de leurs quatre derniers mots de passe, même avec de légères modifications, comme ajouter un caractère au début ou à la fin du mot de passe ou changer la capitalisation. |
| Âge minimum des mots de passe (jours) | Spécifiez le nombre de jours qui doivent s'écouler avant que l'utilisateur soit autorisé à changer son mot de passe. |
| Interdire les mots de passe incrémentiels (déprécié) | Empêcher les utilisateurs de sélectionner de nouveaux mots de passe qui ne diffèrent de l'ancien mot de passe que par le dernier caractère. Remarque ! À partir de Specops Password Policy 7.14, cette règle est dépréciée, et sa fonctionnalité est intégrée dans la règle "Nombre de mots de passe mémorisés, y compris les variations". |
| Nombre minimum de caractères modifiés | Spécifiez le nombre de caractères qui doivent être modifiés dans un mot de passe. |
| Interdire la réutilisation d'une partie du mot de passe actuel | Spécifiez le nombre de caractères consécutifs de l'ancien mot de passe qui ne sont pas autorisés dans le nouveau mot de passe. Remarque: Après avoir activé ce paramètre, vous devrez redémarrer votre émulateur PDC DC pour permettre au paramètre de prendre effet. |
Paramètres de verrouillage de compte
| Paramètre | Description |
|---|---|
| Désactiver le verrouillage de compte | Empêcher les comptes d'être verrouillés à partir d'Active Directory. Ce paramètre est couramment utilisé pour les comptes Windows exécutant des services critiques. |
Options de réinitialisation de mot de passe
| Paramètre | Description |
|---|---|
| Ignorer cette politique lors de la réinitialisation du mot de passe | Ignorer les paramètres de politique lorsque le mot de passe est réinitialisé. Remarque: Ne pas activer ce paramètre si l'utilisateur peut réinitialiser les mots de passe via une solution en libre-service telle que Specops Password Reset. |
| Exiger que l'utilisateur change de mot de passe lors de la prochaine connexion | Exiger que l'utilisateur change son mot de passe lors de la prochaine connexion après que le mot de passe a été réinitialisé. |
| Déverrouiller automatiquement les comptes verrouillés lors de la réinitialisation | Déverrouiller automatiquement les comptes utilisateur lorsque leurs mots de passe sont réinitialisés. |
Message client
Ce paramètre est utilisé pour contrôler le contenu du message envoyé aux utilisateurs lorsqu'ils ne respectent pas leurs règles de mot de passe:
| Paramètre | Description |
|---|---|
| Langue du message client | Spécifiez la localisation linguistique à utiliser dans le message. |
| Retour d'information utilisateur en cas d'échec | Afficher les règles de politique, les règles échouées, ou un message personnalisé après un échec. |
| Informations supplémentaires aux utilisateurs finaux lors du changement de mot de passe | Spécifiez toute information supplémentaire que vous souhaitez donner aux utilisateurs finaux lorsqu'ils changent leurs mots de passe. |
Paramètres par défaut de l'utilisateur
Dans cette section, vous pouvez définir la langue et le code de pays par défaut pour les numéros de mobile.
Langue de l'utilisateur
Ce paramètre déterminera dans quelle langue les textes de remplacement seront présentés à l'utilisateur. Notez que si cela est défini sur (Par défaut), la langue par défaut de l'ordinateur de l'utilisateur sera utilisée. Dans le cas où la langue par défaut de l'ordinateur n'est pas incluse dans les fichiers de langue, l'anglais sera utilisé comme solution de repli.
Code de pays par défaut pour le numéro de mobile
Dans le cas où le numéro de mobile dans Active Directory (que ce soit stocké dans l'attribut mobile ou un autre attribut référencé via les Attributs utilisateur personnalisés dans l'outil d'administration de domaine) ne commence pas par un + (plus), le système ajoute automatiquement le Code de pays par défaut si cette option est cochée. Ainsi, 070 123 4567 avec un paramètre de Code de pays par défaut pour le numéro de mobile de +46, sera converti en +46 70 123 4567.
Remarque
Notez que dans le cas où le format de téléphone international dans AD est écrit avec un préfixe international, par exemple 00, la conversion ne fonctionnera pas correctement. Par exemple, si le numéro de téléphone dans l'exemple ci-dessus était saisi comme 00 46 70 123 4567, et que l'option de code de pays par défaut était cochée avec un paramètre de +46, le numéro résultant serait +46 0 46 70 123 4567, ce qui serait incorrect.
- Cochez la case Code de pays par défaut pour le numéro de mobile
- Entrez le code de pays que vous souhaitez utiliser par défaut
Expiration du mot de passe
| Paramètre | Description |
|---|---|
| Âge maximum du mot de passe (jours) | Spécifiez le temps (en jours) qui peut s'écouler avant qu'un mot de passe n'expire. |
| Vieillissement du mot de passe basé sur la longueur | Activer ou désactiver le vieillissement du mot de passe basé sur la longueur. Le vieillissement du mot de passe basé sur la longueur récompense les utilisateurs qui utilisent des mots de passe plus longs avec une expiration de mot de passe plus tardive. Plus d'informations sur ce sujet peuvent être trouvées sur la page d'expiration du mot de passe. |
| Nombre de niveaux d'expiration | Définit le nombre de niveaux d'expiration. Plus de niveaux permettent plus de différenciation et de différentes récompenses d'expiration. |
| Caractères par niveau | Valeur représentant la plage de longueur de mot de passe pour chaque niveau d'expiration. |
| Jours supplémentaires par niveau | Jours supplémentaires récompensés au-delà de l'expiration par défaut pour chaque niveau atteint par l'utilisateur dans la longueur de son mot de passe. |
| Désactiver l'expiration pour le dernier niveau | Désactive l'expiration pour les utilisateurs qui ont satisfait aux critères du niveau le plus élevé défini. |
Notifications d'expiration de mot de passe (Voir aussi: Notifications)
| Paramètre | Description |
|---|---|
| Notifier à la connexion (jours avant expiration) | Lorsque cette option est activée, les utilisateurs seront notifiés lorsque leur mot de passe est sur le point d'expirer lorsqu'ils se connectent à Windows |
| Envoyer une notification par email (jours avant expiration) | Spécifie si l'utilisateur reçoit une notification par email que son mot de passe est sur le point d'expirer. Les utilisateurs recevront un email une fois par jour jusqu'à ce qu'ils changent leur mot de passe. La valeur numérique détermine le nombre de jours avant l'expiration lorsque les utilisateurs devraient commencer à recevoir des emails. |
| De l'email | Adresse email de l'expéditeur. Définie dans les paramètres de domaine dans l'outil d'administration de domaine. |
| De nom | Nom de l'expéditeur de l'email. |
| À l'email | Adresse email du destinataire. Le substitut %UserEmail% doit être utilisé. |
| CC | Adresses email CC optionnelles, séparées par des virgules. |
| Sujet | Ligne d'objet de l'email. Les substituts peuvent être utilisés. |
| Corps | Texte du corps de l'email. Les substituts peuvent être utilisés. |
Remarque
Pour plus d'informations détaillées sur la gestion des paramètres d'expiration de mot de passe, y compris le vieillissement du mot de passe basé sur la longueur, visitez la page d'expiration du mot de passe.
Règles de mot de passe
Exigences de longueur de mot de passe
| Paramètre | Description |
|---|---|
| Longueur minimale du mot de passe | Spécifiez le nombre minimum de caractères dans un mot de passe. |
| Longueur maximale du mot de passe | Spécifiez le nombre maximum de caractères dans un mot de passe. |
Exigences de groupe de caractères
| Paramètre | Description |
|---|---|
| Nombre de groupes de caractères requis | Spécifiez le nombre de groupes de caractères (majuscules, minuscules, chiffres, caractères spéciaux et caractères Unicode) que le mot de passe doit contenir. |
| Caractères alphabétiques requis | Spécifiez le nombre minimum de caractères alphabétiques (A-Z) dans un mot de passe. |
| Caractères majuscules requis | Spécifiez le nombre minimum de caractères alphabétiques majuscules dans un mot de passe. |
| Caractères minuscules requis | Spécifiez le nombre minimum de caractères alphabétiques minuscules dans un mot de passe. |
| Caractères non alphabétiques requis | Spécifiez le nombre minimum de caractères non alphabétiques (chiffres, caractères spéciaux, caractères Unicode) dans un mot de passe. |
| Chiffres requis | Spécifiez le nombre minimum de chiffres (0-9) dans un mot de passe. |
| Caractères spéciaux requis | Spécifiez le nombre minimum de caractères spéciaux dans un mot de passe. |
| Caractères Unicode requis | Spécifiez le nombre minimum de caractères Unicode qui doivent être présents dans le mot de passe. Remarque: Activez cette fonctionnalité uniquement si l'utilisateur a la capacité d'entrer des caractères Unicode directement depuis son clavier. |
Dictionnaires
| Paramètre | Description |
|---|---|
| Utiliser des dictionnaires personnalisés | L'utilisation d'un dictionnaire personnalisé vous permet d'ajouter, de configurer et de supprimer des listes de mots de passe et des listes de hachage de mots de passe. La liste est vérifiée chaque fois qu'il y a un changement de mot de passe dans Active Directory. Un nouveau mot de passe sera rejeté s'il est trouvé dans le dictionnaire. |
| Utiliser des dictionnaires en ligne | |
| Afficher le mot du dictionnaire échoué à l'utilisateur | Lorsque des dictionnaires sont utilisés et configurés pour utiliser une correspondance partielle, ce paramètre affichera la partie du mot de passe trouvée dans un dictionnaire suite à une tentative de changement de mot de passe échouée. |
Remarque
Pour plus d'informations sur les dictionnaires, voir Configurer des dictionnaires personnalisés et en ligne.
Restrictions de contenu de mot de passe
| Paramètre | Description |
|---|---|
| Interdire le nom d'utilisateur dans le mot de passe | Empêcher l'utilisation du nom d'utilisateur dans le mot de passe. |
| Interdire le nom d'utilisateur complet dans le mot de passe | Empêcher l'utilisation du nom de compte complet (prénom, nom, nom d'affichage) dans le mot de passe. |
| Interdire une partie du nom d'utilisateur dans le mot de passe | Empêcher l'utilisation de parties (trois caractères consécutifs ou plus) du nom de compte (prénom, nom, nom d'affichage) dans le mot de passe. |
| Interdire un chiffre comme premier caractère dans un mot de passe | Empêcher l'utilisation d'un chiffre comme premier caractère dans un mot de passe. |
| Interdire un chiffre comme dernier caractère dans un mot de passe | Empêcher l'utilisation d'un chiffre comme dernier caractère dans un mot de passe. |
| Interdire les caractères identiques consécutifs | Spécifiez le nombre de caractères identiques consécutifs qui peuvent être utilisés dans un mot de passe. |
Expressions régulières
| Paramètre | Description |
|---|---|
| Utiliser des expressions régulières | Permet l'utilisation de la correspondance de chaîne d'expression régulière (RegEX) contre le mot de passe. |
Barre d'entropie
La barre d'entropie est affichée sur le côté gauche de l'onglet des règles de mot de passe. Elle change en fonction des paramètres saisis dans cette partie de l'outil. C'est une représentation graphique de la complexité relative de la politique dans un sens mathématique. La hauteur de la barre correspond à la complexité combinatoire du mot de passe le plus faible possible que la politique accepterait.
Ce n'est pas une mesure absolue de la force de la politique et devrait principalement être utilisée pour comparer comment différents paramètres dans les règles de mot de passe affectent la complexité.
Phrase de passe
Exigences de phrase de passe
| Paramètre | Description |
|---|---|
| Longueur minimale de la phrase de passe | Le nombre minimum de caractères dans la phrase de passe. |
| Exiger un ou plusieurs caractères minuscules | Un ou plusieurs caractères minuscules dans la phrase de passe. |
| Exiger un ou plusieurs caractères majuscules | Un ou plusieurs caractères majuscules dans la phrase de passe. |
| Exiger un ou plusieurs chiffres | Un ou plusieurs chiffres dans la phrase de passe. |
| Exiger un ou plusieurs caractères spéciaux | Un ou plusieurs caractères spéciaux dans la phrase de passe. |
| Message de phrase de passe | Une description de la politique qui sera affichée aux utilisateurs finaux lors du changement de leur mot de passe. Le message doit expliquer les exigences de la politique que la phrase de passe doit respecter. |
Exigences personnalisées
| Paramètre | Description |
|---|---|
| Expressions régulières personnalisées | Créez les expressions régulières qui seront utilisées pour valider les phrases de passe. |
| Exemple de phrase de passe | Tapez un exemple de phrase de passe pour tester contre l'expression régulière. |
Protection des mots de passe compromis (module complémentaire)
Vous pouvez activer la validation de la protection des mots de passe compromis lors d'une réinitialisation de mot de passe, et/ou d'un changement de mot de passe.
En savoir plus sur les paramètres de protection des mots de passe compromis.