sécurité des mots de passe

Le
Sylvain Jeanneret
Bonjour tout le monde,

J'ai quelques scripts pour créer rapidement des utilisateurs (ainsi que
les OU et les groupes globaux correspondant) dans des machines
virtuelles qui sont souvent ré-installées (école). A la création, les
mots de passe sont "faibles" et il faut assouplir la stratégie de
sécurité du domaine.

Un outil permet cela http://www.joeware.net/freetools/tools/psomgr/index.htm
avec deux réserves (pour moi):
- N'est pas présent par défaut
- Ne permet pas de définir la durée de vie des mots à 0
(ce qui signifie durée illimitée)

Y a-t-il un outil natif ou un autre moyen ?

Merci pour votre aide,

--
Sylvain
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Loiseau Frédéric
Le #18056041
Bonjour,

Cela est configurable dans les GPO, voici le lien pour telecharger le
composant qui vous permet d'editer les stratégie de groupe :

http://www.microsoft.com/downloads/details.aspx?FamilyID
6d4c24-8cbd-4b35-9272-dd3cbfc81887&DisplayLang=fr

Cordialement.
Gilles LAURENT [MVP]
Le #18057701
"Sylvain Jeanneret" news:%
| Bonjour tout le monde,

Bonsoir,

| J'ai quelques scripts pour créer rapidement des utilisateurs (ainsi
| que
| les OU et les groupes globaux correspondant) dans des machines
| virtuelles qui sont souvent ré-installées (école). A la création, les
| mots de passe sont "faibles" et il faut assouplir la stratégie de
| sécurité du domaine.
|
| Un outil permet cela
| http://www.joeware.net/freetools/tools/psomgr/index.htm avec deux
| réserves (pour moi):
| - N'est pas présent par défaut
| - Ne permet pas de définir la durée de vie des mots à 0
| (ce qui signifie durée illimitée)
|
| Y a-t-il un outil natif ou un autre moyen ?
|
| Merci pour votre aide,

Une nouvelle fois en VBScript / ADSI. Le script VBScript ci-dessous, à
exécuter sur un contrôleur de domaine, vous permettra de fixer la
stratégie de mot de passe du domaine "Durée de vie maximale du mot de
passe" à 0, soit "Le mot de passe n'expire jamais" :

--- Coupez ici : DomainPolicyPasswordNeverExpires.vbs ---
Set oDSE=GetObject("LDAP://RootDSE")
Set oDomain=GetObject("LDAP://" & oDSE.Get("DefaultNamingContext"))
Set oMaxPwdAge=oDomain.Get("MaxPwdAge")
oMaxPwdAge.HighPart=-2147483648
oMaxPwdAge.LowPart=0
oDomain.MaxPwdAge=oMaxPwdAge
oDomain.SetInfo
--- Coupez ici : DomainPolicyPasswordNeverExpires.vbs ---

Note: FU2 sur microsoft.public.fr.scripting

--
Gilles LAURENT
MVP Windows Server - Admin Frameworks
http://glsft.free.fr
Sylvain Jeanneret
Le #18058731
Gilles LAURENT [MVP] a écrit :
"Sylvain Jeanneret" news:%
| Bonjour tout le monde,

Bonsoir,

| J'ai quelques scripts pour créer rapidement des utilisateurs (ainsi
| que
| les OU et les groupes globaux correspondant) dans des machines
| virtuelles qui sont souvent ré-installées (école). A la création, les
| mots de passe sont "faibles" et il faut assouplir la stratégie de
| sécurité du domaine.
|
| Un outil permet cela
| http://www.joeware.net/freetools/tools/psomgr/index.htm avec deux
| réserves (pour moi):
| - N'est pas présent par défaut
| - Ne permet pas de définir la durée de vie des mots à 0
| (ce qui signifie durée illimitée)
|
| Y a-t-il un outil natif ou un autre moyen ?
|
| Merci pour votre aide,

Une nouvelle fois en VBScript / ADSI. Le script VBScript ci-dessous, à
exécuter sur un contrôleur de domaine, vous permettra de fixer la
stratégie de mot de passe du domaine "Durée de vie maximale du mot de
passe" à 0, soit "Le mot de passe n'expire jamais" :

--- Coupez ici : DomainPolicyPasswordNeverExpires.vbs ---
Set oDSE=GetObject("LDAP://RootDSE")
Set oDomain=GetObject("LDAP://" & oDSE.Get("DefaultNamingContext"))
Set oMaxPwdAge=oDomain.Get("MaxPwdAge")
oMaxPwdAge.HighPart=-2147483648
oMaxPwdAge.LowPart=0
oDomain.MaxPwdAge=oMaxPwdAge
oDomain.SetInfo
--- Coupez ici : DomainPolicyPasswordNeverExpires.vbs ---

Note: FU2 sur microsoft.public.fr.scripting




Merci à Gilles, je vais tester ça lundi.

Merci également à Frédéric, c'est bien le GPO de la stratégie de
sécurité du domaine que j'aimerais modifier, mais par script.
Le lien fourni ne semble pas aboutir en ce moment, mais il me parait
pointer sur gpmc, ce qui n'est pas ce que je recherche.
Merci tout de même!

Bonne soirée,

--
Sylvain
Gilles LAURENT [MVP]
Le #18061041
"Sylvain Jeanneret" news:

| Merci à Gilles, je vais tester ça lundi.

Solution testée sur Windows 2003 R2

| Merci également à Frédéric, c'est bien le GPO de la stratégie de
| sécurité du domaine que j'aimerais modifier, mais par script.
| Le lien fourni ne semble pas aboutir en ce moment, mais il me parait
| pointer sur gpmc, ce qui n'est pas ce que je recherche.
| Merci tout de même!

La console GPMC est indispensable et est en fait une évolution de
l'éditeur des stratégies disponible nativement. Celle-ci expose
plusieurs objets qui seront exploitables en scripting via COM. J'ai
beaucoup travaillé sur ce sujet donc n'hésitez pas à revenir vers moi.

--
Gilles LAURENT
MVP Windows Server - Admin Frameworks
http://glsft.free.fr
Sylvain Jeanneret
Le #18083361
Gilles LAURENT [MVP] a écrit :
...

La console GPMC est indispensable et est en fait une évolution de
l'éditeur des stratégies disponible nativement. Celle-ci expose
plusieurs objets qui seront exploitables en scripting via COM. J'ai
beaucoup travaillé sur ce sujet donc n'hésitez pas à revenir vers moi.




Merci! Je reviens ;-)

J'ai réussi à modifier le niveau fonctionnel avec un script et votre
solution fonctionne parfaitement pour ce qui est de la durée de vie des
mots de passe.

Sur cette lancée, j'aurais voulu me passer complètement de "psomgr" avec
lequel je désactivais la complexité des mots de passe et passais la
longueur minimale à 3 caractères. Galère!

Je ne trouve pas les attributs. "MinPwdAge" ne convient pas, tous ceux
qui commencent pas "msDS" ne semblent pas convenir (par exemple,
"msDS-PasswordComplexityEnabled" ne semble valable que pour 2008), les
seuls que j'ai réussi à exploiter, sont "MinPwdAge" et "MinPwdLength",
bref je nage complètement. Le fait d'utiliser LowPart et HighPart ne
saute pas aux yeux ...
(trouvé ça : http://www.rlmueller.net/Integer8Discussion.htm, mais ça ne
joue pas pour afficher la nouvelle valeur)

Y a-t-il un lien qui donne ces attributs pour 2003, la syntaxe de leur
emploi ?
Une autre piste ?

Merci d'avance,

--
Sylvain
Gilles LAURENT [MVP]
Le #18085601
"Sylvain Jeanneret" news:OPZT$
| Merci! Je reviens ;-)

Tant mieux ;-)

| J'ai réussi à modifier le niveau fonctionnel avec un script et votre
| solution fonctionne parfaitement pour ce qui est de la durée de vie
| des mots de passe.

Super !

| Sur cette lancée, j'aurais voulu me passer complètement de "psomgr"
| avec lequel je désactivais la complexité des mots de passe et passais
| la longueur minimale à 3 caractères. Galère!
[...]

Longueur minimale à 3 caractères :
-----------------------------------

Set oDSE=GetObject("LDAP://RootDSE")
Set oDomain=GetObject("LDAP://" & oDSE.Get("DefaultNamingContext"))
' la valeur est présente dans un entier 32 bits non signé
oDomain.MinPwdLength=CLng(3)
oDomain.SetInfo

Désactiver les exigences de complexité :
----------------------------------------

Set oDSE=GetObject("LDAP://RootDSE")
Set oDomain=GetObject("LDAP://" & oDSE.Get("DefaultNamingContext"))
' le paramètre est présent dans le bit de poids faible d'un entier 32
bits non signé
' fixer ce bit de poids faible à 0 désactive les exigences de complexité
sans
' modifier les autre paramètres présents dans cette valeur 32 bits
' l'utilisation d'un ET logique permet de réaliser cette opération
binaire
' le & final permet de réaliser l'opération avec un entier non signé
oDomain.PwdProperties=oDomain.PwdProperties And CLng(&HFFFE&)
oDomain.SetInfo

--
Gilles LAURENT
MVP Windows Server - Admin Frameworks
http://glsft.free.fr
Sylvain Jeanneret
Le #18088891
Gilles LAURENT [MVP] a écrit :
> "Sylvain Jeanneret" > news:OPZT$
> | Merci! Je reviens ;-)
>
> Tant mieux ;-)

...


C'est parfait!

Tard hier soir, j'avais finalement réussi de mon côté, et ça me fait
très plaisir de lire votre post pour les confirmations et explications!

Merci infiniment de votre aide,

Meilleures salutations,

--
Sylvain
Publicité
Poster une réponse
Anonyme