Créer une stratégie de mot de passe via

GPO et PSO : le tuto complet !

o Comment créer une stratégie de mot de passe via GPO ?
o C’est quoi les GPO pour les mots de passe ?
o Les étapes à suivre
o Comment forcer le changement de mot de passe via GPO ?
o Comment identifier la stratégie de mot de passe appliquée ?
o Comment créer une stratégie de mot de passe via PSO ?
o C’est quoi les PSO pour les mots de passe ?
o Les étapes à suivre
o Comment identifier la stratégie de mot de passe appliquée ?
o Des logiciels pour vous simplifier la tâche ?
o Que retenir ?
On connaît désormais les enjeux associés aux mots de passe des collaborateurs, tant ils
constituent un des principaux remparts contre les intrusions malveillantes dans les systèmes
d’information des organisations.

C’est pourquoi les DSI optent souvent pour l’application de stratégies, permettant de
contrôler au mieux les comportements des salariés par l’instauration de règles (longueur
minimale du mot de passe, expiration, etc.).

Et ce travail est facilité pour les structures qui opèrent par le biais d’un environnement Active
Directory.

Vous souhaitez appliquer votre politique par défaut pour tous les utilisateurs d’un même
domaine ? Cet article vous expliquera tout ce qu’il y a à savoir sur les GPO pour les mots de
passe dans Active Directory.

Vous préférez affiner l’attribution de vos règles en fonction des profils des collaborateurs ?
Nous ferons également un focus sur les PSO.

Le tout saupoudré de précieux conseils pour mieux vous outiller

Comment créer une stratégie de mot de passe

via GPO ?
C’est quoi les GPO pour les mots de passe ?
Tout d’abord, que signifient les GPO dans la stratégie de mot de passe avec Active
Directory ?
Les GPO (pour Group Policy Objects) correspondent aux objets de stratégie de groupe.

Plus précisément, il s’agit des paramètres permettant de configurer les machines et

l’environnement de travail des utilisateurs.

💡 Nous avons affaire ici à un paramétrage homogène : la politique de mot de passe établie
dans la GPO Default Domain Policy s’applique à l’ensemble des utilisateurs d’un domaine
Active Directory.

Les étapes à suivre

Voyons en détail comment procéder pour créer une stratégie de mots de passe via GPO.

👉 Sur votre contrôleur de domaine, accédez à votre outil de gestion des stratégies de
groupes, Group Policy Management, et rendez-vous sur les onglets Domains > Default
Domain Policy puis éditez.

👉 Allez ensuite sur Computer Configuration > Policies > Windows Settings > Security
Settings > Password Policy.
👉 Là, configurez les différents éléments :

 Enforce password history, pour renseigner le nombre d’anciens mots de passe stockés dans
l’historique de l’AD qui ne peuvent être utilisés à nouveau.

 Maximum password age, pour définir à quel moment expirera le mot de passe en nombre de
jours, et ainsi forcer le renouvellement. Grâce à ce paramètre, vous gérez l’antériorité
maximale du mot de passe.

 Minimum password age, pour établir le nombre de jours à partir duquel un utilisateur pourra
changer le mot de passe, et éviter les modifications trop régulières. Si vous souhaitez autoriser
un renouvellement immédiat, inscrivez 0.

 Minimum password lengh, pour configurer la longueur minimale du mot de passe. Il est
recommandé d’opter pour au moins 8 caractères. L’ANSSI va même jusqu’à 12.

 Password must meet complexity requirements, pour signifier si le mot de passe doit répondre
à des exigences de complexité. Grâce à ce paramètre, les collaborateurs ne peuvent utiliser le
nom du compte utilisateur. Il impose également l’usage de 3 types de caractères différents
appartenant aux 5 catégories suivantes :
 lettres majuscules,
 lettres minuscules,
 chiffres,
 caractères spéciaux,
 caractères Unicode.

 Store passwords using reversible encryption. Pour des raisons de sécurité, mieux vaut ne pas
activer ce critère. En effet, les mots de passe stockés se retrouveraient moins protégés, car il
sera possible de les récupérer en clair.
 👉 Configurer ensuite les autres paramètres de stratégie relatifs au verrouillage du
compte dans la section Account Lockout Password :

 Account lockout threshold, pour définir le nombre de tentatives de connexion échouées avant
verrouillage du compte.

 Account lockout duration, qui détermine combien de temps le compte restera verrouillé suite
aux tentatives infructueuses.

 Reset account lockout counter after, pour choisir le total de minutes après lequel le nombre de
tentatives échouées est réinitialisé.
Lire aussi
o Exemple d’une politique de mot de passe efficace en 10 conseils
Comment forcer le changement de mot de passe via
GPO ?
Avec les GPO, il est possible de forcer le changement des mots de passe avant l’expiration
prédéfinie.

Pour ce faire, il vous faut créer une nouvelle stratégie de groupe et la nommer.

Puis, depuis l’interface de gestion des stratégies de groupe, faites un clic droit sur le nom de
votre nouvelle stratégie pour l’éditer, puis rendez-vous sur le dossier Security Options.

👉 De là, cliquez sur l’option Interactive Logon et indiquez le nombre de jours souhaités afin
de demander le renouvellement des mots de passe avant leur expiration.

Comment identifier la stratégie de mot de passe

appliquée ?
Pour vérifier quelle stratégie de mot de passe via GPO est appliquée dans votre domaine AD,
accédez à l’onglet Settings de l’interface Default Domain Policy.
 💡 Autre méthode : recourir à des logiciels spécialisés, comme nous le verrons en dernière
partie.

Comment créer une stratégie de mot de passe

via PSO ?
C’est quoi les PSO pour les mots de passe ?
PSO, pour Password Settings Object, définit l’objet AD contenant une stratégie de mot de
passe effective pour des groupes d’utilisateurs précis.

Autrement dit, il s’agit de déployer une politique spécifique en fonction des profils. Par
exemple, il est possible d’exiger un mot de passe plus long pour les services manipulant des
données sensibles (service financier notamment).

💡 Cette stratégie s’applique soit à un utilisateur, soit à un groupe d’utilisateurs.

Notez toutefois que cette configuration est disponible depuis Windows Server 2008, et sur
Windows Server 2008 R2 ainsi que sur Windows Server 2022. Vous devez donc a
minima travailler sur Windows 2008 pour bénéficier de cette option.

Lire aussi
o Qu'est-ce que la FGPP, ou comment appliquer une politique de mot de passe
affinée ?
Les étapes à suivre
👉 Rendez-vous sur le Centre d’administration Active Directory, puis sur System > Password
Settings Container > New > Create Password Settings.
Comme vous le constatez, le formulaire à compléter reprend les mêmes caractéristiques que
lors de la création d’une stratégie de mot de passe via GPO :

 Enforce minimum password lengh,

 Enforce password history,
 Password must meet complexity requirements,
 Store password using reversible encryption,
 Enforce minimum password age,
 Enforce maximum password age,
 Enforce account lockout policy.
👉 Nous retrouvons également d’autres éléments, comme :

 Protect from accidental delation, pour garantir une protection contre les surpressions
accidentelles ;
 Description, utile, par exemple, pour spécifier quels sont les personnes ou groupes à qui cette
politique s’adresse.
☝️Mais surtout, en opérant via PSO, les renseignements suivants s’avèrent indispensables :

 Precedence : ce paramètre implique de renseigner la priorité dans le cas où plusieurs PSO sont
destinés à un même objet. Voici les règles à connaître :
 la plus petite valeur indiquée sera priorisée ;
 si les valeurs sont identiques, alors la stratégie qui aura le plus petit GUID (Globally
Unique IDentifier) l’emportera ;
 un PSO appliqué au niveau d’un utilisateur est prioritaire sur celui appliqué au niveau
du groupe.
  Directly applies to : là, vous rattachez les groupes ou utilisateurs concernés par la stratégie.

Comment identifier la stratégie de mot de passe

appliquée ?
Si vous souhaitez vérifier quelle stratégie concerne un utilisateur ou un groupe, cliquez
sur Personnel dans le Centre d’administration AD.

S’affiche alors une liste avec tous les utilisateurs. Sélectionnez celui qui vous intéresse, puis
allez sur Afficher les paramètres de mot de passe. Toutes les caractéristiques associées
apparaîtront alors.

💡 Vous pouvez également procéder via la console Utilisateurs et ordinateurs Active

Directory.

Des logiciels pour vous simplifier la tâche ?

Pour simplifier l’administration des mots de passe, on vous recommande de recourir à
des logiciels spécialisés.

PowerShell, la plateforme d’automatisation des tâches éditée par Microsoft, revient souvent
en tête de liste. Grâce à elle, vous gérez plus facilement vos politiques de mots de passe, les
associez à un utilisateur ou à un groupe et affichez toutes les informations relatives aux
stratégies effectives.

💡 Mention spéciale aussi pour Specops Password Policy, un logiciel spécialement conçu pour
renforcer les politiques de mots de passe dans l’AD. Avec cet outil, allez plus loin que ce que
propose Microsoft dans l’administration des stratégies de groupes, et optimisez la gestion des
stratégies de mot de passe à granularité fine. Par exemple, vous pouvez interdire un mot de
passe dans l’Active Directory à partir d’une liste ou d’un dictionnaire, ou encore paramétrer
plus précisément les critères d’expiration (en fonction de la longueur).

Que retenir ?
Si vous travaillez dans l’Active Directory, que vous opériez via GPO ou PSO, il est important
d’appliquer des paramètres de politique de mot de passe stricts et adaptés aux usages de
votre entreprise ainsi qu’au niveau de criticité de ses données. C’est d’ailleurs pourquoi
beaucoup d’experts favorisent la Fine Grained Password Policy, puisqu’elle autorise une
administration et une granularité plus fine, en accord avec la complexité des organisations.

Toutefois, ces opérations de gestion se révèlent parfois complexes et chronophages au

quotidien. Sans compter qu’Active Directory semble quelque peu limité en matière de
fonctionnalités face à des cybermenaces sans cesse plus nombreuses et élaborées.

Par conséquent, beaucoup de DSI font le choix de s’équiper en plus d’un logiciel
spécialisé pour renforcer leur politique de mot de passe, et assurer au maximum la protection
du système d’information de l’entreprise.