Un PSO contient 10 paramètres principaux répartis en deux catégories : Stratégie de mot de passe (7 paramètres) et Stratégie de verrouillage de compte (3 paramètres).
| Paramètre | Description | Exemple |
|---|---|---|
| Nom | Nom unique du PSO (CN) | PSO_Administrateurs |
| Précédence | Priorité (1 = priorité max) | 10 |
| Description | Description textuelle | "Politique stricte pour les admins" |
| S'applique à | Utilisateurs ou groupes cibles | GRP_Admins, user1 |
msDS-MinimumPasswordLengthMinPasswordLength# Exemple de configuration
-MinPasswordLength 15msDS-PasswordHistoryLengthPasswordHistoryCount# Exemple de configuration
-PasswordHistoryCount 24msDS-MaximumPasswordAgeMaxPasswordAge00:00:00 = jamais expirer (non recommandé)# Exemple de configuration
-MaxPasswordAge "90.00:00:00" # 90 jours
# Ou avec New-TimeSpan
-MaxPasswordAge (New-TimeSpan -Days 90)msDS-MinimumPasswordAgeMinPasswordAge# Exemple de configuration
-MinPasswordAge "2.00:00:00" # 2 joursmsDS-PasswordComplexityEnabledComplexityEnabled$true (Activé) ou $false (Désactivé)$trueRègles de complexité Windows :
# Exemple de configuration
-ComplexityEnabled $trueNote : Pour des règles de complexité personnalisées (ex: exiger les 4 catégories), vous devez utiliser un filtre de mot de passe personnalisé (DLL).
msDS-PasswordReversibleEncryptionEnabledReversibleEncryptionEnabled$true (Activé) ou $false (Désactivé)$falseQuand l'activer (TRÈS RARE) :
# Exemple de configuration (généralement désactivé)
-ReversibleEncryptionEnabled $falsemsDS-MinimumNTLMPasswordLength (nouveau)msDS-LockoutThresholdLockoutThreshold# Exemple de configuration
-LockoutThreshold 5⚠️ Important : Si ce paramètre est à 0, les deux paramètres suivants sont ignorés.
msDS-LockoutDurationLockoutDuration00:00:00 = verrouillage permanent (nécessite intervention admin)# Exemple de configuration
-LockoutDuration "00:30:00" # 30 minutes
# Ou verrouillage permanent (nécessite unlock manuel)
-LockoutDuration "00:00:00"msDS-LockoutObservationWindowLockoutObservationWindow# Exemple de configuration
-LockoutObservationWindow "00:30:00" # 30 minutes
```
**Exemple de fonctionnement** :
```
Seuil : 5 tentatives
Observation : 30 minutes
Durée verrouillage : 30 minutes
Scénario :
- 08h00 : 3 tentatives échouées
- 08h35 : Compteur remis à 0 (après 30 min d'observation)
- 08h36 : 5 tentatives échouées → Compte verrouillé
- 09h06 : Compte automatiquement déverrouillé (après 30 min)New-ADFineGrainedPasswordPolicy `
-Name "PSO_Administrateurs" `
-Precedence 10 `
-Description "Politique de sécurité renforcée pour les administrateurs" `
-DisplayName "PSO Administrateurs" `
-MinPasswordLength 15 `
-PasswordHistoryCount 24 `
-MaxPasswordAge "60.00:00:00" `
-MinPasswordAge "2.00:00:00" `
-ComplexityEnabled $true `
-ReversibleEncryptionEnabled $false `
-LockoutThreshold 3 `
-LockoutDuration "00:30:00" `
-LockoutObservationWindow "00:30:00"
# Appliquer au groupe des administrateurs
Add-ADFineGrainedPasswordPolicySubject `
-Identity "PSO_Administrateurs" `
-Subjects "Admins du domaine"New-ADFineGrainedPasswordPolicy `
-Name "PSO_Utilisateurs_Standards" `
-Precedence 20 `
-Description "Politique standard pour tous les utilisateurs" `
-DisplayName "PSO Utilisateurs Standards" `
-MinPasswordLength 10 `
-PasswordHistoryCount 12 `
-MaxPasswordAge "90.00:00:00" `
-MinPasswordAge "1.00:00:00" `
-ComplexityEnabled $true `
-ReversibleEncryptionEnabled $false `
-LockoutThreshold 5 `
-LockoutDuration "00:15:00" `
-LockoutObservationWindow "00:15:00"
# Appliquer au groupe des utilisateurs
Add-ADFineGrainedPasswordPolicySubject `
-Identity "PSO_Utilisateurs_Standards" `
-Subjects "Utilisateurs du domaine"New-ADFineGrainedPasswordPolicy `
-Name "PSO_Comptes_Service" `
-Precedence 5 `
-Description "Politique pour comptes de service (mots de passe longs, pas d'expiration fréquente)" `
-DisplayName "PSO Comptes Service" `
-MinPasswordLength 25 `
-PasswordHistoryCount 24 `
-MaxPasswordAge "365.00:00:00" `
-MinPasswordAge "1.00:00:00" `
-ComplexityEnabled $true `
-ReversibleEncryptionEnabled $false `
-LockoutThreshold 0 ` # Pas de verrouillage pour éviter DoS
-LockoutDuration "00:00:00" `
-LockoutObservationWindow "00:00:00"
# Appliquer au groupe des comptes de service
Add-ADFineGrainedPasswordPolicySubject `
-Identity "PSO_Comptes_Service" `
-Subjects "GRP_Comptes_Service"# Afficher tous les paramètres d'un PSO
Get-ADFineGrainedPasswordPolicy -Identity "PSO_Administrateurs" | Format-List *
# Afficher uniquement les paramètres clés
Get-ADFineGrainedPasswordPolicy -Identity "PSO_Administrateurs" |
Select-Object Name, Precedence, MinPasswordLength, MaxPasswordAge,
LockoutThreshold, ComplexityEnabledCentre d'administration Active Directory :
dsac.exe)| Paramètre | Utilisateurs standards | Administrateurs | Comptes service | Haute sécurité |
|---|---|---|---|---|
| Longueur min | 10-12 | 15-20 | 25+ | 15-20 |
| Historique | 12 | 24 | 24 | 24 |
| Durée max | 90 jours | 60 jours | 365 jours | 30-45 jours |
| Durée min | 1 jour | 2 jours | 1 jour | 2 jours |
| Complexité | Activée | Activée | Activée | Activée |
| Chiffrement réversible | Désactivé | Désactivé | Désactivé | Désactivé |
| Seuil verrouillage | 5 | 3 | 0 (désactivé) | 3 |
| Durée verrouillage | 15 min | 30 min | N/A | 60 min |
| Observation | 15 min | 30 min | N/A | 60 min |
| Paramètre PowerShell | Attribut Active Directory | Type |
|---|---|---|
| Name | cn | String |
| Precedence | msDS-PasswordSettingsPrecedence | Integer |
| MinPasswordLength | msDS-MinimumPasswordLength | Integer |
| PasswordHistoryCount | msDS-PasswordHistoryLength | Integer |
| MaxPasswordAge | msDS-MaximumPasswordAge | TimeSpan (Int64) |
| MinPasswordAge | msDS-MinimumPasswordAge | TimeSpan (Int64) |
| ComplexityEnabled | msDS-PasswordComplexityEnabled | Boolean |
| ReversibleEncryptionEnabled | msDS-PasswordReversibleEncryptionEnabled | Boolean |
| LockoutThreshold | msDS-LockoutThreshold | Integer |
| LockoutDuration | msDS-LockoutDuration | TimeSpan (Int64) |
| LockoutObservationWindow | msDS-LockoutObservationWindow | TimeSpan (Int64) |
Un PSO contient exactement 10 paramètres de sécurité :
Stratégie de mot de passe (7) :
Stratégie de verrouillage (3) : 8. Seuil de verrouillage 9. Durée de verrouillage 10. Fenêtre d'observation
+ Métadonnées : Nom, Précédence, Description, Cibles
Tous ces paramètres sont configurables via PowerShell (New-ADFineGrainedPasswordPolicy) ou l'interface graphique (Centre d'administration Active Directory).