Bonjour à tous,
 
J'ai une petite question à vous soumettre...
 
Je dois dans une société activer la complexité des password sur leur domain controller (SBS2003).
 
Jusque là tout va bien c'est assez simple.
 
Mais en fait il faut savoir qu'il y a certains utilisateurs externes auxquels ne devront pas s'appliquer cette GPO.
 
Donc il faudrait que je créée deux groupes, l'un ou cette stratégie serait appliquée et l'autre pas.
 
Comment faire car apparemment avec de simples security groups cela ne fonctionne pas
 
D'avance merci pour votre réponse!

As tu deja des notions d'Active Directory ?

Oui
 
J'ai essayé de créer 2 OU et de linker 2 stratégies différentes à chacune d'elles, j'ai ensuite fait un gpupdate sur la machine client.
 
Apparemment ça ne fonctionne pas...

Est ce que dans les droits de la GPO, tu l'appliques bien pour tes users ?
 
N'as tu pas de probleme de DNS ?

Le dns fonctionne sans aucun problème.
 
Au niveau des droits de la GPO, ils sont en Read (Security Filtering) pour Authenticated users donc ça me semble correct.
 
En linkant des stratégies aux OU j'ai bien appliqué la bonne méthode je crois?

Il faut pas que Read, il faut aussi "Apply group policy"

Merci
 
Je teste ça de suite
 
[EDIT] Excuse moi je n'avais pas fait gaffe mais le apply group policy est lui aussi activé

Je pense d'un coup là, les stratégie de password, c'est pas liées aux machines ??!    
 
Donne un peu le chemin pour voir    

Si, c'est lié aux machines
 
Computer configuration
|------- Windows settings
|         |----- Security settings
|                 |------ Account policies

Ben voilà, tu l'as ta réponse    
 
Si elle est liée aux machines, elle s'appliquera aux machines qui sont dans l'UO, et non aux users
 
La stratégie computer s'applique avant même que tu ouvres une session donc ...

Effectivement, je n'y avais pas pensé en fait...
 
Bon il y a-t'il un moyen de gérer ça par rapport à certains users???
 
Parce qu'en fait mon problème est que les externes venant sur le réseau ne sont pas dans le domaine, et donc ont un mot de passe fixe pour accéder à leurs ressources. En cas de reset du password ils ne pourront pas le changer à moins de se logger sur une machine du domaine.
 
Bon c'est un peu chiant comme situation mais je ne sais rien y faire on ne sait pas tous leur acheter une machine qu'on mettrait dans le domaine.

Là je sais pas  

A ma connaissance tu ne pourras pas faire ce que tu veux sachant que les stratégies de mot de passe sont définies sur les machines.
 
En revanche, rien ne t'empêche de cocher l'option "Le mot de passe n'expire jamais" dans les propriétés de chaque compte utilisateur concerné par ce besoin...

Oui c'est ce à quoi j'avais pensé en solution de rechange au cas ou je ne trouverais rien...
 
Je vais encore un peu fouiller sur le net c'est vrai que c'est assez rare comme cas
 
Merci en tout cas!
 
[EDIT] J'ai aussi essayé une autre solution qui est de mettre en stratégie par défaut celle des externes, ensuite j'ai créé une OU ou j'ai mis les machines du domaine et j'y ai linké la GPO que je voulais mais ça n'a pas l'air de fonctionner...

bonjour,
 
je ne pense pas que tu trouveras une solution de cette manière car il n'y a qu'une seule politique de mot de passe par domaine.Donc si tous tes postes ou utilisateurs sotn connectés au domaine cela ne marchera pas. Pour que les politiques de sécurité sur les postes soient prises en compte, il faudrait que les utlisateurs se connectent en local. J'ai eu le même probleme il y a qq temps et j'avais mis en place un domaine enfant dans lequel j'ai mis les utilisateurs concernés dedans.  
 
Maintenant peut etre que je me trompe mais je crois que c'est la seule solution dispo.Enfin si tu trouves la solution merci de la poster ca interessera pas mal de monde je pense

Ici il s'agit d'un Small Business Server donc pas de domaine enfant malheureusement.
Après de nombreuses recherches et tests en labo, je ne pense pas qu'il y ait de solution.
 
Par contre j'ai trouvé un soft à rajouter qui permet de gérer le multi-policy, mais bien sûr la licence n'est pas gratuite.
Ca a l'air vraiment pas mal car on peut aussi gérer plus précisément la complexité des passwords (nombre de majuscules, de chiffres,...).
 
Pour ceux que ça intéresse voici l'url:
 
http://www.altusnet.com/passfilt/
 
Je vais donc devoir choisir la solution de rechange qui est le "password never expires" pour les externes.
 
Merci en tout cas pour votre aide!