[résolu] Impossible de changer le mot de passe avec ctrl+alt+sup

Impossible de changer le mot de passe avec ctrl+alt+sup [résolu] - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 04-03-2014 à 20:40:30    

Bonsoir,
 
dans la boite que j'ai intégré aucune stratégie de mot de passe. les gens mettent leurs initiales et c'est tout.
j'ai décidé de mettre une en place en passant d'abord par une phase test.
 
- nouvelle OU PSO-Test dans laquelle un seul ordi postrtest01
- j'ai lié à cela les GPO qui s'appliquent déjà en prod et j'ai copié la domain defaut policy (que j'ai modifié pour la novelle OU PSO - Test, pour tester que les MDP complexes ne vont pas créer plus de problème qu'autre chose)
 
résultat je change le mot de passe une fois puis impossible de changer à nouveau :(
message le mot de passe ne respect pas la norme de complexité (ou quelques chose dans ce style)
 
j'ai pensé toute suite à deux choses
1. minimum password age (mais il est à 0, donc on devrait pouvoir changer de suite 100 fois)
2. niveau fonctionnel 2008 (et la je suis pas bon j'ai un DC en 2003, mais normalement ça devrais marcher)
 
merci d'avance pour vos idées et expériences.


Message édité par tome_80 le 24-03-2014 à 23:44:01
Reply

Marsh Posté le 04-03-2014 à 20:40:30   

Reply

Marsh Posté le 05-03-2014 à 09:10:41    

Salut,
si tu as encore un DC en 2003, je ne pense pas que ton domaine est un niveau fonctionnel 2008.
Les PSO c'est niveau fonctionnel 2008 minimum.
A+


---------------
Hommage au sergent Aurélie Salel - http://www.pompiersparis.fr/
Reply

Marsh Posté le 05-03-2014 à 10:20:25    

Les PSO ne fonctionnent pas comme cela, tu ne dois pas recopier la default domain policy.
 
Et il faut effectivement commencer par migrer ton AD pour que cela fonctionne.

Reply

Marsh Posté le 09-03-2014 à 20:38:48    

Merci les gars.
Nouveau DC prévu pour ce lundi, une première pour moi puis rétrogradation du DC sur 2003 et si tout va bien suppression d'ici une semaine...
 
pour les PSO, il y a pas de mal si je copie et modifie la default domaine policy... non ? ça fait une Default domaine policy pour le OU à laquelle est lié non ?
 
Franck: je ne savais pas que les PSO nécessite un AD fonctionnel 2008, ça m'a échappé dans mes recherches.
 
demain le jour de la vérité. Si ok je mets "résolu"
 
a+

Reply

Marsh Posté le 09-03-2014 à 21:01:15    

tome_80 a écrit :

Merci les gars.
Nouveau DC prévu pour ce lundi, une première pour moi puis rétrogradation du DC sur 2003 et si tout va bien suppression d'ici une semaine...
 
pour les PSO, il y a pas de mal si je copie et modifie la default domaine policy... non ? ça fait une Default domaine policy pour le OU à laquelle est lié non ?
 
Franck: je ne savais pas que les PSO nécessite un AD fonctionnel 2008, ça m'a échappé dans mes recherches.
 
demain le jour de la vérité. Si ok je mets "résolu"
 
a+


 
non on copie pas et on ne modifie pas default domain policy sauf pour la définition de mot de passe du domaine.

Reply

Marsh Posté le 10-03-2014 à 21:59:31    

Bonsoir,
 
on est passé sur domaine/foret fonctionnel 2008 r2 (avec pas mal de galères et inprévus, DNS,DHCP migration aussi, Wyse, Proxy web/mail, Citrix..bref des paramètres que je n'ai pas pris en compte, j'ai pas su ni pu rêver..)
j'ai pas fait des PSO (pas encore) mais impossible de changer le MDP 2 fois de suite, incroyable.
Aucune stratégie en place tout les paramètres à 0 est ça ne fonctionne pas (même le prestataire n'a plus d'idée)
 une autre stratégie de la quelle je n'ai pas de connaissance ? La GPO des certification NAP ? sais plus quoi faire... coté google c'est faible "min password age" et c'est tout..
 
qu'est ce qui peut me bloquer ?
 
merci par avance

Reply

Marsh Posté le 11-03-2014 à 00:01:58    

tome_80 a écrit :

Bonsoir,
 
on est passé sur domaine/foret fonctionnel 2008 r2 (avec pas mal de galères et inprévus, DNS,DHCP migration aussi, Wyse, Proxy web/mail, Citrix..bref des paramètres que je n'ai pas pris en compte, j'ai pas su ni pu rêver..)
j'ai pas fait des PSO (pas encore) mais impossible de changer le MDP 2 fois de suite, incroyable.
Aucune stratégie en place tout les paramètres à 0 est ça ne fonctionne pas (même le prestataire n'a plus d'idée)
 une autre stratégie de la quelle je n'ai pas de connaissance ? La GPO des certification NAP ? sais plus quoi faire... coté google c'est faible "min password age" et c'est tout..
 
qu'est ce qui peut me bloquer ?
 
merci par avance


 
ton manque de connaissances de l'administration windows ? :/

Reply

Marsh Posté le 11-03-2014 à 22:55:12    

Oui effectivement ... sans doute. J'ai jamais dit que je suis un expert, sinon j'airais modéré un forum et pas poster.
j'ai intégré une société comme technicien qui voulait évoluer et j'ai eu de la chance. Sauf ceux qui devaient me monter en compétences sont partie après deux semaines et certains sujet dépassent les connaissances de base.
 
mais là j'y suis. ils vont pas me virer et moi encore moins je vais partir.
et il faut que je m'en sors...  
 
pour la default domaine policy c'est le prestataire qui a tous monté chez nous qui m'a conseillé de la copier et lier à un GG  pour tester.
 
alors comment la tester (sans la copier/modifier) sans que cela impact tous les users car elle s'applique à tout le monde.. quelque part il faut que je teste sur une GG de test et pour ça il faut que j’enlève les users authentifiés et remplacer avec la GG de test. Pratiquement impossible...  la seule solution la copier / renommer / modifier  puis appliquer à un GG de test...


Message édité par tome_80 le 11-03-2014 à 22:56:26
Reply

Marsh Posté le 12-03-2014 à 13:51:38    

Salut,
Le problème est général ou que sur certains postes ?
As tu fait un rsop sur les postes posant problème ?
As tu plusieurs GPO actives ? si oui n'y a t'il pas conflit ?
A+


---------------
Hommage au sergent Aurélie Salel - http://www.pompiersparis.fr/
Reply

Marsh Posté le 12-03-2014 à 17:14:33    

Une question bete je reviens sur ta phrase :  
"essage le mot de passe ne respect pas la norme de complexité (ou quelques chose dans ce style) "
 
Tu respectes bien :  
Le nombre de caractère, chiffre, lettre, majuscule et minuscule et un détail qu'on oublie il ne faut pas que ca contienne ni le prénom et le nom défini dans le compte.
 

Reply

Marsh Posté le 12-03-2014 à 17:14:33   

Reply

Marsh Posté le 16-03-2014 à 14:50:16    

Bonjour,
 
merci à tous, pb mot de passe résolu (suite une grosse mrd du mercredi)
incroyable.
 
PsYKrO_fred: oui la complexité a été respecté.
 
je m'explique:
alors qu'on avait un dc03 et un 2 dc08, pour tester une GPO des mot de passe complexes on "glissait/copiait" la default domaine policy dans le OU (isolé) de test puis renommer et modifier afin qu'elle a les mêmes paramètres comme la VRAIE sauf les paramètres des mot de passe.
max pass age 0 (pour tester seulement le paramètre longueur/complexité)  
min  pass age 0
chiffrement réversible NO  
Complexité YES
Logeur 6
* verrouillage 15 min, 3 tentatives  
 
cela ne fonctionnait pas je sais pas pourquoi, de plus les comptes en dehors du test n'arrivé pas à changer le MDP...
 
La vraie policy (l'actuelle)
 
historique non défini
max pass age 0  
min  pass age 0 (pour moi si ce paramètre était à 1 ou + j'aurais compris pourquoi on ne peut pas changer le MDP de suite)
chiffrement réversible NO (je sais même pas ce que c'est et à quoi ça sert)
Complexité NO
Logeur  non défini  
* verrouillage non défini
 
suite vos conseils j'ai décide d'augmenter le niveau fonctionnel 2008r2 lundi dernier, trop vite prochaine fois je ferais plus attention  (avec l'aide d'un prestataire qui était censé de me montrer comment fait tout ça proprement) ça s'est pas très bien passé car sauf DNS et DHCP qu'on a bien migré il servait comme fournisseur Exchange (on s'est aperçu que les mails sont KO) et il hébergé le proxy.pac {(autre problème. La GPO en 03 qui renseigne le proxy n'existe pas en 08, vu que dc03 n'est plus contrôleur on a du créer un partage netlogon pour qu'il puisse encore renseigner l'url du proxy, entre temps dans le proxy j'ai pointé vers le dc08, résultat accès net OK  maintenant j'ai des pb de lenteurs lors l’authentification proxy une sorte de time out... on lance IE on voit authentification proxy, ça tourne 30-40 sec, puis on voit la résolution des nom et 10 sec après la page s'affiche). ceci est valable juste au lancement... + point d'exclamation jaune au niveau de l'icone réseau (filaire ou wifi)..}
 
on continue:
je ne sais pas comment mercredi TOUS LES COMPTES ont expirés le bordel total :( ça demandé des MDP (saisissez l'ancien puis le nouveau) + comptes verrouillés/expirés.
1 suspections Virus mais on s'est vite tournés vers ce qui était modifié ce dernier temps: on a modifié certains paramètres dans default domaine policy puis remettre comme c’était + suppression de la "copie" pour le test. Et au bout d'un moment (une fois la GPO a à nouveau pu s'appliquer) plus d'appels ça s'est calmé (8h - 15h).
 
Et là chaque un a pu modifier le mot de passe comme bon lui semble autant de fois qu'il veut.
suis loin d’être expert mais même le presta ne savait pas d'ou ça vient et pourquoi mercredi...  
 
donc
Je@nb : 1. manque de connaissances OUI
franck31195 : 2. conflit de GPO très probablement
 
avant que je clôture le sujet (même si j'ai encore un tas de pb, je vais essayer de les placer dans la bonne rubrique), ce changement des MDP ça m'a refroidi un peu, ça aurait du etre simple... je me dis maintenant pour appliquer une stratégie des mdp (il faut que je le fasse)  je vais devoir taper dans la (seule) Default domaine policy et là dès que je modifie, lors l'application, chaque user aura un pop-up changer le mot de passe non ?  
 
comment passer cela en douceur là quand je suis revenu presque à la normale ? j'ai pas envie de me retrouver à nouveau avec des comptes éjectes, verrouillés ou autre ..  
une procedure simple, pour que le user soit simplement invité à l'ouverture de la session de chnager le mot de passe ...
 
merci beaucoup
 
 
 

Reply

Marsh Posté le 17-03-2014 à 09:31:40    

Salut,
Avant de toucher aux stratégies de mot de passe, je te conseille vivement de lire les articles technet sur le GPO ainsi que les PSO.
 
De plus avec les effets pervers que peuvent avoir des conflits de GPO, on ne les appliquent jamais sur l'ensemble d'un domaine sans faire un test préalable (même si c'est difficile sur les passwords)
 
Comme te le disait en début de post Je@nb, les différents mots de passe dans un domaine ne se gèrent pas par GPO. Ce sont des objets AD différents et ne s'appliquent que sur des objets utilisateurs ou groupe de sécurité.
 
http://blog.portail-mcse.net/index [...] -de-passe2
 
http://www.ahmedmalek.com/web/fr/d [...] 1&msrub=63
 


---------------
Hommage au sergent Aurélie Salel - http://www.pompiersparis.fr/
Reply

Marsh Posté le 17-03-2014 à 09:40:18    

@tome_80 : tu fais absolument n'importe quoi et ton presta ne paraît pas plus compétent dans tout ce qui touche à l'AD. Fais-toi aider par un autre presta compétent, si tu continues tu vas péter le peu qui fonctionne encore.
 
Une stratégie de mot de passe s'applique à un domaine entier, il n'y a pas de granularité plus fine. Copier/coller des stratégies de mot de passe au sein d'un même domaine ne sert qu'à mettre la pagaille.
 
Il te manque toutes les bases là (et savoir comment chercher des infos via Google) :/

Reply

Marsh Posté le 18-03-2014 à 17:24:59    

nebulios a écrit :

@tome_80 : tu fais absolument n'importe quoi et ton presta ne paraît pas plus compétent dans tout ce qui touche à l'AD. Fais-toi aider par un autre presta compétent, si tu continues tu vas péter le peu qui fonctionne encore.
 
Une stratégie de mot de passe s'applique à un domaine entier, il n'y a pas de granularité plus fine. Copier/coller des stratégies de mot de passe au sein d'un même domaine ne sert qu'à mettre la pagaille.
 
Il te manque toutes les bases là (et savoir comment chercher des infos via Google) :/


 
Aller :) ca sert à rien de casser du sucre... il est en mode panique... qui n'a pas connu ça? :wahoo:  :sol:  
Une fois que ca sera remis dans l'ordre, de la lecture s'imposera :)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed