Comment procéder : Gestion des stratégies de mot de passe affinées via PowerShell
Les stratégies de mots de passe sont essentielles pour imposer la création de mots de passe forts et protéger les utilisateurs contre les attaques basées sur les informations d'identification. Les scripts PowerShell donnés ci-dessous peuvent être utilisés pour gérer la stratégie de mot de passe affinée et la stratégie de domaine par défaut pour un domaine Active Directory. ADSelfService Plus, la solution de sécurité des identités avec authentification multifacteur, authentification unique et gestion des mots de passe en libre-service, offre des paramètres de stratégie de mot de passe avancés qui peuvent être appliqués aux applications sur site et dans le cloud. Ce qui suit est une comparaison entre les scripts PowerShell utilisés pour gérer les paramètres de la stratégie de mot de passe affinée et ADSelfService Plus.
Avec PowerShell
- Exécutez les scripts suivants dans PowerShell :
- Créer une nouvelle stratégie de mot de passe affinée Active DirectoryCliquez pour copier tout le script
New-ADFineGrainedPasswordPolicy [-WhatIf] [-Confirm] [-AuthType <ADAuthType>] [-ComplexityEnabled <Boolean>] [-Credential <PSCredential>] [-Description <String>] [-DisplayName <String>] [-Instance <ADFineGrainedPasswordPolicy>] [-LockoutDuration <TimeSpan>] [-LockoutObservationWindow <TimeSpan>] [-LockoutThreshold <Int32>] [-MaxPasswordAge <TimeSpan>] [-MinPasswordAge <TimeSpan>] [-MinPasswordLength <Int32>] [-Name] <String> [-OtherAttributes <Hashtable>] [-PassThru] [-PasswordHistoryCount <Int32>] [-Precedence] <Int32> [-ProtectedFromAccidentalDeletion <Boolean>] [-ReversibleEncryptionEnabled <Boolean>] [-Server <String>] [<CommonParameters>]Copied - Effectuez une recherche pour récupérer une ou plusieurs stratégies de mot de passe affinée
Get-ADFineGrainedPasswordPolicy [-AuthType <ADAuthType>] [-Credential <PSCredential>] [-Identity] <ADFineGrainedPasswordPolicy> [-Properties <String[]>] [-Server <String>] [<CommonParameters>]
- Effectuez une recherche pour récupérer une ou plusieurs stratégies de mot de passe de domaine par défaut
Get-ADDefaultDomainPasswordPolicy [-AuthType <ADAuthType>] [-Credential <PSCredential>] [-Current <ADCurrentDomainType>] [-Server <String>] [<CommonParameters>]
Avec ADSelfService Plus :
- Configurer une stratégie de mot de passe personnalisée via la fonction Password Policy Enforcer
- Connectez-vous au portail d'administration d'ADSelfService Plus.
- Allez dans Configuration > Libre-service > Password Policy Enforcer.
- Activez Appliquer la stratégie de mot de passe personnalisée.
- Dans l’onglet Restreindre les caractères :
- Définissez le nombre de caractères spéciaux et numériques qui doivent être utilisés.
- Autorisez l'inclusion des caractères Unicode.
- Imposez un nombre minimum de caractères alphabétiques minuscules et majuscules.
- Interdisez les derniers caractères numériques.
- Dans l’onglet Restreindre la répétition, restreignez l'utilisation des chaînes de caractères du nom d'utilisateur ou des anciens mots de passe, ainsi que la répétition consécutive d'un même caractère.
- Dans l’onglet Restreindre le modèle, interdisez les mots du dictionnaire ou les mots de passe faibles, les modèles de clavier et les palindromes.
- Dans l'onglet Longueur de restriction, spécifiez la longueur minimale et maximale du mot de passe.
- Utilisez le réglage Le mot de passe doit satisfaire au moins _ des exigences de complexité ci-dessus afin de permettre aux utilisateurs de choisir les règles qu'ils souhaitent respecter sans compromettre la sécurité du mot de passe.
- Utiliser l'option Ignorer toutes les règles de complexité si la longueur du mot de passe est au moins égale à _ pour appliquer des phrases de passe au lieu des règles de complexité des mots de passe si la longueur du mot de passe est supérieure à un nombre défini.
- Cliquez sur Enregistrer.
Avantages d'ADSelfService Plus par rapport à PowerShell :
- Les paramètres avancés de la stratégie de mot de passe d'ADSelfService Plus interdisent les mots de passe faibles ou issus de dictionnaires, les palindromes, les modèles de clavier, etc.
- ADSelfService Plus s'intègre au service « Have I Been Pwned? » pour s'assurer que les utilisateurs n'utilisent pas de mots de passe ayant fait l'objet d'une violation lors du changement ou de la réinitialisation du mot de passe.
- Affichez les exigences du mot de passe aux utilisateurs finaux pendant les opérations de changement ou de réinitialisation du mot de passe sur l'écran Ctrl+Alt+Suppr.
- Appliquez les paramètres de la stratégie de mot de passe personnalisée même pour les changements de mot de passe via l'écran de connexion de Windows (Ctrl+Alt+Suppr) et pendant les réinitialisations de mot de passe ADUC.
Principales caractéristiques d’ADSelfService Plus
- Défense contre les cyberattaques :
Assurez-vous que les utilisateurs n'utilisent pas de mots de passe facilement exploitables comme pass@123.
- Améliore la sécurité informatique :
Fournit une d'authentification multifacteur incluant la biométrie et YubiKey.
- Application universelle :
Les administrateurs peuvent appliquer les stratégies de mot de passe personnalisées à la fois pour Active Directory et pour les applications dans le cloud.
- Application basée sur les UO et les groupes :
Les administrateurs peuvent choisir d'appliquer des stratégies de mot de passe différentes pour les utilisateurs en fonction de leur UO et de leur appartenance à un groupe.
Défense contre le cyberterrorisme grâce à des contrôles personnalisés des stratégies de mot de passe.
Obtenez un essai gratuit de 30 joursProduits connexes
- Notification par e-mail de expiration du mot de passe à aide de PowerShell
- Notification expiration de compte à aide du script PowerShell
- Comment mettre sur liste noire les mots de passe faibles Active Directory
- Comment obtenir âge du mot de passe avec PowerShell
- Comment synchroniser le mot de passe Active Directory avec Office 365 à aide de PowerShell ?
- Réinitialisation du mot de passe Active Directory en libre-service avec PowerShell
- Comment débloquer un compte utilisateur Active Directory à aide d'un script PowerShell ?
- Comment synchroniser le mot de passe entre des domaines AD à aide de PowerShell ?
- Comment auditer la qualité des mots de passe Active Directory en utilisant PowerShell
- Comment modifier attribut « Le mot de passe n’expire jamais » et définir une date expiration du mot de passe en utilisant PowerShell
- Comment changer le mot de passe d'un utilisateur local à distance en utilisant un script PowerShell
- Stratégie de mot de passe Office 365 avec PowerShell
- Comment identifier les utilisateurs Active Directory avec des mots de passe piratés à aide de PowerShell ?
- Comment automatiser la réinitialisation du mot de passe avec la commande PowerShell
- Comment appliquer la stratégie de mot de passe pour un utilisateur Active Directory en utilisant PowerShell
- Comment effectuer une mise à jour automatique des données Active Directory à aide de PowerShell ?
- Comment changer le mot de passe de l'utilisateur à la première connexion en utilisant le script PowerShell
- Comment réinitialiser le mot de passe un utilisateur Azure Active Directory en utilisant PowerShell
- Comment obtenir une stratégie de mot de passe affinée en utilisant PowerShell
- Script PowerShell pour réinitialiser le mot de passe un utilisateur dans Google Apps