GPO account lockout treshold

GPO account lockout treshold - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 26-11-2014 à 11:22:14    

Hello,
 
J'essaie de mettre en place une GPO basique pour mettre une limite au nombre de tentatives de login avant verrouillage (account lockout treshold donc) mais ca ne veut pas fonctionner :(
 
Une image valant mille paroles :
 
http://reho.st/self/24a31253093793226d821d0014713902b92b78a5.jpg
 
J'ai juste limité le scope à un user de test, ne voulant pas impacter tout le domaine pour le moment.
 
Et ca ne fonctionne pas, j'ai beau multiplier les faux password le compte ne se verrouille jamais, j'ai même trouvé un outil qui me donne le nombre de bad passwords et quand ca dépasse les 5 ... bah il se passe rien.
 
J'ai raté quelque chose d'évident ?
 
Merci.

Reply

Marsh Posté le 26-11-2014 à 11:22:14   

Reply

Marsh Posté le 26-11-2014 à 11:32:59    

Oui, les password/lockout policy sont définies pour tout le domaine dans la defautl domain policy.
Donc ta GPO elle sert à rien.
 
Si tu veux appliquer une autre politique à ton user en particulier (ou à un groupe en particulier) il faut utiliser les PSO (windows server 2008 mini)

Reply

Marsh Posté le 26-11-2014 à 11:35:56    

D'accord donc c'est parce que ces settings en particulier ne peuvent être changé qu'au niveau de la default domain policy ?
Pareil pour la durée de validité du mdp ?
 
PSO ca correspond à ... ?  
 
Merci !

Reply

Marsh Posté le 26-11-2014 à 11:36:45    

oui
oui (c'est la password policy ...)
 
google ;)

Reply

Marsh Posté le 26-11-2014 à 11:52:55    

Je vois, merci bcp !

Reply

Marsh Posté le 26-11-2014 à 11:55:05    

Perso je préfère créer un GPO dédiée à la gestion de la configuration du mot de passe, puis la linker au niveau du domaine en modifiant la précédence, plutôt que de bidouiller la Default Domain Policy.
 
La DDP s'applique sur tout le domaine comme l'a dit Je@nB. Les PSO s'appliquent aux groups et utilisateurs. Rien ne s'applique aux OU.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed