Les politiques de mots de passe sous Windows Server 2008
Sous 2000 et 2003 Server, les politiques de gestion des mots de passe et procédures de blocage de compte étaient liées au domaine principal. Toute tentative de gestion fine des politiques de mot de passe se soldaient soit par la mise en oeuvre de filtres -eux-mêmes source d'erreur ou de surconsommation d'aspirine- soit par la création d'autant de sous-domaines que de groupes d'utilisateurs attachés à une politique particulière. Une solution qui n'est véritablement pensable que lorsque les politiques de gestion des crédences correspondent peu ou prou à la structuration des « organisational units » de l'entreprise. Mais est-ce souvent le cas ? Les choses changent radicalement avec « Vista Server », et notamment grâce à l'apparition de deux classes d'objets dans les AD DS (les ADS de domaine) : la classe password setting et un container correspondant. On peut enfin jouer avec différents « groupes » de crédences aux propriétés particulières, à l'intérieur d'un même domaine. Reste que l'établissement d'une politique offrant une granularité fine n'est pas franchement trivial. Microsoft vient de mettre en ligne un document de formation sur ce sujet, intitulé « Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration ». L'immersion dans ce document nécessite au moins deux jours de calme absolu (dans le meilleur des cas), et une machine sacrificielle séparée du réseau... une mauvaise policie sur un réseau vivant (expérience vécue...), c'est la voie la plus rapide vers une ré-installation des serveurs et une reconstruction des ACL.
