AD 2008 permet la mise en œuvre de « Password Settings Objects », ce qui évite la création d’un nouveau domaine lorsque l’on souhaite mettre en œuvre une politique de mots de passe différente pour certains utilisateurs. Avec Windows 2008 la création de ces PSO s’effectuait via ADSIedit ou Ldifde.
On connait moins les commandes PowerShell qui viennent avec 2008R2 et qui encadrent l’administration de ces objets.
A titre d’exemple, on peut imaginer la procédure suivante :
1) Un groupe global est créé. Les utilisateurs concernés par le futur PSO devront en être membres.
Exemple : gg_Utilisateurs_Ciblés
2) Un PSO est créé avec le jeu de paramètres destiné aux utilisateurs ciblés
Exemple :
New-ADFineGrainedPasswordPolicy -Name "PSO-Utilisateurs_Ciblés " -Precedence 500 -ComplexityEnabled $false -Description "Strategie pour tous les utilisateurs ciblés" -DisplayName "PSO pour les utilisateurs ciblés" -LockoutDuration "-1" -LockoutObservationWindow "0:30" -LockoutThreshold 30 -MaxPasswordAge "60.00:00:00" -MinPasswordAge "1.00:00:00" -MinPasswordLength 7 _PasswordHistoryCount 3 -ReversibleEncryptionEnabled $false
3) Le PSO est assigné au groupe global.
Exemple :
Add-ADFineGrainedPasswordPolicySubject PSO-Utilisateurs_Ciblés -Subjects ' gg_Utilisateurs_Ciblés '
Pour plus d’informations sur la gestion des mots de passe ( Stratégie du domaine et PSO ) :
http://technet.microsoft.com/en-us/library/dd378968(WS.10).aspx
Pour plus d’information sur les valeurs à paramétrer avec la commande de création de PSO :
http://technet.microsoft.com/en-us/library/ee617238.aspx