Vous pouvez définir et modifier des mots de passe pour les entités de sécurité AD LDS (Active Directory Lightweight Directory Services) sur des connexions SSL (Secure Sockets Layer) (avec Ldp.exe) ou sur des connexions chiffrées n’utilisant pas le protocole SSL (avec l’Éditeur ADSI ou Ldp.exe). Pour établir une connexion SSL avec les services AD LDS (Active Directory Lightweight Directory Services), vous devez installer des certificats sur l’ordinateur qui exécute les services AD LDS (Active Directory Lightweight Directory Services) et sur tous les clients. Pour établir des connexions SSL à une instance AD LDS, vous devez utiliser Ldp.exe, l’Éditeur ADSI ne prenant pas en charge les connexions SSL.
Par défaut, une instance AD LDS applique automatiquement les stratégies de mot de passe locales ou de domaine qui existent. Si vous créez un nouvel utilisateur AD LDS et si vous lui affectez un mot de passe qui ne répond pas aux critères de la stratégie de mot de passe en vigueur, cet utilisateur est désactivé.
Par défaut, les services AD LDS prennent en charge et appliquent les paramètres de stratégie de mot de passe et de verrouillage de compte fournis par Windows Server 2008 R2, notamment les paramètres suivants :
Durée minimale
Durée maximale
Complexité
Historique
Échec de tentatives d’ouverture de session trop nombreuses
Désactivation et activation des comptes
Si le serveur sur lequel les services AD LDS (Active Directory Lightweight Directory Services) sont exécutés appartient à un groupe de travail, les paramètres de la stratégie de mot de passe local du serveur et les paramètres de verrouillage de compte sont implémentés. Si le serveur sur lequel les services AD LDS (Active Directory Lightweight Directory Services) sont exécutés appartient à un domaine, les paramètres de la stratégie de mot de passe et les paramètres de verrouillage des services de domaine Active Directory (AD DS) sont implémentés.
Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Administrateurs de l’instance AD LDS. Par défaut, l’entité de sécurité que vous spécifiez en tant qu’administrateur AD LDS pendant l’installation des services AD LDS (Active Directory Lightweight Directory Services) devient un membre du groupe Administrateurs dans la partition de configuration. Pour plus d’informations sur les groupes AD LDS, voir Présentation des groupes et des utilisateurs AD LDS.
Définition ou modification du mot de passe d’un utilisateur AD LDS
Utilisation de l’Éditeur ADSI
Pour définir ou modifier le mot de passe d’un utilisateur AD LDS à l’aide de l’Éditeur ADSI |
Ouvrez l’Éditeur ADSI.
Connectez et rattachez la partition d’annuaire contenant l’utilisateur AD LDS pour lequel vous souhaitez définir ou modifier le mot de passe. Pour plus d’informations, voir Utiliser l’Éditeur ADSI pour gérer une instance AD LDS.
Recherchez l’objet annuaire représentant l’utilisateur AD LDS, puis cliquez avec le bouton droit sur l’objet annuaire.
Cliquez sur Réinitialiser le mot de passe, puis tapez un mot de passe pour l’utilisateur dans Nouveau mot de passe et dans Confirmer le mot de passe.
Considérations supplémentaires
-
Pour ouvrir l’Éditeur ADSI, sur un ordinateur où est installé le rôle de serveur AD LDS, cliquez sur Démarrer, sur Outils d’administration, puis sur Éditeur ADSI.
Utilisation de Ldp sur une connexion chiffrée non-SSL
Pour définir ou modifier le mot de passe d’un utilisateur AD LDS utilisant Ldp sur une connexion chiffrée non-SSL |
Ouvrez Ldp.
Dans le menu Options, cliquez sur Options de connexion.
Dans Nom d’option, cliquez sur LDAP_OPT_ENCRYPT.
Dans Valeur, tapez 1, cliquez sur Définir, puis cliquez sur Fermer.
Connectez et rattachez l’instance AD LDS, puis affichez la partition d’annuaire contenant l’utilisateur AD LDS pour lequel vous souhaitez définir un mot de passe. Pour plus d’informations, voir Utiliser Ldp.exe pour gérer une instance AD LDS.
Cliquez avec le bouton droit sur l’utilisateur AD LDS, puis cliquez sur Modifier.
Dans le champ Attribut, tapez userpassword, puis dans Valeur, indiquez un mot de passe pour le compte.
Cliquez sur Enter, puis sur Run. Le volet d’informations affiche un message similaire à celui-ci :
***Call Modify... ldap_modify_s(ld, 'CN=Mary Baker,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary Baker,O=Microsoft,C=US".
Considérations supplémentaires
-
Pour ouvrir Ldp, cliquez sur Démarrer, puis sur Exécuter, tapez ldp, puis cliquez sur OK.
-
Vous pouvez également utiliser l’Éditeur ADSI pour définir ou modifier des mots de passe : cliquez avec le bouton droit sur l’objet annuaire représentant l’entité de sécurité AD LDS dans l’Éditeur ADSI, puis cliquez sur Réinitialiser le mot de passe.
-
Par défaut, une instance AD LDS qui s’exécute sur Windows Server 2008 R2 applique automatiquement les stratégies de mot de passe locales ou de domaine qui existent. Si vous définissez un mot de passe pour un utilisateur AD LDS ne satisfaisant pas les exigences de la stratégie de mot de passe en vigueur, le compte d’utilisateur est désactivé.
-
L’utilisateur AD LDS pour lequel vous définissez ou modifiez le mot de passe doit utiliser le nouveau mot de passe lors de la prochaine connexion.
-
Cette procédure s’applique à toute classe d’objet utilisée comme entité de sécurité dans les services AD LDS (Active Directory Lightweight Directory Services). Toute classe d’objet dans les services AD LDS (Active Directory Lightweight Directory Services) peut être utilisée comme entité de sécurité, pour autant que la définition de la classe d’objet contienne la classe auxiliaire statique msDS-bindableobject et l’attribut unicodePwd.
-
Les classes d’objet user, person, inetOrgPerson et OrganizationalPerson ne sont pas disponibles par défaut dans le schéma AD LDS. Vous devez d’abord les importer.
- Vous pouvez aussi exécuter la tâche dans cette procédure en utilisant le Module Active Directory pour Windows PowerShell. Pour ouvrir le Module Active Directory, cliquez sur Démarrer, sur Outils d’administration, puis sur Module Active Directory pour Windows PowerShell. Pour plus d’informations, voir l’article consacré à la définition ou la modification du mot de passe d’un utilisateur AD LDS (
https://go.microsoft.com/fwlink/?LinkId=137818 ) (éventuellement en anglais). Pour obtenir des informations sur Windows PowerShell, voir l’article consacré à Windows PowerShellhttps://go.microsoft.com/fwlink/?LinkID=102372 (éventuellement en anglais).
Utilisation de Ldp sur une connexion SSL
Pour définir ou modifier le mot de passe d’un utilisateur AD LDS utilisant Ldp sur une connexion SSL. |
Installez un certificat de serveur sur l’ordinateur où l’instance AD LDS s’exécute, puis installez un certificat de client correspondant sur l’ordinateur à partir duquel vous administrez l’instance AD LDS.
Ouvrez Ldp.
Connectez et liez l’instance AD LDS (en sélectionnant SSL dans la boîte de dialogue Connecter) contenant l’utilisateur pour lequel vous souhaitez définir ou modifier un mot de passe. Pour plus d’informations, voir Utiliser Ldp.exe pour gérer une instance AD LDS.
Cliquez avec le bouton droit sur l’utilisateur AD LDS, puis cliquez sur Modifier.
Dans Attribut, tapez userpassword, puis dans Valeur, tapez un mot de passe pour le compte.
Cliquez sur Entrée, puis sur Exécuter. Le volet d’informations affiche un message similaire à celui-ci :
***Call Modify... ldap_modify_s(ld, 'CN=Mary Baker,OU=Beta users,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary Baker,OU=Beta users,O=Microsoft,C=US".
Considérations supplémentaires
-
Pour ouvrir Ldp, cliquez sur Démarrer, puis sur Exécuter, dans Ouvrir tapez ldp, puis cliquez sur OK.
-
L’établissement de connexions SSL nécessite la présence de certificats sur le serveur et sur les clients.
-
Par défaut, une instance AD LDS qui s’exécute sur Windows Server 2008 R2 applique automatiquement les stratégies de mot de passe locales ou de domaine qui existent. Si vous définissez un mot de passe pour un utilisateur AD LDS ne satisfaisant pas les exigences de la stratégie de mot de passe en vigueur, le compte d’utilisateur est désactivé.
-
Si l’utilisateur AD LDS est actuellement connecté, cet utilisateur doit se déconnecter pour mettre en vigueur le nouveau mot de passe.
-
Cette procédure s’applique à toute classe d’objet utilisée comme entité de sécurité dans les services AD LDS (Active Directory Lightweight Directory Services). Toute classe d’objet dans les services AD LDS (Active Directory Lightweight Directory Services) peut être utilisée comme entité de sécurité, pour autant que la définition de la classe d’objet contienne la classe auxilaire statique SecurityPrincipal et l’attribut unicodePwd.
-
Les classes d’objet user, person, inetOrgPerson et OrganizationalPerson ne sont pas disponibles par défaut dans le schéma AD LDS. Vous devez d’abord les importer. Pour plus d’informations, voir Importer les classes d’utilisateur fournies avec les services AD LDS (Active Directory Lightweight Directory Services).
Références supplémentaires
-
Utilisation de l’authentification et du contrôle d’accès
-
Présentation des groupes et des utilisateurs AD LDS
-
Utiliser l’Éditeur ADSI pour gérer une instance AD LDS
-
Utiliser Ldp.exe pour gérer une instance AD LDS
-
Importer les classes d’utilisateur fournies avec les services AD LDS (Active Directory Lightweight Directory Services)