Probleme de strategie de groupe

[tatoune]

J'ai une strategie de groupe fait sur des pc en local, qui empeche les utilisateurs de changer leur mot de passe, casse grissée quand on fait CTRL+ALT+SUP. <BR>Et naturellement, maintenant il faut que les utilisateurs puissent changer leur mot de passe, <BR>1 pb ils ne sont administrateur de leur poste. <BR>2 pb Une strategie de domain ne peut pas s'appliquer car la strategie local pends le pas sur la strategie du domain. <BR> <BR>solution ; il faut essayer d'executer un vbs ou bat qui supprime la cle de registre ( ca je l'ai), mais il faut executer ce logiciel en tant qu'admin, quand on a 10 postes ca va . <BR> <BR>mais j'ai a peu pres 2000 postes !!, j'ai essaye superexec ou remotexec, et tout cela c pas bon. <BR> <BR>Si quelqu'un a eu ce probleme ou a une idée merveilleuse, je suis preneur. <BR> <BR>Merci Beaucoup !!

[Athanase]

Une question: pourquoi interdir aux utilisateurs de changer de mot de passe? <BR> <BR>Je ne vois pas de problèmes particuliers de sécurité avec ça. Je dirais même que dans la politique de groupe, tu devrais imposer des changements régulier avec une politique stricte d'expiration des mots de passe et de complexité de ceux-ci. <BR> <BR>Maintenant, si tu as peur des keyloggers, je ne vois pas en quoi interdir les changements de mots de passe va te protéger, il est déjà trop tard. En plus, la politique de groupe peut imposer aux utilisateur de faire la combinaison de touche "ctrl-alt-suppr" pour se connecter afin d'éviter l'utilisation de fauses banières d'authentification. <BR> <BR>Là en tout ca, il faut que tu m'explique. <BR> <BR>Et puis au pire, si tu as imposé une politique d'expiration des mots de passe, le système proposera automatiquement aux utilisateur de changer de mot de passe en temps voulu et cela se fait par une fenêtre de dialogue dédiée (peut-être ta solution).

[tatoune]

ALors tu rentres dans une politique avec la quelle je suis d'accord, mais je dois d'expliquer le pourquoi. <BR> <BR>Je suis nouveau administarteur de cette société et avant, il ne voulait absolument pas que les utlisateurs changent de mots de passe, et depuis que je suis arrivé, nous avons parlé de sécurité et naturellemnt de chnagement de mots de passe, donc pour rester dans leur strategie,je leur ai montré que lorsque on leur demandé de changer de mot de passe automatiquement tous les X mois, ça ya pas de problème, mais quelques personnes ont souhaitées que le sutilisateurs puissent changer leur mot de passe, donc contradiction avec leur ancienne politique. <BR> <BR>Mais bon faut faire avec !! <BR> <BR>Donc voila mon soucis, alors la prmiere solution est de se connecter sur les postes et de changer cette strategie, mais 2000 postes, je penses que c'est du temps perdu. <BR> <BR> <BR>Voila j'espere que j'ai bien expliqué.

[Fesch]

Regarde "psexec" de SysInternals. J'ai travailler avec ce programme pour divers mise à jours locales ... bien que uniquement sur 50 PC, mais le principe reste le même ...

[kerozene]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-12-18 12:01, tatoune a écrit: <BR>J'ai une strategie de groupe fait sur des pc en local, qui empeche les utilisateurs de changer leur mot de passe, casse grissée quand on fait CTRL+ALT+SUP. <BR>Et naturellement, maintenant il faut que les utilisateurs puissent changer leur mot de passe, <BR>1 pb ils ne sont administrateur de leur poste. <BR>2 pb Une strategie de domain ne peut pas s'appliquer car la strategie local pends le pas sur la strategie du domain. <BR> <BR>solution ; il faut essayer d'executer un vbs ou bat qui supprime la cle de registre ( ca je l'ai), mais il faut executer ce logiciel en tant qu'admin, quand on a 10 postes ca va . <BR> <BR>mais j'ai a peu pres 2000 postes !!, j'ai essaye superexec ou remotexec, et tout cela c pas bon. <BR> <BR>Si quelqu'un a eu ce probleme ou a une idée merveilleuse, je suis preneur. <BR> <BR>Merci Beaucoup !! <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Oulà... t'es bien sûr de ca que la stratégie locale est prioritaire sur la stratégie de domaine ???? Je veut bien être d'accord avec le fait aque M$ fait souvent des $%#&! mais celle là il est certain qu'il ne l'ont pas fait. <BR> <BR>L'ordre d'application des stratégies (GPO : Group Policy Object) est le suivant : <BR> <BR>1) GPO Locale <BR>2) GPO de Site <BR>3) GPO de Domaine <BR>4) GPO d'UO <BR> <BR>Les paramètres de Domaine écrasent donc les locaux <!-- BBCode Start --><B>à partir du moment ou ils sont définis</B><!-- BBCode End --> <BR> <BR>Il existe un certain nombre d'exceptions à cet ordre de traitement : <BR>1- un PC membre d'un groupe de travail ne traite que la GPO Locale <BR>2- L'option "Ne pas passer outre" pemet d'imposer un certain nombre de paramètres <BR>3- Bloquer l'héritage des stratégies permet d'empécher que les paramètres d'un conteneur parents soient appliqués. <BR> <BR>Petit rappel concernant les interdictions : elles sont prioritaires sur un "non défini". <BR> <BR>espérant que cela t'aide... <BR> <BR>++ <BR> <BR>Kero

[tatoune]

Merci fesch je vais essayer on petit programme. <BR> <BR>Je suis d'accord avec toi kerozene, mais je t'assure que la strategie locale du pc n'est pas touche dans notre cas par la strategie du domain, et en plus dans la strategie du domain tu n'as pas la possibilite de forcer l'apparition du bouton chnager de mot de passe, tu n'as cette possibilité que dans la strategie local du pc. <BR> <BR>Et bloquer l'héritage dans mon cas ne me sert pas vu que je suis tout en bas, et ce bloquer la strategie du pc et pas celles qui viennent dans haut. <BR> <BR>C un peu confus, mais on si comprends. <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif">