Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1867 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Logiciels d'entreprise

  Self Service déverrouillage compte / réinitialisation mot de passe AD

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Self Service déverrouillage compte / réinitialisation mot de passe AD

n°142929
ArthurB
Posté le 25-10-2016 à 15:35:08  profilanswer
 

:hello:  
 
Bon je suis usé des appels concernant des comptes AD verrouillés.
 
Qu'utilisez-vous comme solution permettant à vos utilisateurs de réinitialiser eux-mêmes leurs mots de passe ?
Il faut que soit simple et en français :whistle:
Et fiable, pas que cela ne génère plus d'appels encore.
 
 :jap:
 
Edit : Il faut que l'utilisateur puisse déverrouiller son compte sans changer son mot de passe obligatoirement.

Message cité 1 fois
Message édité par ArthurB le 28-10-2016 à 11:44:09
mood
Publicité
Posté le 25-10-2016 à 15:35:08  profilanswer
 

n°142930
nex84
Dura lex, sed lex
Posté le 25-10-2016 à 15:45:57  profilanswer
 

Je ne suis pas certain que ce soit top en terme de sécurité.
Comment comptes-tu controler l'identité de l'utilisateur qui fait une demande de réinitialisation ?


---------------
Come to the Dark Side, we have cookies.
n°142932
ArthurB
Posté le 25-10-2016 à 15:52:59  profilanswer
 

Je suppose qu'il y a des questions personnelles avant d'accéder à la réinit. en elle-même.

n°142935
Wolfman
Modérateur
Lobo'tomizado
Posté le 25-10-2016 à 16:43:01  profilanswer
 

Citrix proposait ça il y a quelques années avec son produit Password Manager (c'était évidemment une petite fonctionnalité à côté de l'authentification unique des applis). Mais je ne sais pas si ça existe encore.

n°142937
npuel
Posté le 25-10-2016 à 16:48:29  profilanswer
 

"Password Manager" aussi, avec la version anciennement de chez Quest puis de chez Dell, puis bientôt re-Quest (!).

n°142941
skoizer
tripoux et tête de veau
Posté le 25-10-2016 à 17:23:58  profilanswer
 

ArthurB tu peux mettre le deveroulliage apres 10mn via GPO.
 
Sinon tu met le même mot de passe partout ;)
a bas la sécurité et les appels téléphonique ! (demain je m'inscrit a pole emploi ça c'est sur :)


---------------
Plus tu essaies de rentrer dans le moule, plus tu ressembles à une tarte.
n°142944
ArthurB
Posté le 25-10-2016 à 18:21:45  profilanswer
 

Bon à priori, y a des solutions chez Specops, Netwrix, Quest... Faut que je creuse et voir si ça existe en français (au moins pour l'interface utilisateur).
 
@Wolfman, effectivement ça me parle.
 
@npuel, oui à voir.
 
@skoizer, oui mais mes users sont impatients et appellent bien souvent avant de réfléchir ou de lire ce qui est indiqué à l'écran.
Sinon pour ta seconde proposition, je doute que ça plaise au relais de mail qui fait office de manager... :whistle:

n°142946
Je@nb
Modérateur
In ze cloud
Posté le 25-10-2016 à 20:44:24  profilanswer
 

Nous on utilise ça https://anixis.com/products/apr/default.htm (30 000 comptes)
Je déploie chez pas mal de clients MIM 2016 qui a ce module (mais c'est cher MIM) ou sinon si le client a Azure AD Premium (rare car cher) on peut le faire aussi

n°142947
ArthurB
Posté le 25-10-2016 à 21:06:04  profilanswer
 

Merci Je@nb, dans 99% des cas chez moi, c'est pour utiliser depuis l'écran de logon Windows car je vois qu'il y a beaucoup de possibilité (web (comment faire si l'utilisateur n'a qu'un device et que son compte est verrouillé ?), tablet, smartphone) et cette phase d'enrollment préalable :/

n°142948
nebulios
Posté le 25-10-2016 à 23:39:21  profilanswer
 

Tu peux aussi utiliser autre chose que des mots de passe (biométrie, cartes à puce...)

mood
Publicité
Posté le 25-10-2016 à 23:39:21  profilanswer
 

n°142949
Je@nb
Modérateur
In ze cloud
Posté le 25-10-2016 à 23:59:21  profilanswer
 

depuis l'écran de login mim le fait mais ouais sinon nous on le fait depuis le pc d'un collegue ou depuis un smartphone

n°142950
ArthurB
Posté le 26-10-2016 à 08:06:51  profilanswer
 

@nebulios, oui mais l'investissement n'est pas le même.
 
Ici, c'est plus pour notre équipe parce que finalement les managers, comme d'habitude, c'est pas eux qui sont emm*rdés.  
Et donc à mon humble avis faudra pas que ça coûte trop cher si je veux que ça se fasse.
Je peux leur vendre que ça fera baisser le nombre d'appels au help desk mais c'est pas leur problème.
Cependant qui dit moins d'appels dit aussi plus de temps pour nous, équipe IT, de faire autre chose.


Message édité par ArthurB le 26-10-2016 à 08:07:17
n°142951
ArthurB
Posté le 26-10-2016 à 08:38:02  profilanswer
 

Le SSRPM de base de Tools4ever semble pas mal aussi... Mais toujours ce petit bout de soft à installer côté client :/
Finalement non, pas de déverrouillage de compte.


Message édité par ArthurB le 26-10-2016 à 09:29:31
n°142983
sticky-fin​gers
Posté le 27-10-2016 à 13:12:06  profilanswer
 

ArthurB a écrit :

:hello:  
 
Bon je suis usé des appels concernant des comptes AD verrouillés.
 
Qu'utilisez-vous comme solution permettant à vos utilisateurs de réinitialiser eux-mêmes leurs mots de passe ?
Il faut que soit simple et en français :whistle:
Et fiable, pas que cela ne génère plus d'appels encore.
 
 :jap:


 
Et cet outil libre ?

n°142984
ArthurB
Posté le 27-10-2016 à 13:26:33  profilanswer
 

Merci sticky-fingers, mais il faut aussi que l'outil permette à l'utilisateur de déverrouiller son compte AD.
D'ailleurs je me demande si je ne vais pas positionner le duration lockout à 1 minute :whistle:

Message cité 1 fois
Message édité par ArthurB le 27-10-2016 à 13:27:36
n°142993
bardiel
Debian powa !
Posté le 28-10-2016 à 10:24:33  profilanswer
 

Quand je vois les outils comme LDAP Tool Box (qui prend en charge l'AD, qui est un LDAP à la base :o ), c'est pas mal mais ça suppose déjà un certain nombre de trucs à mettre en place :

Citation :

l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS.


Déjà pour le courriel, si tu as une boîte où c'est un AD qui gère avec le même mot de passe l'ouverture de session et la messagerie, forcément si tu l'as perdu bah [:the geddons]  
De nombreux utilisateurs de VPN, où il y a déjà des questions/réponses... oublient purement et simplement les questions qu'ils ont choisis ! D'un pratique :o
Pour l'envoi d'un SMS, il faut au préalable ajouter un numéro de téléphone. Si tu as un téléphone pro, pas de soucis. Mais un perso... beaucoup d'utilisateurs sont récalcitrants (et c'est normal) de donner leur numéro perso. Néanmoins cette partie est intéressante, je vais le faire remonter aux dévs de la solution interne chez nous.
 
Après il y a un autre moyen, peu utilisé malheureusement : une bête carte à puce.
Tu perds ton MDP ? Tu utilises ta carte pro pour ouvrir ta session, et de là tu peux réinitialiser ton MDP car tu es sur ta session :D
 
Au niveau interne à ma boîte, on a un truc équivalent, pour pouvoir faire la même chose pour ceux qui n'ont pas de session Windows (de moins en moins de personnes), mais passent quand même par la hotline car leur mot de passe est expiré... et ne peuvent pas en changer !
 
Si vous recevez des appels par contre, vous faîtes comment pour savoir qui vous appelle ? Suivant les hotlines chez nous, c'est un scan de la carte pro (envoyé depuis la BAL d'un collègue), ou le chef de service qui appelle. Ou on déverrouille juste sans changer le MDP.


---------------
Achievement unlocked : double TT pour avoir dénoncer un floodeur impoli sur le topic "Discussion avec la modération" de la cat' OS Alternatif
n°142995
sticky-fin​gers
Posté le 28-10-2016 à 11:07:45  profilanswer
 

ArthurB a écrit :

Merci sticky-fingers, mais il faut aussi que l'outil permette à l'utilisateur de déverrouiller son compte AD.
D'ailleurs je me demande si je ne vais pas positionner le duration lockout à 1 minute :whistle:


 
Ben c'est ce que propose cet outil  :pt1cable:

n°142996
ArthurB
Posté le 28-10-2016 à 11:11:29  profilanswer
 

sticky-fingers, j'ai peut-être lu en travers mais je n'ai pas vu de possibilité de déverrouiller son compte... Juste changer son mot de passe.
:??:

n°142999
ArthurB
Posté le 28-10-2016 à 11:20:33  profilanswer
 

bardiel a écrit :

Quand je vois les outils comme LDAP Tool Box (qui prend en charge l'AD, qui est un LDAP à la base :o ), c'est pas mal mais ça suppose déjà un certain nombre de trucs à mettre en place :

Citation :

l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS.


Déjà pour le courriel, si tu as une boîte où c'est un AD qui gère avec le même mot de passe l'ouverture de session et la messagerie, forcément si tu l'as perdu bah [:the geddons]  
De nombreux utilisateurs de VPN, où il y a déjà des questions/réponses... oublient purement et simplement les questions qu'ils ont choisis ! D'un pratique :o
Pour l'envoi d'un SMS, il faut au préalable ajouter un numéro de téléphone. Si tu as un téléphone pro, pas de soucis. Mais un perso... beaucoup d'utilisateurs sont récalcitrants (et c'est normal) de donner leur numéro perso. Néanmoins cette partie est intéressante, je vais le faire remonter aux dévs de la solution interne chez nous.
 
Après il y a un autre moyen, peu utilisé malheureusement : une bête carte à puce.
Tu perds ton MDP ? Tu utilises ta carte pro pour ouvrir ta session, et de là tu peux réinitialiser ton MDP car tu es sur ta session :D
 
Au niveau interne à ma boîte, on a un truc équivalent, pour pouvoir faire la même chose pour ceux qui n'ont pas de session Windows (de moins en moins de personnes), mais passent quand même par la hotline car leur mot de passe est expiré... et ne peuvent pas en changer !
 
Si vous recevez des appels par contre, vous faîtes comment pour savoir qui vous appelle ? Suivant les hotlines chez nous, c'est un scan de la carte pro (envoyé depuis la BAL d'un collègue), ou le chef de service qui appelle. Ou on déverrouille juste sans changer le MDP.


 
Bardiel, oui c'est un AD qui gère le compte Windows/BAL Exchange.
 
Donc nécessité de pouvoir déverrouiller depuis l'écran de logon. Mais je ne sais pas ce qu'il advient avec les mises à jours Windows, peut-être que cette modif de gina peut être écrasée par une quelconque mise à jour ?
La majorité des utilisateurs n'a qu'un device (PC sous Windows). Pour les autres c'est d'ailleurs un beau b*rdel quand ils doivent modifier le mot de passe de leur compte Exchange activesync sur leurs smartphones/tablettes Android/iOS...
 
Les cartes à puces, je ne sais pas comment cela fonctionne, de toute façon ils sont capables de la perdre ou de l'avoir oublié chez eux... :whistle:
 
Pour les appelants, on les reconnait et le N° d'appel s'affiche sur nos téléphones. Pas encore de cas de reverse engineering. Ils ont de toute façon des droits restreints.

n°143000
sticky-fin​gers
Posté le 28-10-2016 à 11:22:05  profilanswer
 

Citation :

You can tune some options:
 
Force unlock: will unlock a locked account when password is changed


Message édité par sticky-fingers le 28-10-2016 à 11:22:17
n°143001
ArthurB
Posté le 28-10-2016 à 11:24:41  profilanswer
 

"when password is changed".
 
Je ne veux pas changer le mot de passe nécessairement.

n°143002
sticky-fin​gers
Posté le 28-10-2016 à 11:33:39  profilanswer
 

Le postulat de départ c'était "Qu'utilisez-vous comme solution permettant à vos utilisateurs de réinitialiser eux-mêmes leurs mots de passe ? "

n°143004
ArthurB
Posté le 28-10-2016 à 11:42:09  profilanswer
 

C'est vrai, le titre du topic est finalement plus complet...

n°143006
bardiel
Debian powa !
Posté le 28-10-2016 à 14:41:44  profilanswer
 

Citation :

Pour les autres c'est d'ailleurs un beau b*rdel quand ils doivent modifier le mot de passe de leur compte Exchange activesync sur leurs smartphones/tablettes Android/iOS...


Si tu n'as pas d'outil maison, celui de sticky-fingers peut servir à ça [:spamatounet]  
 
Pour le déverrouillage du compte après X essais, passer le lockout à 10 minutes.
Pour le changement du mot du passe, un outil comme celui de stick-fingers.
 
Sachant que de toutes façons :

Citation :

Les cartes à puces, je ne sais pas comment cela fonctionne, de toute façon ils sont capables de la perdre ou de l'avoir oublié chez eux...


ça sera ça aussi pour les questions de réinitialisation, pour le SMS il faudra que l'utilisateur pense à renseigner le numéro avant (et le mettre à jour !), Tu ne veux pas mettre en place une solution autre d'authentification (biométrie/carte à puce), à un moment l'utilisateur il t’appellera quand même [:spamatounet]


---------------
Achievement unlocked : double TT pour avoir dénoncer un floodeur impoli sur le topic "Discussion avec la modération" de la cat' OS Alternatif
n°143008
ArthurB
Posté le 28-10-2016 à 14:55:05  profilanswer
 

bardiel a écrit :

Citation :

Pour les autres c'est d'ailleurs un beau b*rdel quand ils doivent modifier le mot de passe de leur compte Exchange activesync sur leurs smartphones/tablettes Android/iOS...


Si tu n'as pas d'outil maison, celui de sticky-fingers peut servir à ça [:spamatounet]  
 
Pour le déverrouillage du compte après X essais, passer le lockout à 10 minutes.
Pour le changement du mot du passe, un outil comme celui de stick-fingers.
 
Sachant que de toutes façons :

Citation :

Les cartes à puces, je ne sais pas comment cela fonctionne, de toute façon ils sont capables de la perdre ou de l'avoir oublié chez eux...


ça sera ça aussi pour les questions de réinitialisation, pour le SMS il faudra que l'utilisateur pense à renseigner le numéro avant (et le mettre à jour !), Tu ne veux pas mettre en place une solution autre d'authentification (biométrie/carte à puce), à un moment l'utilisateur il t’appellera quand même [:spamatounet]


 
Je ne pense pas puisque sur ces devices, il faut modifier le mot de passe dans les propriétés du compte Exchange activesync directement sur le device en question. L'outil de sticky-fingers n'y peut rien.
 
Oui, comme dit plus haut, je pense réduire le duration lockout qui est pour le moment à 30 minutes.
 
Pour les méthodes alternatives d'authentification, comme je le disais, je ne sais pas comment cela fonctionne réellement mais il faudra de toute façon un lecteur de carte sur chaque PC si carte à puce ou autre pour de la biométrie.  
Donc un coût financier. Et donc, je ne suis pas certain que cela plaise aux managers, l'idée était ici d'avoir quelque chose de simple, léger pour simplifier et alléger la charge de notre hotline.
Pour le SMS, à oublier, les utilisateurs ne donneront pas tous leur N° perso, et ils auront raison amha.

n°143009
bardiel
Debian powa !
Posté le 28-10-2016 à 15:25:05  profilanswer
 

Citation :

Je ne pense pas puisque sur ces devices, il faut modifier le mot de passe dans les propriétés du compte Exchange activesync directement sur le device en question. L'outil de sticky-fingers n'y peut rien.


Bah forcément, t'as déjà vu un Android qui arrivait à suivre ton mot de passe de ta messagerie ? :lol:  
Tu changes ton MDP sur ton compte GMail sur PC, il faudra le changer aussi sur ton téléphone/tablette hein, ça ne se propage pas.


---------------
Achievement unlocked : double TT pour avoir dénoncer un floodeur impoli sur le topic "Discussion avec la modération" de la cat' OS Alternatif
n°143011
ArthurB
Posté le 28-10-2016 à 15:41:44  profilanswer
 

Non bien sûr, c'était pour répondre à ta première citation.

n°143013
bardiel
Debian powa !
Posté le 28-10-2016 à 15:44:41  profilanswer
 

Bah s'ils peuvent changer leur MDP via une interface web, c'est quoi le soucis ?


---------------
Achievement unlocked : double TT pour avoir dénoncer un floodeur impoli sur le topic "Discussion avec la modération" de la cat' OS Alternatif
n°143014
ArthurB
Posté le 28-10-2016 à 16:01:09  profilanswer
 

De se connecter avec un compte verrouillé sur ladite interface Web.

n°143021
bardiel
Debian powa !
Posté le 28-10-2016 à 19:10:05  profilanswer
 

D'où mettre le lockout à 10 minutes [:spamatounet]


---------------
Achievement unlocked : double TT pour avoir dénoncer un floodeur impoli sur le topic "Discussion avec la modération" de la cat' OS Alternatif
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Logiciels d'entreprise

  Self Service déverrouillage compte / réinitialisation mot de passe AD

 

Sujets relatifs
ordinateur passe en mode récupération sans raisonService pour envoyer des emails avec suivi de ceux ci
Nagios : Crash du service à cause de downtime.hActive directory - impossible de supprimer un rodc crashé
Suite Sysprep → Échec de l'ouverture de session par le service...VPN logiciel permanent Win serveur 2012 (as a service ?)
LDAP ou Active DirectoryDifficultés quand UAC (User Account Control) activé sur un parc
Plus de sujets relatifs à : Self Service déverrouillage compte / réinitialisation mot de passe AD



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR