Hello,

Petite question car je n'arrive pas à faire ce que je veux.

Au niveau des GPO j'ai la Default Domain Policy qui dit que les mots de passe n'expirent jamais.
J'aimerais cependant que les mots de passe expirent pour des utilisateurs se trouvant dans une OU particulière.
J'ai donc créé une GPO liée à l'OU concernée où je mets que le mot de passe doit expirer sous X jours mais lors d'un net user USERNAME /domain je vois toujours que le mot de passe n'expire pas.

Est-il possible de mettre en place que je souhaite faire ?

Merci !

Oui, il te faut créer des PSO (arrivés avec 2008 R2), qui viendront compléter le mot de passe configuré par la Default Domain Policy. Par contre de mémoire ils ne s'appliquent qu'à des utilisateurs ou des groupes, pas à des OU.

Merci pour l'info !
Je l'ai appliqué à un groupe, pas de soucis pour ça.
 
Par contre le net user USERNAME /domain m'indique encore qu'il n'expire jamais... je comprends pas, même après n logoff / logon.

net user c'est une commande qui à 20 ans, il faut éviter de l'utiliser. Regarde plutôt avec get-aduser ou get-adobject
 
Et regarde si tes GPO sont bien appliquées. Lance un gpresult /h

Hummm, le résultat est le même.
Du coup je me demande, la GPO default domain policy fonctionne en même temps que la PSO ou du coup c'est soit l'un soit l'autre mais pas les 2 en même temps ? Je ne vois que cette explication pour l'instant.

Si les deux vont s'appliquer, c'est justement tout l'intérêt des PSO. Tu ne peux avoir qu'une seule stratégie de mot de passe par domaine, c'est une limitation de la base AD.

https://docs.microsoft.com/en-us/po [...] w=win10-ps est là pour toi
 
Je ne dirai rien sur la default password policy mais j'en pense pas moins

Qu'est-ce qu'elle t'a fait cette malheureuse ?

Bah la default policy avec les mots de passe qui expirent pas, c'est juste dégueulasse

Une vieille habitude, mais a priori, pas forcement tres utile au contraire
 
 
https://www.zdnet.fr/actualites/exp [...] 885713.htm

si ca ne tenait qu'a moi, je supprimerai l'expiration des mots de passe dans ma boite, ca ne genere que des problèmes.
Mais bon, comme ca fait parti des cases a cocher lors des audits externes, je suis bien obligé de le laisser en place

C’est dans un environnement Citrix pour nos clients (qui passent par un netscaler, storefront, etc..) une fois que le mdp était expiré bah trop tard pour eux ils ne pouvaient plus se connecter du coup ça nous générait des tickets à gogo. On a bien sur les mdp complexes qui sont en place.  
Mais là j’ai un client qui souhaite l’expiration de ses mdp d’où ma question initiale. Faut que je creuse car pas fonctionnel même si la PSO est bien configurée.

Tu peux faire du SSPR dans storefront aussi ^^
 
Si la PSO est bien configurée c'est que tu l'appliques pas aux bonnes personnes/groupes
Tu utilises bien AD Admin center pour la créer/appliquer ?

Laisser les mots de passe des comptes ordinateur/de service/admin sans expiration c'est une très très mauvaise idée.

Tout dépend de la politique de mot de passe.

Non

Effectivement trés mauvaise idée après c'est la responsabilité de la direction IT (mais tu dois leur expliquer les risques)  
 
Pour ton problème d'application GPO, la default domain policy est surement prioritaire sur ta nouvelle GPO.
La default domain policy est en mode "enforced" ? (Clique droit sur la gpo pour savoir)  
 
Il faut aussi que pour chaque objet utilisateur dans l'AD l'option suivante soit décoché : "password never expired"

Non, pas pour ces comptes là.

 
Tout dépend du contexte, du client, de ce qui est exposé, des comptes, de leur manière d'être utilisé, etc...
Mais bon comme d'hab ici c'est soir noir soit blanc ^^.

non tout n'est pas soit noir soit blanc mais donne moi un exemple où un compte machine ne doit pas être mis à jour ?

Je ne parle pas de compte machine mais de compte utilisateur.

Bah relis les messages où tu réponds ...