Bonjour,
 
Est il possible de régler sur un poste client une date de fin de validité d'un login mais en mode déconnecté ?
 
Je m'explique, Lorsqu'un client est connecté au AD, il existe une date de fin de validité à partir duquel le Login/Passwd est inopérationnel. A partir de là, il y 2 solutions :
 
    - permettre le changement du mot de passe
    - le compte est bloqué, il ne sera plus possible pour le client de se logguer
 
Maintenant, lorsque le client est un ordinateur portable et que celui ci peut être utilisé sans être connecté au réseau, le login/mdp se fait via un cache qui s'est synchronisé avec la dernier login fait en mode connecté.
Est il possible également de synchroniser la date de fin de validité pour le cache, c'est à dire qu'une fois la date dépassé, le client ne pourra pas se logguer sur son ordinateur meme en mode déconnecté ?
 
Je vous remercie d'avance pour la réponse,
 
PS : si vous connaissez un outil permettant de lire le cache, ou mieu ou est son emplacemenet, celà m'interesserait

On ne peut pas limiter en durée la validité de ce cache, mais on peut par contre le limiter en nombre d'utilisation maxi des identifiants en cache, on trouve se parametre dans les GPO. Sous 2000 c'etait d'ailleurs limité a 10 par défaut.

Les infos de cache sont stockées dans le registre, dans HKLM/SECURITY/Cache, ce qui par défaut n'est meme pas accessible meme aux admins de la machine (mais ils peuvent modifier les ACL pour se faire), et les infos qu'on y trouve n'y sont evidemment pas en clair, la protection des mdp en cache est meme d'ailleurs meilleur que celui des comptes locaux dans la SAM.

Y'a des outils qui existent pour dumper le contenu de ce cache (et voir en clair les logins et les hashes des passwords), qu'on peut lier a des outils de crack des mdp windows bien connu pour tenter de retrouver les mdp correspondant aux hashes, ce qui n'a d'interet que pour faire un audit extremement poussé de la sécu des mdp des comptes windows de son réseau ou pour des raisons à la légitimité et/ou légalité douteuse.

Tout d'abord merci pour ta réponse, c'est exactement les informations qu'il me fallait.
Etant donné que tu m'as l'air bien calé sur le sujet, je t'en pose une autre    
 
Maintenant, je souhaite faire du login via des cartes à puces (j'utilise une solution ActivIdentity). Sais tu ou se trouve les caches des certificats? ( ceci n'est qu'une supposition, mais je pense que les certificats de la carte qui permettent l'authentification sont aussi mis en cache pour travailler en mode déconnecté, n'est ce pas ? )
 
Alors là, si tu connais là réponse, je saute de joie  

Je ne connais pas ta solution, donc je ne sais pas si elle s'appuie sur ce que sait déjà faire Windows et l'AD nativement ou si elle utilise un systeme différent, mais chez MS en cas de login offline dans un environnement avec smartcards seule la vérification des identifiants en cache est quand meme utilisée, y'a pas d'utilisation des certificats.

D'accord, tu utilises donc du SmartCard Logon.
 
En effet, ma solution utilise une autre méthode en utilisant des certificats stockés sur la carte.
 
Merci quand meme pour ton aide, ca m'a été d'un grand secours.

 
Pas dans ma boite actuelle non, mais je connais a peu pres le sujet.
 

 
C'est le principe des smartcards oui, ce que je voulais dire c'est que c'est uniquement quand tu te connectes offline qu'il n'y a pas de vérifs des certificats de la smartcard, en online c'est bien sur utilisé, sinon le systeme ne sert au final pas a grand chose

Oui, bien entendu  
 
Mais c'est en mode offline que je ne comprend pas le fonctionnement, comment se passe la vérification avec la smartcard ? (Il faut bien allez vérifier des identifiants ou une preuve de ton identité, si ce ne sont pas des certificats, il s'agit de quoi ? Dans mon cas, ce sont les certificats qui sont mis en cache et donc vérifiés.)
 
Encore merci pour tes réponses