Hello,
 
J'essaie de mettre en place une GPO basique pour mettre une limite au nombre de tentatives de login avant verrouillage (account lockout treshold donc) mais ca ne veut pas fonctionner
 
Une image valant mille paroles :
 

 
J'ai juste limité le scope à un user de test, ne voulant pas impacter tout le domaine pour le moment.
 
Et ca ne fonctionne pas, j'ai beau multiplier les faux password le compte ne se verrouille jamais, j'ai même trouvé un outil qui me donne le nombre de bad passwords et quand ca dépasse les 5 ... bah il se passe rien.
 
J'ai raté quelque chose d'évident ?
 
Merci.

Oui, les password/lockout policy sont définies pour tout le domaine dans la defautl domain policy.
Donc ta GPO elle sert à rien.
 
Si tu veux appliquer une autre politique à ton user en particulier (ou à un groupe en particulier) il faut utiliser les PSO (windows server 2008 mini)

D'accord donc c'est parce que ces settings en particulier ne peuvent être changé qu'au niveau de la default domain policy ?
Pareil pour la durée de validité du mdp ?
 
PSO ca correspond à ... ?  
 
Merci !

oui
oui (c'est la password policy ...)
 
google

Je vois, merci bcp !

Perso je préfère créer un GPO dédiée à la gestion de la configuration du mot de passe, puis la linker au niveau du domaine en modifiant la précédence, plutôt que de bidouiller la Default Domain Policy.
 
La DDP s'applique sur tout le domaine comme l'a dit Je@nB. Les PSO s'appliquent aux groups et utilisateurs. Rien ne s'applique aux OU.