Bonjour,  
bon nombre de nos utilisateurs utilisent des sessions windows génériques sur des postes partagés.  
Nous souhaitons mettre en place un système de traçabilité des connexions internet nominatif afin de se mettre en conformité avec la loi.  
Ce système de traçabilité est configuré et opérationnel à un détail près. En effet, il se base sur l'active directory. Les utilisateurs, lorsqu'ils lancent un navigateur accèdent à une page d'authentification et saisisent les informations de connexion.  
Cependant, si nous mettons dans les propriétés du compte active directory que l'utilisateur doit changer son mot de passe, l'authentification est impossible.  
 
J'avais pensé monter un serveur web IIS, afin que l'utilisateur puisse changer son mot de passe grâce à IISADMPWD mais cette fonctionnalité n'est plus disponible dans les nouvelles versions de IIS.  
 
Quelque connaîtrait-il un moyen de répondre à cette problématique ?  
 
D'avance, merci

Pourquoi ne pas tout simplement ouvrir des sessions avec leurs comptes nominatifs ?

Ce serait effectivement beaucoup plus simple, mais très difficilement réalisable dans l'organisation actuelle.  
Les postes utilisateurs sont partagés entre plusieurs personnes.  
L'utilisateur vient effectuer les opérations dont il a besoin sur un logiciel, puis quitte le poste.  
Si l'on met en place des des sessions nominatives, les utilisateurs ne fermeront pas la session en quittant le PC donc les logs ne colleront pas à la réalité.  
 
Voilà pourquoi nous avons la nécessité de mettre en place une authentification sur un portail captif avant la sortie sur internet.

Mais ce logiciel n'a pas de logs communs ? Ou de centralisation des opérations ? C'est très étrange comme fonctionnement. C'est clairement lui le cœur du problème, et le fait que vous avez construit votre infra autour ce qui n'est pas un design sain.
 
Pour moi il faudrait séparer la partie bureautique de ce logiciel. Les utilisateurs auront leur session propre pour l'accès à la messagerie/Office/Internet, et une session dédiée à ce logiciel.

Pour la connexion à ce logiciel, ils utilisent des identifiants personnels (le logiciel n'est pas lié à l'AD).  
 
Tu as totalement raison en pointant le fait que le fonctionnement actuel n'est pas très sain. C'est d'ailleurs à cause de ce design que nous sommes confrontés à ce problème.  
Techniquement, les utilisateurs pourraient disposer d'une session personnelle, le frein est surtout d'ordre culturel.
Imposer un système de sessions personnelles, c'est aller à l'échec pour plusieurs raisons:  
- levée de bouclier des utilisateurs (on perd du temps à se connecter / déconnecter à notre session windows)
- un utilisateur va se connecter à la session windows ne va pas se déconnecter donc les collègues utiliseront sa session; les logs seront inexploitables car faux.
- la direction va aller dans le sens des utilisateurs
 
Nous sommes donc malheureusement obligés de composer avec ces éléments, même si cela nous pose des problèmes d'administration.

Ah mais un frein d'ordre culturel ce n'est pas le pire des problèmes    
 
Déjà, combien de personnes travaillent sur ce logiciel ? Tout le monde ? Seulement une partie ? Auquel cas tu peux commencer par les seconds comme pilote.
 
-> On perd du temps à se déco/reco -> Quelques secondes/minutes par jour, c'est quantifiable et franchement négligeable.
 
-> Un autre utilisateur va se connecter -> A interdire via une charte informatique, et à empêcher via une simple GPO d'écran de veille
 
-> La direction va aller dans le sens des utilisateurs. La direction veut-elle se mettre hors-la-loi ? C'est déjà le cas à présent, ce sera encore pire avec la RGPD qui sera active début 2018. En cas d'audit de la CNIL vous pouvez vous manger une mise en demeure (et des procès de la part des salariés). Sensibilise là à ce propos et elle changera d'avis très vite (et cela te permettra de te couvrir).

nebulios nous avons la même problématique sur des equipements en libre service. On fait comme on peut.
 
Ledge01 :
si tu as de l'argent et du temps.
Tu peux mettre en place des badges pour chaque utilisateur relié a un instentanement  quand l'utilisateur met sa carte.
Les applications étant lancé sur des serveurs distant.
exemple regarde les solutions applidis.
 

Deux solutions:
 
1/ la session a ouvrir/fermer et les users vont sur le net et font ce qu'ils veulent, tout est enregistré et c'est ok avec la loi
 
2/ L'utilisateur vient effectuer les opérations dont il a besoin sur un logiciel, puis quitte le poste, donc à ce moment là une session générique, tout est bloqué et donc l'utilisateur ne peut aller que sur l'interface web en question et ne peut pas aller ailleurs.  
Si cette interface web est locale ou lan, pas de soucis, si elle est externe et donc sort de l'entreprise, la ce n'est plus OK avec la loi et il faut utliser la gestion des sessions.

C'est pour ça qu'il faut segmenter la problématique. Tout le monde ne travaille pas sur des équipements en libre-service, alors commençons par sécuriser ces utilisateurs-ci.

Dans les magasins and co ce genre de système est très commun

Merci pour vos réponses.  
 nebulios: A mon sens, le culturel est beaucoup plus problématique !  
Tous les utilisateurs n'utilisent pas de postes partagés. Pour ceux ayant des sessions nominatives la mise en place sera plus simple.
 
skoizer: nous n'avons pas de système de badge actuellement. Lorsque ça arrivera, il faudra que j'étudie cette solution car ça pourrait être un confort pour les utilisateurs.  
 
Un système de changement de mot de passe depuis un serveur web aurait été l'idéal compte tenu de l'organisation actuelle, mais je n'en ai pas encore trouvé.  
 
 

Oui en logistique il peut y avoir 5 ou 6 personnes différentes qui utilisent le même ordi. Effectivement les forcer à se déconnecter à chaque fois c'est impensable très honnêtement.
 
Après il faut bloquer la navigation web sur ces profils commun déjà.

Je pense que pour être en conformité, tu devras en effet imposer un log in et log on à chaque personne qui se connectera sur le poste.
Et les sensibilisés au mieux que tu peux (toi ou via leur responsable) des bonnes pratiques d'internet.
Le but étant de limiter les connexions plus ou moins anonymes des comptes génériques. On sait bien que dans la réalité, untel va utiliser la session d'untel... mais t'auras quand mm une meilleure traçabilité.
 
Si tu ne penses pas que c'est possible, la mise en place d'un proxy avec une authentification AD? Je sais que dans mon ancienne boite, malheureusement on n'avait qu'une solution ... l'utilisation d'un compte Ad générique pour le poste de travail mais par contre ils utilisaient leur propre identifiants AD pour le proxy.
Donc à chaque ouverture du browser, il était demandé une authentification.
Après je ne sais pas si tu as une option de log out automatique du browser après une inactivité.. mais c'est une piste.