Code : MO-AD-003 | Version : 1.0 | Date : 31 mars 2026 | Auteur : C. Legrand
¶ Resultat attendu : Windows2016Domain ou superieur
¶ Objet
Ce mode operatoire decrit la creation et la gestion de politiques de mots de passe differenciees (Fine-Grained Password Policies, FGPP) dans le domaine Active Directory bts.sio. Les FGPP appliquent des exigences proportionnelles au niveau de privilege, conformement au modele ANSSI d'administration en tiers (2023).
¶ Architecture deployee
| FGPP | Groupes | Min. chars | Lockout | Expiration | Precedence |
|---|---|---|---|---|---|
| FGPP-Admins | Admins du domaine (4) | 16 | 5 / 60 min | 90 j | 10 |
| FGPP-Staff | GGPROFS (9 profs) | 12 | 10 / 30 min | 180 j | 20 |
| FGPP-Etudiants | GGPromoSio1 (34) + GGPromoSio2 (23) | 10 | 10 / 15 min | 365 j | 30 |
¶ Procedure
¶ 1. Verifier le niveau fonctionnel
(Get-ADDomain).DomainMode
# Resultat attendu : Windows2016Domain ou superieur
¶ 2. Creer une FGPP
New-ADFineGrainedPasswordPolicy -Name "FGPP-Admins" `
-Precedence 10 -MinPasswordLength 16 `
-PasswordHistoryCount 24 -ComplexityEnabled $true `
-MaxPasswordAge "90.00:00:00" -MinPasswordAge "1.00:00:00" `
-LockoutThreshold 5 -LockoutDuration "01:00:00" `
-LockoutObservationWindow "01:00:00" `
-ReversibleEncryptionEnabled $false
¶ 3. Assigner a un groupe
Add-ADFineGrainedPasswordPolicySubject -Identity "FGPP-Admins" `
-Subjects "Admins du domaine"
¶ 4. Verifier les FGPP deployees
Get-ADFineGrainedPasswordPolicy -Filter * |
Format-List Name, Precedence, MinPasswordLength,
LockoutThreshold, MaxPasswordAge, AppliesTo
¶ 5. Verifier la politique resultante
Get-ADUserResultantPasswordPolicy -Identity "clegrand"
# Doit retourner FGPP-Admins (MinLen=16)
¶ Modification et suppression
# Modifier un parametre
Set-ADFineGrainedPasswordPolicy -Identity "FGPP-Admins" -LockoutThreshold 3
# Retirer un groupe
Remove-ADFineGrainedPasswordPolicySubject -Identity "FGPP-Admins" `
-Subjects "Admins du domaine" -Confirm:$false
# Supprimer une FGPP
Remove-ADFineGrainedPasswordPolicy -Identity "FGPP-Admins" -Confirm:$false
¶ References
- ANSSI -- Administration securisee des SI -- Modele en tiers (2023)
- ANSSI -- Guide d'hygiene informatique, mesure 10 (2017)
- CIS -- Microsoft Windows Server 2019 Benchmark, section 1.1 (2024)
- Audit BTS SIO -- Constats F-AD-003, F-AD-004 / Recommandations R-011, R-012
¶ Voir aussi
- MO-AD-007 — Audit périodique AD — vérification régulière des FGPP
- MO-AD-008 — Rotation MDP critiques — comptes de service soumis aux FGPP
- MO-AD-010 — Gestion du groupe Protected Users — restrictions complémentaires aux FGPP