Hello,
 
Sur un domaine AD, qui dispose d'une policy pour les passwords (complexité, historique...), les utilisateurs changent tous leurs password en même temps pour pouvoir facilement utiliser le poste de leurs collègues lorsqu'ils sont absents. Donc la policy est respectée mais tous les utilisateurs se retrouvent quand même avec le même password.
 
Savez-vous s'il est possible sur un domaine AD d'empêcher plusieurs utilisateurs d'avoir le même password?
 
Merci.

Je ne pense pas.

Ils sont pas cons tes utilisateurs dis-donc, j'avais encore jamais entendu ça .

Ils sont carrément tordus.
 
Tu peux les empêcher de changer de mot de passe de façon prématurée, mais s'ils se mettent d'accord entre eux sur un même mot de passe...tu as quel niveau de domaine AD ?

Je suis en niveau fonctionnel 2003.
 
Et effectivement ils se mettent d'accord, ils mettent carrément une affiche dans l'openspace avec le nouveau mot de passe à mettre tous les 3 mois.

Tu mets un affiche en dessous "toute personne utilisant ce mot de passe sera invité à le changer à la prochaine ouverture de session" (et là tu testes si les sessions peuvent s'ouvrir avec ce mot de passe et tu le reset).

Après faudrait voir les hash des mots de passes, si ils sont pareil c'est que le même mot de passe est utilisé. A partir de là tu identifies les personnes.

Tu indiques aussi que leur compte est nominatif, que leur responsabilité est engagée en cas d'utilisation frauduleuse de leur compte.

Il faut aussi que tu trouves les causes qui ont fait qu'ils fonctionnent comme ça et que tu apportes des solutions au problème initial (si par ex c'est parce que en vacances l'user B a besoin d'accéder aux fichiers du user A, il faut que sur le pc il y ait u nespace commun par exemple, si c'est sur des BAL il faut pouvoir mettre des délégations de BAL par exemple)

Ton problème est pas un problème technique, c'est un problème d'encadrement... Il faut sensibiliser à la sécurité et interdire l'affichage du mot de passe en clair sur une affiche pour commencer...
Comme dit Je@nb, travaille en amont sur les besoins qui ont créé ces pratiques...

Je sais bien, malheureusement je suis juste admin et le DSI s'en fou, les utilisateurs ont tous les droits. Avant la password policy était simplement de minimum 2 caractères, aucune autre restriction.

Combien de personnes ? Quel domaine d'activité ? Etes vous soumis à des lois obligeant d'auditer un minimal ?

Hum sinon, tu dois pouvoir faire plusieurs UO , répartir tes users dedans et donc mettre une policy différente, ce qui obligerait au moins une partie des users à ne pas avoir le même password... mais bon ça les empechera pas de faire 2, 3 ou 4 affichettes

Ca marche pas comme ça les policy de password malheuresement

Sur un AD 2003, la stratégie de mot de passe est unique sur le domaine. Le seul param sur lequel tu peux jouer c'est l'expiration ou non du mot de passe directement sur les comptes.
J'ai entendu dire qu'en version 2008 ça changeait mais c'est à confirmer j'en ai pas encore eu sous la main.

Oui mais c'est assez contraignant, powershell only et surtout ça ne cible que groupes ou utilisateurs, pas les OU. A n'utiliser qu'avec parcimonie.

Oops, j'ai dit une coneurie? A vrai dire ça fait longtemps que j'y ai pas touché, mais bon ça se tenais dans l'idée Bref, heu... impose toi quoi, la loi c'est toi!

Franchement c'est énorme ton histoire !
Habituellement, c'est plutôt le RSI/DSI qui sont débiles, mais la c'est l'ensemble des utilisateurs
Trop fort.

C'est pas mal comme ça dans les ptites boites. Password unique, ou pas de password du tout.
 
On devait mettre de l'Exchange online chez un client mais personne en voulait à cause des politiques de mot de passe ...

Et après les mecs s'étonnent de se faire péter par un gamin de 13 ans...