Gestion des utilisateurs sur windows 2012 r2 [Fermé]

Signaler
Messages postés
3
Date d'inscription
mercredi 28 octobre 2015
Statut
Membre
Dernière intervention
28 octobre 2015
-
Messages postés
3005
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
23 octobre 2020
-
Bonjour,
J'ai créé des utilisateurs sur Windows server 2012 R2 avec l'option "l'utilisateur doit changer de mot de passe à la l'ouverture de la première session". Cependant, sur le poste client, le message l'utilisateur doit changer de mot de passe à la première session s'affiche mais il n'y a aucune option qui permet de changer le mot de passe.

1 réponse

Messages postés
3005
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
23 octobre 2020
386
Bonjour,

Vous ne détaillez pas l'environnement : windows server 2012 R2 , c'est bien, mais s'agit il d'un domaine AD dans lequel les utilisateurs sont créés ? ou bien est ce des utilisateurs locaux ?

Comment est réalisé le test de connexion d'un nouvel utilisateur ? sur quel type de machine ? sur le serveur ? ou en local sur un poste de travail ? Quelle version du poste de travail ?

Dans le cas d'AD, quelle est la valeur minimale qui a été paramétrée pour la durée de vie d'un mot de passe ? (cf. -> stratégie de groupe)

-


En temps normal, lorsqu'on se connecte sur un poste avec un utilisateur qui doit changer son mot de passe à la première ouverture de session, dès la saisie du mot de passe, une nouvelle boite de dialogue apparait en présentant les champs permettant de saisir le nouveau mot de passe.

Prenez un screenshot pour voir ce que vous voyez vraiment svp.
J'ai du mal à comprendre "visuellement" ce que vous dites " le message l'utilisateur doit changer de mot de passe à la première session s'affiche mais il n'y a aucune option qui permet de changer le mot de passe."



Messages postés
3005
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
23 octobre 2020
386 >
Messages postés
3
Date d'inscription
mercredi 28 octobre 2015
Statut
Membre
Dernière intervention
28 octobre 2015

Alors pour la durée de vie minimale du mdp, selon le process de chgt de mot de passe, "normalement" cela bypass/écrase la durée de vie, pour permettre à l'utilisateur de le changer.
J'ai horreur du mot "normalement" ... disons que réinitialiser (reset) et changer un mot de passe (set) , ce n'est pas la même chose dans Active Directory, cela n'appelle pas les même droits notamment.

1. Comment faites vous le reset du mot de passe ?
2. Avez vous essayez avec la durée de vie minimale à 0 ?
3. Avez vous des PSO (Password Settings Objects) configurés dans l'environnement (stratégie de mot de passe granulaire) ?
Messages postés
3
Date d'inscription
mercredi 28 octobre 2015
Statut
Membre
Dernière intervention
28 octobre 2015
>
Messages postés
3005
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
23 octobre 2020

Je pense que je vais un peu vous situer pour vous permettre de m'aider car je pense que avez vraiment la volonté de le faire.

J'ai créé des groupes dans AD (5 groupes). Ensuite j'ai créé des utilisateurs en cochant l'option l'utilisateur doit changer le mot de passe ... Puis chaque utilisateur est membre d'un groupe donné. Dans le centre d'administration Active directory sous Password settings container, j'ai crée un paramètre de mot de passe. Dans les propriétés de ce paramètre global, sont configurés la longueur du mot de passe, l'historique des mot de passe, l'age minimal et maximal. Ce paramètre s'applique au différents groupes. Ce sont des choses que je faisais sous WS 2003 mais j'avoue que je perd un peu avec 2012. Pour être précis sur la fenêtre qui s'affiche sur le poste client W7, c'est une fenêtre simple d'ouverture de session sauf qu'en dessous il y a le message " l'utilisateur doit modifier le mot de passe avant la première ouverture de session". Mais les champs de saisie du nouveau mot de passe ne s'affiche pas. Pourtant si j'essaie sur le serveur, les champs pour le nouveau mot de passe apparait et le changement est effectué mais j'ai le message qui dit que cette opération n'est pas autorisée sur le serveur.
Messages postés
3005
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
23 octobre 2020
386
Les PSO n'existaient pas sous 2003, il y a peu de chances que vous le faisiez sous 2003.

Ce que je propose c'est de réinitialiser le mot de passe d'un utilisateur qui a le souci et cocher la case "doit changer à la prochaine ouverture de session" dans la même fenêtre.
Si vous avez créé les utilisateurs en mettant un mot de passe, il n'est pas marqué comme étant un reset de mot de passe...

J'insiste sur le terme réinitialiser et non "mettre" un mot de passe, ce sont deux "actions" différentes.

Si le souci se présente toujours. il faut essayer avec une durée de vie minimale à 0 et refaire le test.
>
Messages postés
3005
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
23 octobre 2020

En parlant de 2003, il ne s'agit pas du PSO mais de la gestion globale des utilisateurs sous AD.
Je vais essayer ce que vous suggérez en réinitialisant le mot de passe.
La durée de vie 0 ne marche pas. Il faut au mois 1 pour que la stratégie puisse être validée. Je l'ai déjà essayé.
Merci encore Kelux
Messages postés
3005
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
23 octobre 2020
386
Sinon, il faut voir sans utiliser de PSO, et utiliser uniquement la stratégie de mot de passe liée au niveau du domaine (soit dans la default domain policy, ou une créée manuellement).