Comment traiter la mauvaise configuration A-NoServicePolicy? 

La configuration A-NoServicePolicy permet de vérifier la qualité des mots de passe pour le compte ADSync. Ce compte est notamment utilisé pour la synchronisation entre Entra ID et Active Directory on-premise.

PingCastle vérifie si une PSO (Password Settings Object) existe dans votre Active Directory avec le paramètre suivant : MinimumPasswordLength >= 20.

Le guide suivant explique la procédure de changement de mot de passe.

1. Définition d'un Password Settings Object (PSO)

Une PSO est une règle de mot de passe « non destructive ».

• Règle de mot de place : par exemple avoir plus de 20 caractères.
• Non-destructive : si un compte ne respecte pas encore les exigences de la PSO, l’ancien mot de passe restera tout de même valide jusqu’à son expiration.

Lorsque le mot de passe arrive à expiration, il devra alors être remplacé par un mot de passe de plus de 20 caractères.

L’expiration intervient lorsque l’attribut Maximum Password Age est atteint. Cet attribut peut être défini sur Never, ce qui rend le changement de mot de passe manuel. Dans ce cas, le renouvellement doit être effectué manuellement par vos équipes, compte de service par compte de service.

2. Corriger la mauvaise configuration A-NoServicePolicy 

1. Créez la PSO.

2. Créez un groupe contenant tous les comptes de service, à l’exception de ceux pour lesquels vous ne souhaitez pas imposer le changement de mot de passe (ex. : le compte de réplication ADSync).

3. Appliquez la PSO à ce groupe.

3. Vérifier l'existence de cette configuration 

Exécutez la commande PowerShell suivante :

Get-ADFineGrainedPasswordPolicy -Filter * | Where-Object {$_.MinPasswordLength -ge 20}