Passer au contenu
Français
  • Il n'y a aucune suggestion car le champ de recherche est vide.

Comment traiter la mauvaise configuration A-NoServicePolicy? 

PingCastle vérifie si une PSO (Password Settings Objects) existe sur vos comptes de service dans l'Active Directory avec ce paramètre spécifique : MinimumPasswordLength >= 20

⚠️ PingCastle vérifie uniquement que la règle existe, et non qu'elle s'applique à tous les comptes de service. 

1. Qu'est ce qu'une Password Setting Objects ?

  • Une PSO est non destructive, c'est à dire que si votre compte ne respecte pas la PSO alors l'ancien mot de passe marchera toujours
  • Quand le mot de passe va expirer il faudra à ce moment là mettre un mot de passe de plus de 20 caractères. Le mot de passe arrive à expiration quand l'attribut Maximum Password Age est atteinte. Cet attribut peut être à Never. Le changement de mot de passe est donc à faire manuellement par vos équipes comptes de service par comptes de service. 
  • Pour le cas particulier de ADSync (le compte pour synchro Entra ID et AD on premise), le guide suivant explique la démarche de changement de mot de passe. 

2. Configurer une Password Setting Objects 

  • Créez la PSO
  • Créez un groupe avec tous ces comptes de service sauf ceux sur lesquels vous ne souhaitez pas changer le mot de passe (ex: le compte de réplication ADSync)
  • Appliquez la PSO sur le groupe

Même si vous n'avez pas de comptes de service, nous vous recommandons très fortement de créer cette PSO. 

3. Vérifier l'existence de cette PSO

Exécutez la commande suivante : Get-ADFineGrainedPasswordPolicy -Filter * | Where-Object {$_.MinPasswordLength -ge 20}

Si vous rencontrez des difficultés, veuillez nous envoyer la capture d'écran de la commande exécutée à protect@stoik.io