Le mot de passe expire-t-il vraiment?

9

On peut activer l'expiration du mot de passe (aka âge maximum du mot de passe) sur un domaine Windows.

Je suis cependant un peu perplexe quant à la signification de cette soi-disant expiration: il semble que le mot de passe n'expire pas vraiment. Simplement, lors de la première connexion après "expiration", l'utilisateur doit modifier son mot de passe. En d'autres termes, si le mot de passe expire le 18 novembre, on peut toujours se connecter le 20 novembre (mais il faut alors modifier immédiatement son mot de passe).

Le compte d'utilisateur n'est pas verrouillé (ou tout autre état similaire) à la date d'expiration.

Est-ce correct? Ou ai-je raté quelque chose?

password windows password-policy Serge Wautier
la source
C'est l'une de ces choses où il faut déterminer ce que l'on entend par le mot "expiré". Le mot de passe a-t-il expiré? Eh bien, l'utilisateur peut lancer une session interactive mais il est obligé de changer immédiatement son mot de passe. Ils ne peuvent accéder à aucune ressource de domaine ni terminer la connexion tant qu'ils n'ont pas modifié leur mot de passe. Est-ce que cela correspond à la définition du mot «expiré»? De plus, un mot de passe expiré et un compte verrouillé sont deux choses indépendantes. L'un ne dépend pas nécessairement de l'autre.
joeqwerty

Réponses:

8

Oui, c'est vrai, l'utilisateur n'est pas réellement verrouillé ou désactivé une fois le mot de passe expiré, l'utilisateur est simplement obligé de changer son mot de passe une fois qu'il se connecte après la date d'expiration.

Si vous avez besoin que l'utilisateur ne puisse pas réellement se connecter après une date d'expiration, vous pouvez définir le compte d'utilisateur lui-même pour expirer après une certaine date. Mais pas de manière dynamique. Si vous vouliez, par exemple, désactiver automatiquement le compte d'utilisateur après qu'il ne se soit pas connecté depuis plus de 90 jours, vous auriez besoin de l'écrire avec (par exemple) Powershell.

Ryan Ries
la source
2
Le compte d'utilisateur n'est pas verrouillé mais l'utilisateur est obligé de modifier le mot de passe, ce qui signifie qu'il ne peut accéder à aucune ressource de domaine avant de le faire. Cela ne correspond peut-être pas à la définition stricte du mot «expiré», mais à toutes fins utiles, le mot de passe n'est plus valide pour accéder aux ressources du domaine.
joeqwerty
C'est vrai. Cependant, je peux toujours me connecter à une session interactive et être invité à "changer votre mot de passe maintenant".
Ryan Ries
2
Vous ne pouvez pas terminer la partie de connexion interactive sans changer le mot de passe et vous ne pouvez accéder à aucune ressource. Ce n'est pas un délai de grâce: ce mot de passe expiré vous permet de faire une chose, c'est de le changer.
mfinni