Paramètres de stratégie de groupe utilisés dans l’authentification Windows
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Cette rubrique de référence pour les professionnels de l’informatique décrit l’utilisation et l’impact des paramètres de stratégie de groupe dans le processus d’authentification.
Vous pouvez gérer l’authentification dans les systèmes d’exploitation Windows en ajoutant des comptes d’utilisateur, d’ordinateur et de service à des groupes, puis en appliquant des stratégies d’authentification à ces groupes. Ces stratégies sont définies en tant que stratégies de sécurité locales et en tant que modèles d’administration, également appelés paramètres stratégie de groupe. Les deux ensembles peuvent être configurés et distribués au sein de votre organisation à l’aide de stratégie de groupe.
Notes
Les fonctionnalités introduites dans Windows Server 2012 R2 vous permettent de configurer des stratégies d’authentification pour des services ou applications ciblés, communément appelés silos d’authentification, à l’aide de comptes protégés. Pour plus d’informations sur la procédure à suivre dans Active Directory, consultez Comment configurer des comptes protégés.
Par exemple, vous pouvez appliquer les stratégies suivantes aux groupes, en fonction de leur fonction dans l’organisation :
Se connecter localement ou à un domaine
Se connecter sur un réseau
Réinitialiser des comptes
Création de comptes
Le tableau suivant répertorie les groupes de stratégies pertinents pour l’authentification et fournit des liens vers la documentation qui peut vous aider à configurer ces stratégies.
| Stratégie de groupe | Emplacement | Description |
|---|---|---|
| Stratégie de mot de passe | Stratégie de l’ordinateur local\ Configuration ordinateur\Paramètres Windows\ Paramètres de sécurité\Stratégies de compte | Les stratégies de mot de passe affectent les caractéristiques et le comportement des mots de passe. Les stratégies de mot de passe sont utilisées pour les comptes de domaine ou les comptes d’utilisateur locaux. Elles déterminent les paramètres des mots de passe, tels que l’application et la durée de vie. Pour plus d’informations sur des paramètres spécifiques, consultez Stratégie de mot de passe. |
| Stratégie de verrouillage de compte | Stratégie de l’ordinateur local\ Configuration ordinateur\Paramètres Windows\ Paramètres de sécurité\Stratégies de compte | Les options de stratégie de verrouillage de compte désactivent les comptes après un nombre défini de tentatives d’ouverture de session ayant échoué. L’utilisation de ces options peut vous aider à détecter et à bloquer les tentatives d’interruption des mots de passe. Pour plus d’informations sur les options de stratégie de verrouillage de compte, consultez Stratégie de verrouillage de compte. |
| Stratégie Kerberos | Stratégie de l’ordinateur local\ Configuration ordinateur\Paramètres Windows\ Paramètres de sécurité\Stratégies de compte | Les paramètres liés à Kerberos incluent la durée de vie du ticket et les règles d’application. La stratégie Kerberos ne s’applique pas aux bases de données de comptes locaux, car le protocole d’authentification Kerberos n’est pas utilisé pour authentifier les comptes locaux. Par conséquent, les paramètres de stratégie Kerberos ne peuvent être configurés qu’au moyen du domaine d’objet de stratégie de groupe (GPO) par défaut, où il affecte les ouvertures de session au domaine. Pour plus d’informations sur les options de stratégie Kerberos pour le contrôleur de domaine, consultez Stratégie Kerberos. |
| Stratégie d’audit | Stratégie de l’ordinateur local\ Configuration ordinateur\Paramètres Windows\ Paramètres de sécurité\Stratégies locales\Stratégie d’audit | La stratégie d’audit vous permet de contrôler et de comprendre l’accès aux objets, tels que les fichiers et dossiers, et de gérer les comptes d’utilisateur et de groupe, ainsi que les ouvertures de session et fermetures de session d’utilisateurs. Les stratégies d’audit peuvent spécifier les catégories d’événements que vous souhaitez auditer, définir la taille et le comportement du journal de sécurité, et déterminer sur quels objets vous souhaitez surveiller l’accès et quel type d’accès vous souhaitez surveiller. |
| Attribution des droits utilisateur | Stratégie d’ordinateur local\Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur | Les droits utilisateur sont généralement attribués sur la base des groupes de sécurité auxquels appartient un utilisateur, tels que Administrateurs, Utilisateurs avec pouvoir ou Utilisateurs. Les paramètres de stratégie de cette catégorie sont généralement utilisés pour accorder ou refuser l’autorisation d’accéder à un ordinateur en fonction de la méthode d’accès et des appartenances aux groupes de sécurité. |
| Options de sécurité | Stratégie de l’ordinateur local\ Configuration ordinateur\Paramètres Windows\ Paramètres de sécurité\Stratégies locales\Options de sécurité | Les stratégies pertinentes pour l’authentification sont les suivantes : - Appareils |
| Délégation des informations d’identification | Configuration ordinateur\Modèles d’administration\Système\Délégation d’identifiants | La délégation des informations d’identification est un mécanisme qui permet d’utiliser des informations d’identification locales sur d’autres systèmes, notamment sur les serveurs membres et les contrôleurs de domaine au sein d’un domaine. Ces paramètres s’appliquent aux applications à l’aide du fournisseur de support de sécurité des informations d’identification (Cred SSP). La connexion Bureau à distance en est un exemple. |
| Contrôleur de domaine Kerberos (KDC) | Configuration de l'ordinateur\Modèles d'administration\Système\KDC | Ces paramètres de stratégie affectent la façon dont le centre de distribution de clés (KDC), qui est un service sur le contrôleur de domaine, gère les demandes d’authentification Kerberos. |
| Kerberos | Configuration de l'ordinateur\Modèles d'administration\Système\Kerberos | Ces paramètres de stratégie affectent la façon dont Kerberos est configuré pour gérer la prise en charge des revendications, le blindage Kerberos, l’authentification composée, l’identification des serveurs proxy et d’autres configurations. |
| Ouverture de session | Configuration de l'ordinateur\Modèles d'administration\Système\Ouverture de session | Ces paramètres de stratégie contrôlent la façon dont le système présente l’expérience d’ouverture de session aux utilisateurs. |
| Net Logon | Configuration de l'ordinateur\Modèles d'administration\Système\Ouverture de session net | Ces paramètres de stratégie contrôlent la façon dont le système gère les demandes d’ouverture de session réseau, notamment le comportement du localisateur de contrôleur de domaine. Pour plus d’informations sur la façon dont le localisateur de contrôleur de domaine s’intègre aux processus de réplication, consultez Présentation de la réplication entre sites. |
| Biométrie | Configuration de l'ordinateur\Modèles d'administration\Composants Windows\Biométrie | Ces paramètres de stratégie autorisent généralement ou refusent l’utilisation de la biométrie comme méthode d’authentification. Pour plus d’informations sur l’implémentation Windows de la biométrie, consultez Vue d’ensemble de Windows Biometric Framework. |
| Interface utilisateur des identifiants | Configuration de l’ordinateur\Modèles d’administration\Composants Windows\Interface utilisateur d’identification | Ces paramètres de stratégie contrôlent la façon dont les identifiants sont gérés au point d’entrée. |
| Synchronisation de mot de passe | Configuration ordinateur\Modèles d’administration\Composants Windows\Synchronisation de mot de passe | Ces paramètres de stratégie déterminent la façon dont le système gère la synchronisation des mots de passe entre les systèmes d’exploitation Windows et UNIX. Pour plus d'informations, consultez Synchronisation de mot de passe. |
| Carte à puce | Configuration de l'ordinateur\Modèles d'administration\Composants Windows\Carte à puce | Ces paramètres de stratégie contrôlent la façon dont le système gère les ouvertures de session de carte à puce. |
| Options d’ouverture de session Windows | Configuration de l’ordinateur\Modèles d’administration\Composants Windows\ Options d’ouverture de session Windows | Ces paramètres de stratégie contrôlent quand et comment les opportunités d’ouverture de session sont disponibles. |
| Options Ctrl+Alt+Del | Configuration de l’ordinateur\Modèles d’administration\Composants Windows\ Options Ctrl+Alt+Del | Ces paramètres de stratégie affectent l’apparence et l’accessibilité des fonctionnalités de l’interface utilisateur d’ouverture de session (Secure Desktop), telles que le Gestionnaire des tâches et le verrou clavier de l’ordinateur. |
| Ouverture de session | Configuration de l'ordinateur\Modèles d'administration\Composants Windows\Ouverture de session | Ces paramètres de stratégie déterminent si ou quels processus peuvent s’exécuter lorsque l’utilisateur se connecte. |