Je me demande simplement quand vous devez définir un compte utilisateur pour que le mot de passe n'expire jamais. Pour quels comptes est-ce une bonne idée?
Je me demande simplement quand vous devez définir un compte utilisateur pour que le mot de passe n'expire jamais. Pour quels comptes est-ce une bonne idée?
Réponses:
Le seul endroit où je vois que cela se justifie est sur les comptes de service. En règle générale, vous ne voulez pas qu'un mot de passe de compte de service expire simplement, ce qui pourrait entraîner l'échec de tous les processus exécutés par le compte. Les comptes d'utilisateurs interactifs doivent toujours avoir des mots de passe conformes à la politique de mot de passe.
Vous devez vous assurer que si vous définissez des comptes de service pour ne pas expirer, vous disposez de bons processus pour interroger ces comptes et vous assurer de réinitialiser manuellement les mots de passe à un certain intervalle. Il existe des normes de conformité dans de nombreuses industries qui exigeront que tous les mots de passe de compte soient modifiés à un intervalle spécifique.
La seule fois où nous utilisons l'option «Le mot de passe n'expire jamais» est sur les comptes de services. Nous utilisons un système en dehors d'Active Directory pour provisionner les comptes d'utilisateurs AD et une partie de celui-ci oblige les utilisateurs à changer leur mot de passe tous les 90 jours. Si l'option n'est pas cochée, il est connu de verrouiller les comptes et de casser les choses à 2 heures du matin lorsque le script s'exécute.
Le principal est les comptes de service, comme mentionné précédemment, mais une autre option est pour les comptes qui peuvent avoir un profil de risque très faible combiné à un profil d'utilisation peu fréquent - par exemple un compte qui est connecté une fois par an qui donne un accès en lecture seule à certains données non critiques. S'il avait une expiration de mot de passe, l'utilisateur devait soit l'écrire ou utiliser le helpdesk pour réinitialiser le mot de passe à chaque fois.
Ce n'est pas la meilleure pratique, mais si le risque est faible, ce pourrait être la bonne chose à faire dans cet exemple.