A Windows Server 2000-ben bevezetett Active Directory verzióban tartományonként csak egy jelszó házirendet hozhat létre. Ezt a házirendet az alapértelmezett alapértelmezett domain házirend részeként konfigurálták. Abban az esetben, ha a rendszergazda új csoportházirend-objektumot különbözõ jelszó-beállításokkal rendel hozzá az OU-n, a kliens CSE-k (ügyféloldali kiterjesztések) figyelmen kívül hagyták az ilyen irányelveket. Természetesen ez a megközelítés nem mindig kényelmes, és egy ilyen korlátozás megkerülésére az adminisztrátoroknak különféle trükköket kellett megtenniük (gyermektartományok és erdők, szűrők stb.), Ami további nehézségeket okozott..
Ebben a cikkben bemutatjuk, hogyan konfigurálhatjuk és kezelhetjük a granulált jelszókezelési irányelveket a Windows Server 2012 R2 alapján..
Tartalom:
- Finomszemű jelszó házirendek
- Konfigurálja a finomszintű jelszóházirendeket a Windows Server 2012 R2 rendszeren
- Konfigurálja a finomszemcsés jelszó házirendjét a PowerShell használatával
Finomszemű jelszó házirendek
A Windows Server 2008 rendszerben a fejlesztők új, különálló csoportházirend-objektum opciót adtak hozzá a jelszóbeállítások kezeléséhez finom-szemcséjű jelszó házirendje (FGPP - szemcsés / külön jelszavas védelmi házirendek). A finom jelszó-házirendek lehetővé teszik az adminisztrátor számára, hogy számos speciális jelszókezelési irányelvet hozzon létre egy domainben (jelszó Beállítások politika - PSO), amelyek meghatározzák a jelszóigényeket (hossz, összetettség, előzmények) és a fiók zárolását. A PSO-házirendeket hozzá lehet rendelni bizonyos felhasználókhoz vagy csoportokhoz, de nem az Active Directory tárolókhoz (OU). Ezenkívül, ha egy PSO-házirendet csatolnak a felhasználóhoz, akkor a GPO alapértelmezett domain házirendjéből származó jelszó-házirend-beállításokat már nem alkalmazzák.
Például az FGPP használatával magasabb követelményeket támaszthat a jelszó hosszával és összetettségével azoknak a rendszergazdai fiókoknak, szolgáltatási fiókoknak vagy felhasználóknak, akik külső hozzáféréssel rendelkeznek a domain erőforrásokhoz (VPN vagy DirectAccess útján)..
Alapvető követelmények a több FGPP jelszó házirend használatához egy domainen:
- Windows Server 2008 vagy újabb domain funkcionális szint
- A jelszó házirendek hozzárendelhetők a felhasználókhoz vagy a globális biztonsági csoportokhoz
- Az FGPP házirendet teljes egészében alkalmazzák (lehetetlen leírni a beállítások egy részét a GPO-ban, részben az FGPP-ben)
A Windows Server 2008 újításának fő hátránya, hogy nincs olyan kényelmes jelszó-kezelő eszköz, amelyet csak az alacsony szintű segédprogramokból lehet konfigurálni az AD-vel való együttműködésre, például ADSIEdit, ldp.exe, LDIFDE.exe.
Konfigurálja a finomszintű jelszóházirendeket a Windows Server 2012 R2 rendszeren
A Windows Server 2012 konzolban ADAC (Active Directory adminisztrációs központ) egy új grafikus felület a jelszavas házirendek kezelésére. Ebben a példában bemutatjuk, hogyan lehet külön jelszó házirendet rendelni egy tartománycsoporthoz domain Adminok.
Tehát a rendszergazdai jogokkal rendelkező tartományvezérlőn indítsa el az Active Directory felügyeleti központ (ADAC) konzolt, váltson fa nézetre és bontsa ki a tárolót rendszer. Keressen egy konténert jelszó Beállítások konténer, jobb egérgombbal kattintson rá, és válassza a lehetőséget új -> jelszó Beállítások
A megnyíló ablakban adja meg a jelszavas házirend nevét (a példánkban a Jelszó házirendje a tartományi rendszergazda számára), és állítsa be annak beállításait. Az összes mező szabványos: a jelszó minimális hossza és összetettsége, az előzményekben tárolt jelszavak száma, a jelszó helytelen megadása esetén a blokkoló lehetőségek stb. Vegye figyelembe az attribútumot elsőbbség. Ez az attribútum határozza meg a jelszó-politika prioritását. Ha több FGPP-házirendet alkalmaznak egy objektumra, akkor az Előtér mezőben alacsonyabb értékű házirendet kell alkalmazni az objektumra.
megjegyzés.
- Ha a felhasználónak két házirendje van ugyanazon Precedence értékekkel, akkor alacsonyabb GUID-házirendet kell alkalmazni..
- Ha több házirendet rendelnek egy felhasználóhoz, az egyik az AD biztonsági csoporton keresztül működik, a másik pedig közvetlenül a fiókhoz, akkor a fiókhoz rendelt házirendet alkalmazzák.
Aztán a szakaszban Közvetlen vonatkozik hozzá kell adnia azokat a csoportokat / felhasználókat, amelyeken a házirendnek működnie kell (ebben a példában a Tartománygazda). Mentési politika.
Mostantól kezdve ezt a jelszavas házirendet a Tartománygazda csoport minden tagjára alkalmazni kell. Indítsa el az Active Directory felhasználók és számítógépek konzolt (a Speciális szolgáltatások opcióval telepítve), és nyissa meg a Tartománygazda csoport bármely felhasználójának a tulajdonságait. Ugrás a fülre Attribútum-szerkesztő és a szántóföldön szűrő válasszon lehetőséget szerkesztett.
Keresse meg a felhasználói attribútumot msDS-ResultantPSO. Ez az attribútum jelzi az FGPP felhasználói jelszó házirendet (CN = Domain Admin jelszó házirendje, CN = Jelszóbeállítás-tároló, CN = Rendszer, DC = winitpro, DC = ru).
Kaphat érvényes PSO-házirendet a következő felhasználótól is dsget:
dsget felhasználó "CN = Dmitrij, OU = Rendszergazdák, DC = winitpro, DC = en" -hatékonypso
Konfigurálja a finomszemcsés jelszó házirendjét a PowerShell segítségével
Természetesen a Windows Server 2012 R2-ben a PSS-házirendek létrehozhatók és hozzárendelhetők a felhasználókhoz a PowerShell használatával:
Hozzon létre irányelvet:
New-ADFineGrainedPasswordPolicy -Név “Rendszergazda PSO-házirend” -Előhely 10 -ComplexityEnabled $ true - Leírás “Domain jelszó házirend az adminisztrátorokhoz” -DisplayName “Rendszergazda PSO házirend” -LockoutDuration “0.10: 00: 00” -LockoutObservationW window “0.00: ”-LockoutThreshold 5 -MaxPasswordAge“ 12.00: 00: 00 ”-MinPasswordAge“ 1.00: 00: 00 ”-MinPasswordLength 10 -PasswordHistoryCount 4 -ReversibleEncryptionEnabled $ false
Irányelvek hozzárendelése egy felhasználói csoporthoz:
Add-ADFineGrainedPasswordPolicySubject “Rendszergazdai PSO házirend” - “Domain Rendszergazdák”
