Vo verzii služby Active Directory zavedenej v systéme Windows Server 2000 by ste mohli vytvoriť iba jednu politiku hesiel pre každú doménu. Táto politika bola nakonfigurovaná ako súčasť predvolenej predvolenej politiky domény. V prípade, že správca priradí nový objekt zásad skupiny s rôznymi nastaveniami hesiel na OU, klientske VVN (Client Side Extensions) tieto zásady ignorovali. Tento prístup samozrejme nie je vždy vhodný a správcovia museli obísť také obmedzenia, aby museli obísť rôzne triky (detské domény a lesy, filtre atď.), Čo spôsobilo ďalšie ťažkosti..
V tomto článku si ukážeme, ako nakonfigurovať a spravovať zásady podrobnej správy hesiel založené na systéme Windows Server 2012 R2..
obsah:
- Podrobné pravidlá pre heslá
- Konfigurujte zásady jemného prístupu k heslám v systéme Windows Server 2012 R2
- Nakonfigurujte pravidlá pre jemné pokuty pomocou PowerShell
Podrobné pravidlá pre heslá
V systéme Windows Server 2008 vývojári pridali novú samostatnú možnosť GPO na správu nastavení hesiel pokuta-zrnitý heslo zásady (FGPP - podrobné / samostatné zásady ochrany heslom). Zásady jemne nastaveného hesla umožňujú správcovi vytvoriť veľa špeciálnych pravidiel správy hesiel v jednej doméne (heslo nastavenie politika - PSO), ktoré definujú požiadavky na heslo (dĺžka, zložitosť, história) a blokovanie účtov. Pravidlá služby volania môžu byť priradené konkrétnym používateľom alebo skupinám, ale nie kontajnerom Active Directory (OU). Ak je k používateľovi pripojená politika PSO, nastavenia politiky hesiel z predvolenej politiky domény GPO sa už na ňu neuplatňujú..
Napríklad pomocou FGPP môžete uložiť vyššie požiadavky na dĺžku a zložitosť hesla pre účty správcov, účty služieb alebo používateľov, ktorí majú externý prístup k zdrojom domény (cez VPN alebo DirectAccess)..
Základné požiadavky na používanie viacerých politík hesiel FGPP v doméne:
- Funkčná úroveň domény Windows Server 2008 alebo vyššia
- heslá môžu byť priradené používateľom alebo globálnym bezpečnostným skupinám
- Politika FGPP sa uplatňuje v celom rozsahu (nie je možné opísať časť nastavení v GPO a časť v FGPP).
Hlavnou nevýhodou inovácie v systéme Windows Server 2008 je nedostatok vhodných nástrojov na správu politiky hesiel, ktoré by bolo možné nakonfigurovať iba z pomocných programov nízkej úrovne na prácu s AD, napríklad ADSIEdit, ldp.exe, LDIFDE.exe..
Konfigurujte zásady jemného prístupu k heslám v systéme Windows Server 2012 R2
V systéme Windows Server 2012 v konzole ADAC (Centrum správy Active Directory) nové grafické rozhranie pre správu politík hesiel. V tomto príklade si ukážeme, ako priradiť samostatnú politiku hesiel skupine domén doména administrátori.
Na radiči domény s právami správcu spustite konzolu ADAC (Active Directory Administrative Center), prepnite do stromového prehľadu a rozbaľte kontajner. systém. Nájdite kontajner heslo nastavenie kontajner, kliknite pravým tlačidlom myši a vyberte nový -> heslo nastavenie
V okne, ktoré sa otvorí, zadajte názov politiky hesiel (v našom príklade Heslo politiky pre správcu domény) a nastavte jej nastavenia. Všetky polia sú štandardné: minimálna dĺžka a zložitosť hesla, počet uložených hesiel v histórii, možnosti blokovania pri nesprávnom zadaní hesla atď. Všimnite si atribút prednosť. Tento atribút určuje prioritu tejto politiky hesiel. Ak sa na objekt použije niekoľko politík FGPP, na objekt sa použije politika s nižšou hodnotou v poli Precedencia..
poznámka.
- Ak má užívateľ dve politiky s rovnakými hodnotami priority, použije sa zásada s nižším identifikátorom GUID..
- Ak je používateľovi priradených niekoľko politík, jedna z nich konajúcich prostredníctvom bezpečnostnej skupiny AD a druhá priamo k účtu, uplatní sa politika priradená k účtu..
Potom v sekcii Priame sa vzťahuje na musíte pridať skupiny / používateľov, na ktorých by politika mala pôsobiť (v tomto príklade správca domény). Uložiť pravidlá.
Od tejto chvíle sa toto heslo bude uplatňovať na všetkých členov skupiny Domain Admin. Spustite konzolu Active Directory Users and Computers (s nainštalovanou možnosťou Advanced Features) a otvorte vlastnosti ktoréhokoľvek používateľa zo skupiny Domain Admin. Prejdite na kartu Editor atribútov a na poli filter vyberte možnosť konštruované.
Nájsť atribút používateľa MSDS-ResultantPSO. Tento atribút označuje politiku hesla používateľa FGPP (CN = Zásady hesla pre správcu domény, CN = Kontajner nastavenia hesla, CN = Systém, DC = winitpro, DC = ru)..
Používateľa tiež môžete získať platnú politiku záväzku služby vo verejnom záujme dsget:
užívateľ dsget "CN = Dmitriy, OU = Správcovia, DC = winitpro, DC = en" -effectivepso
Nakonfigurujte pravidlá pre jemné pokuty pomocou PowerShell
Prirodzene, v systéme Windows Server 2012 R2 je možné politiky PSO vytvárať a priraďovať používateľom pomocou PowerShell:
Vytvorte politiku:
New-ADFineGrainedPasswordPolicy -Name “Policy of Admin PSO” --Precedence 10 -omplexityEnabled $ true -Description “Policy for Domain password for admins” -DisplayName “Admin PSO Policy” --LockoutDuration “0,00: 20: 00: 00 ”-LockoutThreshold 5 -MaxPasswordAge“ 12.00: 00: 00 ”-MinPasswordAge“ 1.00: 00: 00 ”-MinPasswordLength 10 -PasswordHistoryCount 4 -ReversibleEncryptionEnabled $ false
Priradenie politiky skupine používateľov:
Add-ADFineGrainedPasswordPolicySubject „Pravidlá správcu služieb PSO“ - Predmet „Správcovia domén“