V različici Active Directory, ki je bila uvedena v sistemu Windows Server 2000, lahko ustvarite samo en pravilnik o geslu na domeno. Ta pravilnik je bil konfiguriran kot del privzete privzete domene. V primeru, da skrbnik dodeli novi GPO z različnimi nastavitvami gesla v OU, odjemalci CSE (Client Side Extensions) niso upoštevali takšnih pravilnikov. Seveda ta pristop ni vedno primeren, zato so morali upravniki, da bi zaobšli takšno omejitev, sprejeti različne trike (otroške domene in gozdovi, filtri itd.), Kar je povzročilo dodatne težave.
V tem članku bomo pokazali, kako konfigurirati in upravljati podrobna pravila za upravljanje gesla na podlagi Windows Server 2012 R2..
Vsebina:
- Natančno usmerjena gesla
- Konfigurirajte natančno določena pravila gesla v sistemu Windows Server 2012 R2
- Konfigurirajte natančno določeno geslo s programom PowerShell
Natančno usmerjena gesla
V operacijskem sistemu Windows Server 2008 so razvijalci dodali novo ločeno GPO možnost za upravljanje nastavitev gesla V redu-Zrnato Geslo Politike (FGPP - podrobna / ločena pravila zaščite z geslom). Poglobljena pravila gesla omogočajo skrbniku, da ustvari veliko posebnih pravilnikov za upravljanje gesla v eni domeni (Geslo Nastavitve Politika - PSO), ki definirajo zahteve za geslo (dolžina, zapletenost, zgodovina) in zaklepanje računa. Politike PSO so lahko dodeljene določenim uporabnikom ali skupinam, ne pa vsebnikom Active Directory (OU). Če je uporabniku pritrjena politika PSO, se nastavitve politike gesla iz privzete politike domene GPO zanj ne uporabljajo več.
Na primer, z uporabo FGPP lahko postavite višje zahteve glede dolžine in zapletenosti gesla za skrbniške račune, račune storitev ali uporabnike, ki imajo zunanji dostop do virov domene (prek VPN ali DirectAccess).
Osnovne zahteve za uporabo več pravilnikov o geslih FGPP v domeni:
- Windows Server 2008 ali višja funkcionalna raven domene
- Uporabnikom ali globalnim varnostnim skupinam je mogoče dodeliti pravilnike o geslih
- Pravilnik FGPP se uporablja v celoti (del nastavitev v GPO in del v FGPP je nemogoče opisati)
Glavna pomanjkljivost inovacije v operacijskem sistemu Windows Server 2008 je pomanjkanje priročnih orodij za upravljanje politike z gesli, ki bi jih bilo mogoče konfigurirati samo s pripomočki nizke ravni za delo z AD, na primer ADSIEdit, ldp.exe, LDIFDE.exe.
Konfigurirajte natančno določena pravila gesla v sistemu Windows Server 2012 R2
V operacijskem sistemu Windows Server 2012 v konzoli ADAC (Center za upravljanje aktivnih imenikov) nov grafični vmesnik za upravljanje politik gesel Fine-Grained Policies gesel. V tem primeru prikazujemo, kako dodeliti ločen pravilnik gesla skupini domen Domena Administratorji.
Tako na krmilniku domene s skrbniškimi pravicami zaženite konzolo Upravljalni center Active Directory (ADAC), preklopite na drevesni pogled in razširite vsebnik Sistem. Poiščite posodo Geslo Nastavitve Posoda, z desno miškino tipko kliknite in izberite Novo -> Geslo Nastavitve
V oknu, ki se odpre, podajte ime pravilnika o geslih (v našem primeru Pravilnik o geslu za domensko skrbništvo) in nastavite njegove nastavitve. Vsa polja so standardna: najmanjša dolžina in zapletenost gesla, število shranjenih gesel v zgodovini, možnosti blokiranja, kadar je geslo napačno vneseno itd. Upoštevajte atribut Prednost. Ta atribut določa prednost tega pravilnika o geslu. Če je za predmet uporabljenih več pravilnikov FGPP, se na objekt uporabi politika z nižjo vrednostjo v polju Prednost..
Opomba.
- Če ima uporabnik dva pravilnika z enakimi vrednostmi prednosti, se uporabi pravilnik z nižjim GUID-jem..
- Če je uporabniku dodeljenih več pravilnikov, od katerih eden deluje prek varnostne skupine AD, drugi pa neposredno na račun, se uporabi pravilnik, dodeljen računu.
Nato v razdelku Neposredno velja za morate dodati skupine / uporabnike, v zvezi s katerimi mora ravnati pravilnik (v tem primeru domena Administrator). Shrani politiko.
Od zdaj naprej bo ta pravilnik o geslu veljal za vse člane skupine Administrator domene. Zaženite konzolo Uporabniki in računalniki Active Directory (z nameščeno možnostjo Napredne funkcije) in odprite lastnosti katerega koli uporabnika iz skupine Administrator domene. Pojdite na zavihek Urejevalnik atributov in na polju Filter izberite možnost Izdelano.
Poišči uporabniški atribut msDS-RezultatPSO. Ta atribut označuje pravilnik o uporabniškem geslu FGPP (CN = pravilnik o geslu za skrbnika domene, CN = vsebnik nastavitev gesla, CN = sistem, DC = winitpro, DC = ru).
Za uporabnika, ki uporablja, lahko dobite tudi veljavno politiko PSO dsget:
dsget user "CN = Dmitriy, OU = Admins, DC = winitpro, DC = en" -effectivepso
Konfigurirajte natančno določeno geslo s programom PowerShell
Seveda lahko v Windows Server 2012 R2 politike PSO ustvarite in dodelite uporabnikom, ki uporabljajo PowerShell:
Ustvari pravilnik:
New-ADFineGrainedPasswordPolicy -Namem „Admin PSO Policy“ -Precedence 10 -ComplexityEnabled $ true -Opis „Pravilnik o geslu domen za skrbnike“ -DisplayName „Admin PSO Policy“ -LockoutDuration „0.10: 00: 00“ -LockoutObservationWindow „0.00“ ”-LockoutThreshold 5 -MaxPasswordAge“ 12.00: 00: 00 ”-MinPasswordAge“ 1.00: 00: 00 ”-MinPasswordLength 10 -PasswordHistoryCount 4 -ReversebleEncryptionEnabled $ false
Dodeli pravilnik skupini uporabnikov:
Add-ADFineGrainedPasswordPolicySubject "Admin PSO Policy" - Predmeti "Domain Admins"
