Ve verzi služby Active Directory zavedené v systému Windows Server 2000 můžete vytvořit pouze jednu zásadu hesla pro doménu. Tato zásada byla nakonfigurována jako součást výchozí výchozí zásady domény. V případě, že správce přiřadí nový GPO s odlišným nastavením hesla na OU, klientské CSE (Client Side Extensions) tyto zásady ignorovaly. Samozřejmě, že tento přístup není vždy vhodný, a aby se takové omezení obešlo, museli správci provádět různé triky (podřízené domény a lesy, filtry atd.), Což způsobilo další potíže..
V tomto článku si ukážeme, jak nakonfigurovat a spravovat zásady správy podrobných hesel založené na systému Windows Server 2012 R2..
Obsah:
- Zásady týkající se podrobného hesla
- Nakonfigurujte zásady jemného hesla v systému Windows Server 2012 R2
- Konfigurujte zásady jemně zrnitých hesel pomocí prostředí PowerShell
Zásady týkající se podrobného hesla
V systému Windows Server 2008 vývojáři přidali novou samostatnou možnost GPO pro správu nastavení hesla Dobře-Zrnitý Heslo Zásady (FGPP - granulární / samostatné zásady ochrany heslem). Zásady jemně nastaveného hesla umožňují správci vytvořit mnoho speciálních zásad správy hesel v jedné doméně (Heslo Nastavení Zásady - PSO), které definují požadavky na heslo (délka, složitost, historie) a uzamčení účtu. Zásady závazku veřejné služby lze přiřadit konkrétním uživatelům nebo skupinám, nikoli však kontejnerům služby Active Directory (OU). Pokud je navíc k uživateli připojena zásada PSO, nastavení zásad hesel z výchozí zásady domény GPO se na ni již nepoužije..
Například pomocí FGPP můžete uložit vyšší požadavky na délku a složitost hesla pro účty správce, servisní účty nebo uživatele, kteří mají externí přístup k prostředkům domény (přes VPN nebo DirectAccess)..
Základní požadavky na používání více zásad pro hesla FGPP v doméně:
- Windows Server 2008 nebo vyšší funkční úroveň domény
- uživatelům nebo globálním skupinám zabezpečení lze přiřadit zásady hesel
- Zásady FGPP se používají v celém rozsahu (není možné popsat část nastavení v GPO a část v FGPP)
Hlavní nevýhodou inovace v systému Windows Server 2008 je nedostatek vhodných nástrojů pro správu zásad hesel, které lze konfigurovat pouze z nízkoúrovňových nástrojů pro práci s AD, například ADSIEdit, ldp.exe, LDIFDE.exe..
Nakonfigurujte zásady jemného hesla v systému Windows Server 2012 R2
V systému Windows Server 2012 v konzole ADAC (Active Directory Administration Center) nové grafické rozhraní pro správu zásad hesel. V tomto příkladu ukážeme, jak přiřadit samostatnou zásadu hesla skupině domén Doména Správci.
V řadiči domény s právy správce tedy spusťte konzolu ADAC (Active Directory Administrative Center), přepněte do stromového zobrazení a rozbalte kontejner Systém. Najděte kontejner Heslo Nastavení Kontejner, klikněte na něj pravým tlačítkem a vyberte Nové -> Heslo Nastavení
V okně, které se otevře, zadejte název zásady hesla (v našem příkladu Zásady hesla pro správce domény) a nastavte její nastavení. Všechna pole jsou standardní: minimální délka a složitost hesla, počet uložených hesel v historii, možnosti blokování při nesprávném zadání hesla atd. Poznámka: atribut Precedence. Tento atribut určuje prioritu této zásady hesla. Pokud je na objekt aplikováno několik zásad FGPP, bude na objekt použita zásada s nižší hodnotou v poli Precedence..
Poznámka:.
- Pokud má uživatel dvě zásady se stejnými hodnotami Precedence, bude použita zásada s nižším GUID..
- Pokud je uživateli přiřazeno několik zásad, jedna z nich jednající prostřednictvím skupiny zabezpečení AD a druhá přímo k účtu, bude použita zásada přiřazená k účtu..
Pak v sekci Přímé platí pro musíte přidat skupiny / uživatele, na které by zásady měly působit (v tomto příkladu Správce domén). Uložit zásady.
Od této chvíle budou tyto zásady hesla použity pro všechny členy skupiny Domain Admin. Spusťte konzolu Uživatelé a počítače služby Active Directory (s nainstalovanou volbou Pokročilé funkce) a otevřete vlastnosti libovolného uživatele ze skupiny Domain Admin. Přejděte na kartu Editor atributů a na poli Filtr vyberte možnost Postaveno.
Najít uživatelský atribut msDS-VýsledekPSO. Tento atribut označuje zásady hesla uživatele FGPP (CN = Zásady hesla pro správce domény, CN = Kontejner nastavení hesla, CN = Systém, DC = winitpro, DC = ru).
Pomocí uživatele můžete získat také platnou zásadu závazku služby veřejného zájmu dsget:
uživatel dsget "CN = Dmitriy, OU = Správci, DC = winitpro, DC = en" -effectivepso
Konfigurujte zásady jemně zrnitých hesel pomocí prostředí PowerShell
V systému Windows Server 2012 R2 lze přirozeně vytvářet zásady PSO a přiřadit je uživatelům pomocí prostředí PowerShell:
Vytvořte zásadu:
New-ADFineGrainedPasswordPolicy - Jméno „Policy Admin PSO Policy“ --Precedence 10 -omplexityEnabled $ true -Description „Policy password policy for admins“ -DisplayName „Admin PSO Policy“ -LockoutDuration “0,00: 20: 00: 00 ”-LockoutThreshold 5 -MaxPasswordAge“ 12.00: 00: 00 ”-MinPasswordAge“ 1.00: 00: 00 ”-MinPasswordLength 10 -PasswordHistoryCount 4 -ReversibleEncryptionEnabled $ false
Přiřazení zásady skupině uživatelů:
Add-ADFineGrainedPasswordPolicySubject „Zásady administrátora PSO“ - Představuje „administrátory domén“
