Конфигурирање фино зрнате политике лозинке у систему Виндовс 2012 Р2

У верзији Ацтиве Дирецтори која је уведена у Виндовс Сервер 2000, можете да креирате само једну политику лозинке по домену. Ова смерница је конфигурисана као део подразумеване политике домена. У случају да администратор додијели нови ГПО с различитим поставкама лозинке на ОУ-у, клијентске ЦСЕ-ове (Цлиент Сиде Ектенсионс) игнорисале су такве политике. Наравно, овај приступ није увек згодан, а да би заобишли такво ограничење, администратори су морали да предузимају различите трикове (дечије домене и шуме, филтере итд.), Што је створило додатне потешкоће.

У овом ћемо чланку показати како конфигурирати и управљати детаљним правилима управљања лозинком на темељу Виндовс Сервер 2012 Р2..

Садржај:

  • Фино прецизна правила о лозинкама
  • Конфигуришите прецизно дефиниране лозинке на Виндовс Сервер 2012 Р2
  • Конфигуришите прецизну политику лозинке помоћу програма ПоверСхелл

Фино прецизна правила о лозинкама

У Виндовс Сервер 2008, програмери су додали нову засебну ГПО опцију за управљање поставкама лозинке Фино-Зрнато Лозинка Политике (ФГПП - детаљна / одвојена правила заштите лозинком). Фино-детаљне политике лозинке омогућавају администратору да креира многе посебне политике управљања лозинком у једном домену (Лозинка Подешавања Политика - ПСО) који дефинишу захтеве за лозинком (дужина, сложеност, историја) и закључавање рачуна. ПСО политике могу се доделити одређеним корисницима или групама, али не и Ацтиве Дирецтори контејнерима (ОУ). Штавише, ако је ПСО полиса приложена кориснику, поставке политике лозинке из задане политике ГПО-а више се на њега не примењују.

На пример, коришћењем ФГПП-а можете наметнути веће захтеве за дужину и сложеност лозинке за администраторе, рачуне услуга или кориснике који имају спољни приступ изворима домена (преко ВПН или ДирецтАццесс).

Основни захтеви за коришћење више ФГПП смерница за лозинку у домену:

  • Виндовс Сервер 2008 или виши функционални ниво домена
  • политике лозинке могу се доделити корисницима или глобалним безбедносним групама
  • ФГПП политика се примењује у целости (немогуће је описати део поставки у ГПО-у, а део у ФГПП)

Главни недостатак иновације у Виндовс Сервер 2008 је недостатак погодних алата за управљање смерницама за лозинке који би се могли конфигурисати само из услужних програма ниског нивоа за рад са АД, на пример АДСИЕдит, лдп.еке, ЛДИФДЕ.еке.

Конфигуришите прецизно дефиниране лозинке на Виндовс Сервер 2012 Р2

У Виндовс Сервер 2012 на конзоли  АДАЦ (Центар за администрацију активног директорија) ново графичко сучеље за управљање политикама лозинки Фино-зрнатој политици лозинки. У овом примеру приказујемо како доделити засебну политику лозинке групи домена Домен Админи.

Дакле, на контролеру домена са администраторским правима покрените конзолу Ацтиве Дирецтори Административни центар (АДАЦ), пређите на приказ стабла и проширите контејнер Систем. Пронађите контејнер Лозинка Подешавања Контејнер, кликните десним тастером миша на њу и изаберите Ново -> Лозинка Подешавања

У прозору који се отвори наведите назив политике лозинке (у нашем примеру, Политика лозинке за Администратор домена) и подесите њена подешавања. Сва поља су стандардна: минимална дужина и сложеност лозинке, број сачуваних лозинки у историји, могућности блокирања када је лозинка погрешно унета, итд. Обратите атрибут Предност. Овај атрибут одређује приоритет ове политике лозинке. Ако се на објект примијени неколико ФГПП политика, на објект ће се примијенити политика с нижом вриједношћу у пољу Прецеденце..

Напомена.

  • Ако корисник има две политике са истим вредностима Прецеденце, примењиваће се политика са нижим ГУИД-ом..
  • Ако је кориснику додељено неколико полиса, од којих једна делује преко АД групе за безбедност, а друга директно на рачун, примењиваће се правила додељена на рачун.

Затим у одељку Директно се односи на морате да додате групе / кориснике на којима би политика требало да делује (у овом примеру, Администратор домена). Сачувај полису.

Од сада ће се ова политика лозинке примењивати на све чланове групе Администратор домена. Покрените конзолу Ацтиве Дирецтори за кориснике и рачунаре (са инсталираном опцијом Напредне функције) и отворите својства било ког корисника из групе Администратор домена. Идите на картицу Аттрибуте Едитор и на терену Филтер  одаберите опцију Изграђен.

Пронађите атрибут корисника мсДС-РезултатПСО. Овај атрибут означава корисничку политику лозинке ФГПП (ЦН = Политика лозинке за Администратор домена, ЦН = Контејнер подешавања лозинке, ЦН = Систем, ДЦ = винитпро, ДЦ = ру).

Такође можете добити важећу ПСО политику за корисника који користи дсгет:

дсгет усер "ЦН = Дмитрии, ОУ = Админс, ДЦ = винитпро, ДЦ = ен" -еффецтивепсо

Конфигуришите прецизну политику лозинке помоћу програма ПоверСхелл

Наравно, у Виндовс Сервер 2012 Р2, ПСО политике могу да се креирају и додељују корисницима који користе ПоверСхелл:

Креирајте смернице:

Нев-АДФинеГраинедПассвордПолици -Наме „Админ ПСО Полици“ -Прецеденце 10 -ЦомплекитиЕнаблед $ труе -Опис „Политика лозинке домена за администраторе“ -ДисплаиНаме „Админ ПСО Полици“ -ЛоцкоутДуратион „0.10: 00: 00“ -ЛоцкоутОбсерватионВиндов „0.00“ ”-ЛоцкоутТхресхолд 5 -МакПассвордАге“ 12.00: 00: 00 ”-МинПассвордАге“ 1.00: 00: 00 ”-МинПассвордЛенгтх 10 -ПассвордХисториЦоунт 4 -РеверсеблеЕнцриптионЕнаблед $ фалсе

Доделите полису корисничкој групи:

Адд-АДФинеГраинедПассвордПолициСубјецт „Админ ПСО политика“ - субјекти „Домаин Админс“