Active Directory : password policy-PSO

0 Comments

Inleiding

in deze tutorial zullen we zien hoe u wachtwoordbeleid definieert in een Active Directory voor gebruikersaccounts.

standaard wordt het wachtwoordbeleid gedefinieerd in het standaarddomeinbeleid van het groepsbeleidsobject dat wordt toegepast op alle computers in het domein, waardoor het beleid voor alle gebruikers hetzelfde is.,

afhankelijk van de gebruikers kunt u om veiligheidsredenen een complexer wachtwoordbeleid toepassen, bijvoorbeeld leden van de groep Domeinadministrators.

hiervoor gebruiken we Password Settings Object (PSO), een Active Directory-object dat een wachtwoordstrategie bevat die kan worden toegepast op een of meer gebruikersgroepen.

wachtwoordbeleid wordt geconfigureerd met behulp van de ADAC-console.,

elk wachtwoordbeleid heeft een prioriteit, als een gebruiker meerdere wachtwoordbeleid heeft dat van toepassing is, zal het beleid met de LAAGSTE prioriteit worden toegepast.

om deze handleiding te illustreren, zullen we twee strategieën maken, de eerste zal worden toegepast op de groep Domeingebruikers met een prioriteit van 99 en de tweede zal worden toegepast op de groep Grp_Users_IT met een prioriteit van 98.,

het beleid (PSO) wordt opgeslagen in de password Setting Container 1 (PSC) welke is: DOMAIN / System

wachtwoordbeleid beheert ook het vergrendelen van accounts in geval van een slecht wachtwoord.

Maak een wachtwoordbeleid

vanuit de PSC-container, klik op Nieuw 1 en Wachtwoordinstellingen 2.,

Configureer de wachtwoordbeleidsinstellingen door de velden met een *in te vullen.

Champ Commentaire
Naam wachtwoordbeleid naam
Prioriteit het Gewicht voor de toepassing van de strategie, de laagste prioriteit heeft.,
wachtwoorden moeten voldoen aan complexiteitsvereisten Het wachtwoord moet bestaan uit 3 types van personages uit de 4 beschikbare
Kleine
– hoofdletter
– Aantal
Speciale tekens
Toepassen minimum password age Minimale levensduur van wachtwoorden in de dag(en) voordat het kan worden veranderd
Toepassen maximum password age Maximale levensduur van wachtwoorden in de dag(en), alvorens aflopen en de verandering wordt gedwongen
Toepassen accountvergrendelingsbeleid Configuratie van het aantal mislukte pogingen en de vergrendeling van de tijd.,

configureer nu op wie het script zal worden toegepast, klik op Toevoegen 1.

kies de gebruikersgroep (en) 1 en klik op OK 2.

de groep is toegevoegd 1, klik op OK 2 om de strategie te maken.

het 1 beleid wordt toegevoegd aan de container.,

Create a second strategy

dit deel is optioneel, het illustreert het gebruik van verschillende wachtwoordstrategieën.

volg hetzelfde proces als de eerste strategie, de tweede strategie heeft een lagere prioriteit (98), een lengte van 10 en wordt toegepast op de Grp_Users_IT-groep.,

in deze configuratie, als een gebruiker deel uitmaakt van de groep grp_users_it, moet het wachtwoord 10 karakters lang zijn en voor andere gebruikers moet het wachtwoord 7 karakters lang zijn.

Identificeer de wachtwoordstrategie die

toepast er zijn verschillende manieren om te bepalen welk beleid op een gebruiker of groep wordt toegepast.,

Identificeer het wachtwoordbeleid van een gebruiker

nog steeds vanuit de ADAC console, klik met de rechtermuisknop op de gebruiker 1 en klik op de resulterende wachtwoordinstellingen weergeven 2.

het wachtwoordbeleid opent:

identificeer een groepswachtwoordbeleid

klik met de rechtermuisknop op de 1 groep en klik op Eigenschappen 2.,

als een of meer wachtwoordbeleidsregels van toepassing zijn op de groep, wordt dit weergegeven in de sectie Wachtwoordinstellingen die direct geassocieerd zijn.

een bestaand wachtwoordbeleid toewijzen aan een groep

vanuit de eigenschappen van een groep, ga naar de Wachtwoordparameters die direct zijn gekoppeld 1 sectie en klik op de knop Toewijzen 2.,

Selecteer het PSO 1-object dat u wilt toewijzen en klik op OK 2.

het beleid is toegevoegd aan de groep, klik op OK 1 om de instellingen op te slaan.

Test de toepassing van het wachtwoordbeleid

om de toepassing van het wachtwoordbeleid te testen, is het mogelijk om een gebruiker in de Active Directory aan te maken die niet voldoet aan de voorwaarden van de PSO.,

ter herinnering: het standaardbeleid dat door het groepsbeleidsobject wordt gedefinieerd, is 7 tekens en een PSO-beleid dat van toepassing is op alle gebruikers (Domeingebruikers) is gemaakt met een vereiste van 8 tekens.

hieronder staat een nieuwe gebruiker met een wachtwoord van 7 tekens:

bij het valideren van het aanmaken van de gebruiker wordt een foutmelding weergegeven dat het wachtwoord niet aan de criteria voldoet.,

PSO password policies with PowerShell

Les PSO peuvent être administrées avec des Cmdlets PowerShell.

het commando New-ADFineGrainedPasswordPolicy staat het maken van een strategie toe.

het commando Add-ADFineGrainedPasswordPolicySubject maakt het mogelijk om de strategie te koppelen aan een groep of een gebruiker.

Add-ADFineGrainedPasswordPolicySubject AdminsDuDomaine -Subjects "Admins du domaine"


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *