Active Directory : password policy-PSO
Inleiding
in deze tutorial zullen we zien hoe u wachtwoordbeleid definieert in een Active Directory voor gebruikersaccounts.
standaard wordt het wachtwoordbeleid gedefinieerd in het standaarddomeinbeleid van het groepsbeleidsobject dat wordt toegepast op alle computers in het domein, waardoor het beleid voor alle gebruikers hetzelfde is.,
afhankelijk van de gebruikers kunt u om veiligheidsredenen een complexer wachtwoordbeleid toepassen, bijvoorbeeld leden van de groep Domeinadministrators.
hiervoor gebruiken we Password Settings Object (PSO), een Active Directory-object dat een wachtwoordstrategie bevat die kan worden toegepast op een of meer gebruikersgroepen.
wachtwoordbeleid wordt geconfigureerd met behulp van de ADAC-console.,
elk wachtwoordbeleid heeft een prioriteit, als een gebruiker meerdere wachtwoordbeleid heeft dat van toepassing is, zal het beleid met de LAAGSTE prioriteit worden toegepast.
om deze handleiding te illustreren, zullen we twee strategieën maken, de eerste zal worden toegepast op de groep Domeingebruikers met een prioriteit van 99 en de tweede zal worden toegepast op de groep Grp_Users_IT met een prioriteit van 98.,
het beleid (PSO) wordt opgeslagen in de password Setting Container 1 (PSC) welke is: DOMAIN / System
wachtwoordbeleid beheert ook het vergrendelen van accounts in geval van een slecht wachtwoord.
Maak een wachtwoordbeleid
vanuit de PSC-container, klik op Nieuw 1 en Wachtwoordinstellingen 2.,
Configureer de wachtwoordbeleidsinstellingen door de velden met een *in te vullen.
| Champ | Commentaire |
|---|---|
| Naam | wachtwoordbeleid naam |
| Prioriteit | het Gewicht voor de toepassing van de strategie, de laagste prioriteit heeft., |
| wachtwoorden moeten voldoen aan complexiteitsvereisten | Het wachtwoord moet bestaan uit 3 types van personages uit de 4 beschikbare Kleine – hoofdletter – Aantal Speciale tekens |
| Toepassen minimum password age | Minimale levensduur van wachtwoorden in de dag(en) voordat het kan worden veranderd |
| Toepassen maximum password age | Maximale levensduur van wachtwoorden in de dag(en), alvorens aflopen en de verandering wordt gedwongen |
| Toepassen accountvergrendelingsbeleid | Configuratie van het aantal mislukte pogingen en de vergrendeling van de tijd., |
configureer nu op wie het script zal worden toegepast, klik op Toevoegen 1.
kies de gebruikersgroep (en) 1 en klik op OK 2.
de groep is toegevoegd 1, klik op OK 2 om de strategie te maken.
het 1 beleid wordt toegevoegd aan de container.,
Create a second strategy
dit deel is optioneel, het illustreert het gebruik van verschillende wachtwoordstrategieën.
volg hetzelfde proces als de eerste strategie, de tweede strategie heeft een lagere prioriteit (98), een lengte van 10 en wordt toegepast op de Grp_Users_IT-groep.,
in deze configuratie, als een gebruiker deel uitmaakt van de groep grp_users_it, moet het wachtwoord 10 karakters lang zijn en voor andere gebruikers moet het wachtwoord 7 karakters lang zijn.
Identificeer de wachtwoordstrategie die
toepast er zijn verschillende manieren om te bepalen welk beleid op een gebruiker of groep wordt toegepast.,
Identificeer het wachtwoordbeleid van een gebruiker
nog steeds vanuit de ADAC console, klik met de rechtermuisknop op de gebruiker 1 en klik op de resulterende wachtwoordinstellingen weergeven 2.
het wachtwoordbeleid opent:
identificeer een groepswachtwoordbeleid
klik met de rechtermuisknop op de 1 groep en klik op Eigenschappen 2.,
als een of meer wachtwoordbeleidsregels van toepassing zijn op de groep, wordt dit weergegeven in de sectie Wachtwoordinstellingen die direct geassocieerd zijn.
een bestaand wachtwoordbeleid toewijzen aan een groep
vanuit de eigenschappen van een groep, ga naar de Wachtwoordparameters die direct zijn gekoppeld 1 sectie en klik op de knop Toewijzen 2.,
Selecteer het PSO 1-object dat u wilt toewijzen en klik op OK 2.
het beleid is toegevoegd aan de groep, klik op OK 1 om de instellingen op te slaan.
Test de toepassing van het wachtwoordbeleid
om de toepassing van het wachtwoordbeleid te testen, is het mogelijk om een gebruiker in de Active Directory aan te maken die niet voldoet aan de voorwaarden van de PSO.,
ter herinnering: het standaardbeleid dat door het groepsbeleidsobject wordt gedefinieerd, is 7 tekens en een PSO-beleid dat van toepassing is op alle gebruikers (Domeingebruikers) is gemaakt met een vereiste van 8 tekens.
hieronder staat een nieuwe gebruiker met een wachtwoord van 7 tekens:
bij het valideren van het aanmaken van de gebruiker wordt een foutmelding weergegeven dat het wachtwoord niet aan de criteria voldoet.,
PSO password policies with PowerShell
Les PSO peuvent être administrées avec des Cmdlets PowerShell.
het commando New-ADFineGrainedPasswordPolicy staat het maken van een strategie toe.
het commando Add-ADFineGrainedPasswordPolicySubject maakt het mogelijk om de strategie te koppelen aan een groep of een gebruiker.
Add-ADFineGrainedPasswordPolicySubject AdminsDuDomaine -Subjects "Admins du domaine"