Active Directory: pass .ord policy – pso
introduktion
i denne vejledning vil vi se, hvordan du definerer adgangskodepolitikker i en Active Directory for brugerkonti.
som standard er adgangskodepolitikken defineret i GPO ‘ s Standarddomænepolitik, som anvendes på alle computere i domænet, hvilket gør politikken den samme for alle brugere.,
Afhængig af brugerne, du kan ønsker at anvende en mere kompleks adgangskode politik for sikkerhedsmæssige årsager, for eksempel medlemmer af Domain Admins gruppen.
til dette bruger vi Pass .ord Settings Object (PSO), som er et Active Directory-objekt, der indeholder en adgangskodestrategi, der kan anvendes til en eller flere brugergrupper.
adgangskodepolitikker konfigureres ved hjælp af ADAC-konsollen.,
hver adgangskodepolitik har en prioritet, hvis en bruger har flere adgangskodepolitikker, der gælder, vil politikken med den laveste prioritet blive anvendt.
for At illustrere denne tutorial, vil vi oprette to strategier, den første vil blive anvendt til det Domæne, som Brugerne gruppe med en prioritering af 99, og den anden vil blive anvendt til Grp_Users_IT gruppe, der vil have en prioritet i 98.,
De politikker (PSO) er gemt i Password Setting Container 1 (PSC), som er: DOMÆNE / System
Password politikker er også styre låsning af konti i tilfælde af dårligt password.
Opret en adgangskodepolitik
Klik på ny 1 i PSC-beholderen og derefter på Indstillinger for adgangskode 2.,
Konfigurer indstillingerne for adgangskodepolitik ved at udfylde de felter, der er markeret med en *.
| Champ | Commentaire |
|---|---|
| Navn | Password politik navn |
| Prioritet | Vægt for anvendelsen af den strategi, de har laveste prioritet., |
| Password skal opfylde kompleksitet krav | password skal indeholde 3 typer af tegn ud af de 4 tilgængelige – Lille – Kapital bogstav – Antal – specialtegn |
| Anvend minimum password alder | Minimum password levetid i dag(s) før den kan blive ændret igen |
| Anvende maksimal password alder | Maksimal password levetid i dag(e) før udløb, og ændringen er tvunget |
| Anvend konto lockout politik | Konfiguration af antallet af fejlslagne forsøg på at oprette forbindelse og låsning tid., |
Konfigurer nu til hvem scriptet skal anvendes, klik på Tilføj 1.
Vælg den brugergruppe (s) 1, og klik på OK 2.
gruppen er tilføjet 1, klik på OK 2 for at lave den strategi.
1-politik er tilføjet til beholderen.,
Opret en anden strategi
Denne del er valgfri, det illustrerer brugen af flere password strategier.
Følg samme proces, som den første strategi, den anden strategi, vil have en lavere prioritet (98), en længde på 10 og anvendes til Grp_Users_IT gruppe.,
I denne konfiguration, hvis en bruger er en del af Grp_Users_IT gruppe, skal adgangskoden er 10 tegn lang og for andre brugere, skal den adgangskode, der skal være 7 karakterer lang.
Identificer den adgangskodestrategi, der gælder
Der er flere måder at identificere, hvilken politik der anvendes på en bruger eller gruppe.,
Identificer en brugers adgangskodepolitik
Still fra ADAC-konsollen skal du højreklikke på brugeren 1 og klikke på Vis de resulterende adgangskodeindstillinger 2.
password-politik åbner:
Identificere en gruppe-password-politik
højreklik på 1 gruppe, og klik på Egenskaber 2.,
Hvis en eller flere adgangskodepolitikker gælder for gruppen, vises den i afsnittet direkte tilknyttede adgangskodeindstillinger.
Tildel en eksisterende password politik til en gruppe
Fra den ejendomme af en gruppe, skal du gå til Password-parametre, der er direkte forbundet 1 sektion, og klik på Assign-knappen 2.,
Vælg PSO-1 genstand til at tildele og klik på OK 2.
politikken tilføjes til gruppen, klik på OK 1 For at gemme indstillingerne.
Test anvendelsen af password-politik
for At teste anvendelse af den password-politik, er det muligt at oprette en bruger i Active Directory, der ikke overholder betingelserne for PSO.,
som en påmindelse er standardpolitikken defineret af GPO 7 tegn, og en PSO-politik, der gælder for alle brugere (domænebrugere), blev oprettet med et krav på 8 tegn.
Nedenfor er en ny bruger, med et password, der har 7 tegn:
i forbindelse med valideringen af oprettelsen af brugeren, vises der en fejlmeddelelse, der angiver, at adgangskoden ikke matcher de kriterier.,
PSO password politikker med PowerShell
Les PSO peuvent être administrées avec des PowerShell Cmdlets.
kommandoenNew-ADFineGrainedPasswordPolicy tillader oprettelse af en strategi.
kommandoen Add-ADFineGrainedPasswordPolicySubject gør det muligt at linke strategien til en gruppe eller til en bruger.
Add-ADFineGrainedPasswordPolicySubject AdminsDuDomaine -Subjects "Admins du domaine"