Active Directory: password policy-PSO (Italiano)
Introduzione
In questo tutorial, vedremo come definire le politiche delle password in una Active Directory per gli account utente.
Per impostazione predefinita, il criterio della password è definito nel Criterio del dominio predefinito GPO che viene applicato a tutti i computer del dominio, il che rende il criterio lo stesso per tutti gli utenti.,
A seconda degli utenti, è possibile applicare una politica di password più complessa per motivi di sicurezza, ad esempio membri del gruppo Domain Admins.
Per questo useremo Password Settings Object (PSO) che è un oggetto Active Directory che contiene una strategia di password che può essere applicata a uno o più gruppi di utenti.
I criteri delle password vengono configurati utilizzando la console ADAC.,
Ogni criterio di password ha una priorità, se un utente ha più criteri di password che si applicano, verrà applicato il criterio con la priorità più bassa.
Per illustrare questo tutorial, creeremo due strategie, la prima verrà applicata al gruppo Utenti dominio con una priorità di 99 e la seconda verrà applicata al gruppo Grp_Users_IT che avrà una priorità di 98.,
Le politiche (PSO) sono memorizzati nella Impostazione della Password Contenitore 1 (PSC) che è: DOMINIO / Sistema
Password anche i criteri di gestire la chiusura dei conti in caso di password errata.
Crea un criterio password
Dal contenitore PSC, fai clic su Nuovo 1 quindi su Impostazioni password 2.,
Configurare le impostazioni dei criteri della password compilando i campi contrassegnati con un *.
| Campione | Commentaire |
|---|---|
| Nome | politica di Password nome |
| Priorità | Peso per l’applicazione della strategia, il più basso ha la priorità., |
| Password devono essere conformi ai requisiti di complessità | La password deve contenere da 3 tipi di caratteri dei 4 disponibili Piccoli – la lettera maiuscola Numero – caratteri Speciali |
| Applica validità minima password | Minimo password durata di un giorno(s) prima di poter essere nuovamente cambiato |
| Applica validità massima password | password di Massima durata in giorni(s) prima della data di scadenza e il cambiamento è costretto |
| Applicare il criterio di blocco account | Configurazione del numero di tentativi di connessione non riusciti, e la chiusura di tempo., |
Ora configura a chi verrà applicato lo script, fai clic su Aggiungi 1.
Scegliere il gruppo di utenti 1 e fare clic su OK 2.
Il gruppo viene aggiunto 1, fare clic su OK 2 per creare la strategia.
Il criterio 1 viene aggiunto al contenitore.,
Crea una seconda strategia
Questa parte è facoltativa, illustra l’uso di diverse strategie di password.
Seguire lo stesso processo della prima strategia, la seconda strategia avrà una priorità inferiore (98), una lunghezza di 10 e viene applicata al gruppo Grp_Users_IT.,
In questa configurazione, se un utente fa parte del Grp_Users_IT gruppo, la password deve essere di 10 caratteri e per gli altri utenti, la password deve essere di 7 caratteri.
Identificare la strategia di password che si applica
Esistono diversi modi per identificare quale criterio viene applicato a un utente o gruppo.,
Identificare la politica della password di un utente
Ancora dalla console ADAC, fare clic destro sull’utente 1 e fare clic su Visualizza le impostazioni della password risultanti 2.
Il criterio di password si apre:
Identificare un gruppo politica di password
fare clic Destro sull’1 gruppo e fare clic su Proprietà 2.,
Se al gruppo si applicano uno o più criteri di password, questo viene visualizzato nella sezione Impostazioni password direttamente associate.
Assegna un criterio di password esistente a un gruppo
Dalle proprietà di un gruppo, vai alla sezione Parametri password direttamente associati 1 e fai clic sul pulsante Assegna 2.,
Selezionare l’oggetto PSO 1 da assegnare e fare clic su OK 2.
Il criterio viene aggiunto al gruppo, fare clic su OK 1 per salvare le impostazioni.
Test l’applicazione del criterio di password
Per testare l’applicazione del criterio di password, è possibile creare un utente in Active Directory che non rispetteranno le condizioni di PSO.,
Come promemoria, il criterio predefinito definito dal GPO è di 7 caratteri e un criterio PSO che si applica a tutti gli utenti (utenti di dominio) è stato creato con un requisito di 8 caratteri.
di Seguito, un nuovo utente con una password di 7 caratteri:
Quando si conferma la creazione dell’utente, viene visualizzato un messaggio che indica che la password non corrispondono ai criteri.,
Politiche delle password PSO con PowerShell
Les PSO peuvent être administrées avec des Cmdlets PowerShell.
Il comando New-ADFineGrainedPasswordPolicy permette la creazione di una strategia.
Il comando Add-ADFineGrainedPasswordPolicySubject permette di collegare la strategia ad un gruppo o ad un utente.
Add-ADFineGrainedPasswordPolicySubject AdminsDuDomaine -Subjects "Admins du domaine"