Active Directory:password policy-PSO
はじめに
このチュートリアルでは、ユーザーアカウントのActive Directoryでパスワードポリシーを定義する方法について説明します。
既定では、パスワードポリシーは、ドメイン内のすべてのコンピューターに適用されるGPO既定のドメインポリシーで定義されています。,
ユーザーによっては、セキュリティ上の理由から、Domain Adminsグループのメンバーなど、より複雑なパスワードポリシーを適用
このためには、一つ以上のユーザーグループに適用できるパスワード戦略を含むActive Directoryオブジェクトであるパスワード設定オブジェクト(PSO)を使用します。
パスワードポリシーはADACコンソールを使用して設定されます。,
各パスワードポリシーには優先順位があり、ユーザーが複数のパスワードポリシーを適用している場合、最も優先度の低いポリシーが適用されます。
このチュートリアルを説明するために、我々は二つの戦略を作成します、最初は99の優先度を持つドメインユーザーグループに適用され、第二は98の優先度を持つGrp_Users_ITグループに適用されます。,
政策(PSO)が格納されたパスワード設定コンテナ1(PSC)には: ドメイン-システム
パスワードポリシー管理に努めるものとする。ロックの口座の場合は悪いパスワードになります。
パスワードポリシーを作成します
PSCコンテナから、新規1次にパスワード設定2をクリックします。,
*でマークされたフィールドに入力して、パスワードポリシー設定を構成します。
チャンプ | commentaire | ||||||
---|---|---|---|---|---|---|---|
名前 | パスワードポリシー名 | ||||||
優先順位 | 戦略の適用のための重みは、最も低い優先順位を持っています。, | ||||||
パスワードは複雑さの要件を満たしている必要があります | パスワードには3種類の文字が含まれている必要があります4利用可能な –タイニー –大文字 –数 –特殊文字 |
||||||
最小パスワード有効期間を適用します | |||||||
最大パスワード有効期間を適用します | 最大パスワード有効期間を適用します | 最大パスワード有効期間を適用します | 最大パスワード有効期間を適用します | 最大パスワード有効期間を適用します | 最大パスワード有効期間を適用します | 有効期限および変更が強制される前の日のパスワードの有効期間 | |
アカウントロックアウトポリシーの適用 | 失敗した接続試行回数とロック, |
スクリプトを適用する人に設定し、追加1をクリックします。
ユーザーグループ1を選択し、OK2をクリックします。
グループが追加されます1、OKをクリックします2戦略を作成します。
1ポリシーがコンテナに追加されます。,
第二の戦略を作成します
この部分はオプションですが、いくつかのパスワード戦略
最初の戦略と同じプロセスに従ってください、第二の戦略は、より低い優先度(98)、10の長さを有し、Grp_Users_ITグループに適用されます。,
この構成では、ユーザーがgrp_users_itグループの一部である場合、パスワードの長さは10文字である必要があり、他のユーザーの場合は7文字である必要があります。
適用するパスワード戦略の識別
ユーザーまたはグループに適用されるポリシーを識別するには、いくつかの方法があります。,
ユーザーのパスワードポリシーを識別する
ADACコンソールから、ユーザー1を右クリックし、結果のパスワード設定を表示2をクリックします。
パスワードポリシーが開きます。
グループパスワードポリシーを識別
1グループを右クリックし、プロパティ2をクリックします。,
グループにパスワードポリシーが適用される場合、パスワード設定に直接関連付けられたセクションに表示されます。
既存のパスワードポリシーをグループに割り当てる
グループのプロパティから、直接関連付けられたパスワードパラメータ1セクションに移動し、割り当て2ボタンをクリックします。,
割り当てるPSO1オブジェクトを選択し、OK2をクリックします。
ポリシーがグループに追加され、OK1をクリックして設定を保存します。
パスワードポリシーの適用をテストする
パスワードポリシーの適用をテストするには、Psoの条件を尊重しないActive Directory,
注意として、GPOによって定義される既定のポリシーは7文字であり、すべてのユーザー(ドメインユーザー)に適用されるPSOポリシーは8文字の要件で作成されました。
以下に、7文字のパスワードを持つ新しいユーザーを示します。
ユーザーの作成を検証すると、パスワードが条件に一致しないことを示すエラーメッセージが表示されます。,
PowerShellによるPSOパスワードポリシー
Les PSO peuventôtre administrées avec des Cmdlets PowerShell.
コマンドNew-ADFineGrainedPasswordPolicy
戦略の作成を可能にします。
コマンドAdd-ADFineGrainedPasswordPolicySubject
戦略をグループまたはユーザーにリンクすることができます。
Add-ADFineGrainedPasswordPolicySubject AdminsDuDomaine -Subjects "Admins du domaine"