Active Directory : passord policy – PSO
Innledning
I denne opplæringen, vil vi se på hvordan du definerer passordet politikk i et Active Directory for brukerkontoer.
standard passord policy er definert i GPO Standard domenepolicy som er brukt på alle datamaskinene i domenet, noe som gjør den politikken den samme for alle brukere.,
Avhengig av brukere, kan du ønsker å bruke en mer komplisert passord policy for sikkerhetsmessige årsaker, for eksempel medlemmer av Domain Admins gruppe.
For dette vil vi bruke Passordet Innstillinger Objekt (PSO), som er en Active Directory-objekt som inneholder et passord strategi som kan brukes til en eller flere brukergrupper.
Passord politikk er konfigurert ved hjelp av ADAC-konsollen.,
Hver passord-policy som har en prioritet, hvis en bruker har flere passord policyer, policy-med lavest prioritet vil bli brukt.
for Å illustrere denne opplæringen, vil vi lage to strategier, den første vil bli brukt til Domenet gruppe Brukere med en prioritering av 99 og den andre vil bli brukt til Grp_Users_IT gruppe som vil ha en prioritering av 98.,
politikk (PSO) er lagret i Passord-Innstillingen Beholder 1 (PSC), som er: DOMENE / System
Passord politikk også administrere låse kontoer i tilfelle av dårlig passord.
Opprett et passord policy
Fra PSC container, klikk på Nye 1-Passordet innstillinger 2.,
Konfigurer innstillingene for passordpolicy ved å fylle ut feltene merket med *.
Champ | Commentaire |
---|---|
Navn | Passord policy-navn |
Hovedside | Vekt for anvendelse av strategi, har lavest prioritet., |
Passord må oppfylle kompleksitet krav | passordet må inneholde 3 typer av tegn ut av de 4 ledige – Små – Capital letter – Nummer – Spesielle tegn |
Bruk minimum passord alder | Minimum passord levetid i dag(er) før det kan bli endret igjen |
Bruke maksimal passord alder | Maksimal passord levetid i dagen(e) før utløpet og endring er tvunget |
Bruk konto lockout for personvern | Konfigurering av antall av mislykkede forbindelse forsøk og låse tid., |
Nå konfigurere hvem skriptet vil bli brukt, klikker du på Legg til-1.
Velg brukeren gruppen (e) 1, og klikk på OK 2.
gruppen er lagt til 1, klikker du OK 2 for å lage en strategi.
1 politikken er lagt til beholderen.,
Opprett en ny strategi
Denne delen er valgfritt, det illustrerer bruken av flere passord strategier.
Følger den samme prosessen som den første strategien, den andre strategien vil ha en lavere prioritet (98), en lengde på 10 og brukes til Grp_Users_IT gruppe.,
I denne konfigurasjonen, hvis en bruker er en del av Grp_Users_IT gruppe, passord må være 10 tegn langt, og for andre brukere, passord må være 7 tegn.
Identifisere passord strategi som gjelder
Det er flere måter å identifisere hvilke retningslinjer er brukt til en bruker eller gruppe.,
Identifisere en brukers passord policy
Fortsatt fra ADAC-konsollen, høyre-klikk på user 1, og klikk på Vise den resulterende passordet innstillinger 2.
passord policy åpner:
Identifisere en gruppe passord policy
høyreklikk på 1 gruppen, og klikk på Egenskaper 2.,
Hvis ett eller flere passord retningslinjer gjelder for gruppen, det vises i Passordet innstillinger direkte forbundet delen.
Angi en eksisterende passord policy til en gruppe
Fra egenskaper til en gruppe, kan du gå til Passord parametere som er direkte forbundet 1-delen, og klikk på Tilordne 2-knappen.,
Velg PSO 1 objekt for å tilordne og klikk på OK 2.
politikken er lagt til i gruppen, klikker du på OK 1 for å lagre innstillingene.
Test anvendelsen av passord policy
for Å teste bruk av passord policy, det er mulig å opprette en bruker i Active Directory som ikke respekterer betingelsene for PSO.,
Som en påminnelse, standard retningslinjer definert av GPO 7 tegn og en PSO-policyen som gjelder for alle brukere (Domene-brukere) ble opprettet med en 8-karakter kravet.
Nedenfor, en ny bruker med et passord som har 7 tegn:
Når du godkjenner etablering av brukeren, vises en feilmelding som angir at passordet ikke samsvarer med kriteriene.,
PSO passord politikk med PowerShell
Les PSO peuvent être administrées avec des PowerShell Cmdlets.
kommandoen New-ADFineGrainedPasswordPolicy
tillater etablering av en strategi.
kommandoen Add-ADFineGrainedPasswordPolicySubject
gjør det mulig å koble strategi til en gruppe eller til en bruker.
Add-ADFineGrainedPasswordPolicySubject AdminsDuDomaine -Subjects "Admins du domaine"