Active Directory: password policy-PSO (Polski)
wprowadzenie
w tym samouczku zobaczymy, jak zdefiniować zasady haseł w Active Directory dla kont użytkowników.
domyślnie Polityka haseł jest zdefiniowana w domyślnej Polityce domen GPO, która jest stosowana do wszystkich komputerów w domenie, co sprawia, że polityka ta jest taka sama dla wszystkich użytkowników.,
w zależności od użytkowników, możesz chcieć zastosować bardziej złożoną politykę haseł ze względów bezpieczeństwa, na przykład członków grupy administratorów domeny.
w tym celu użyjemy obiektu Password Settings Object (PSO), który jest obiektem Active Directory, który zawiera strategię haseł, która może być zastosowana do jednej lub więcej grup użytkowników.
zasady haseł są konfigurowane za pomocą konsoli ADAC.,
każda Polityka haseł ma priorytet, jeśli użytkownik ma wiele zasad haseł, które mają zastosowanie, Polityka o najniższym priorytecie zostanie zastosowana.
aby zilustrować ten samouczek, utworzymy dwie strategie, pierwsza zostanie zastosowana do grupy użytkowników domeny o priorytecie 99, a druga zostanie zastosowana do grupy Grp_Users_IT, która będzie miała priorytet 98.,
Zasady (PSO) są przechowywane w kontenerze ustawień hasła 1 (PSC), który jest: domena/System
zasady haseł również zarządzają blokowaniem kont w przypadku błędnego hasła.
Utwórz politykę haseł
z kontenera PSC, kliknij Nowy 1, a następnie Ustawienia hasła 2.,
skonfiguruj ustawienia zasad haseł, wypełniając pola oznaczone *.
| Champ | commentaire | |
|---|---|---|
| nazwa | nazwa polityki hasła | |
| priorytet | waga dla zastosowania strategii, najniższy ma priorytet., | |
| Hasło musi spełniać wymagania dotyczące złożoności | hasło musi zawierać 3 typy znaków z 4 dostępnych – Małe – Wielka Litera – Liczba – znaki specjalne |
|
| Zastosuj minimalny wiek hasła | minimalny okres życia hasła w dniach przed ponowną zmianą | |
| Zastosuj maksymalny wiek hasła | wiek hasła | maksymalny okres ważności hasła w dniach przed wygaśnięciem i zmianą jest wymuszony |
| zastosuj zasady blokowania konta | konfiguracja liczby nieudanych prób połączenia i czasu blokowania., |
teraz skonfiguruj, do kogo zostanie zastosowany skrypt, kliknij Dodaj 1.
Wybierz grupę użytkowników 1 i kliknij OK 2.
grupa jest dodawana 1, Kliknij OK 2, aby utworzyć strategię.
1 polityka jest dodawana do kontenera.,
Utwórz drugą strategię
ta część jest opcjonalna, ilustruje użycie kilku strategii haseł.
wykonaj ten sam proces co pierwsza strategia, druga strategia będzie miała niższy priorytet (98), długość 10 i jest stosowana do grupy Grp_Users_IT.,
w tej konfiguracji, jeśli użytkownik jest częścią grupy grp_users_it, hasło musi mieć długość 10 znaków, a dla innych użytkowników hasło musi mieć długość 7 znaków.
Określ strategię haseł, która ma zastosowanie
istnieje kilka sposobów na określenie, która polityka ma zastosowanie do użytkownika lub grupy.,
Zidentyfikuj politykę haseł użytkownika
jeszcze z konsoli ADAC, kliknij prawym przyciskiem myszy na użytkowniku 1 i kliknij Wyświetl wynikowe ustawienia hasła 2.
otwiera się polityka haseł:
zidentyfikuj politykę haseł grupy
kliknij prawym przyciskiem myszy na grupie 1 i kliknij Właściwości 2.,
Jeśli do grupy ma zastosowanie jedna lub więcej zasad dotyczących haseł, jest ona wyświetlana w sekcji Ustawienia haseł bezpośrednio powiązanych.
Przypisz istniejącą politykę haseł do grupy
z właściwości grupy przejdź do parametrów haseł bezpośrednio związanych z sekcją 1 i kliknij przycisk Przypisz 2.,
wybierz obiekt PSO 1, Aby przypisać i kliknij OK 2.
polityka jest dodawana do grupy, kliknij OK 1, aby zapisać ustawienia.
testowanie stosowania polityki haseł
aby przetestować Stosowanie polityki haseł, możliwe jest utworzenie użytkownika w Active Directory, który nie przestrzega warunków PSO.,
dla przypomnienia, domyślna Polityka zdefiniowana przez GPO to 7 znaków, a polityka PSO, która dotyczy wszystkich użytkowników (użytkowników domeny) została utworzona z wymogiem 8 znaków.
poniżej Nowy użytkownik z hasłem, które ma 7 znaków:
podczas walidacji tworzenia użytkownika wyświetlany jest komunikat o błędzie wskazujący, że hasło nie spełnia kryteriów.,
zasady haseł PSO za pomocą PowerShell
Zasady PSO peuvent être administratées avec des Cmdlets PowerShell.
polecenieNew-ADFineGrainedPasswordPolicy umożliwia tworzenie strategii.
polecenieAdd-ADFineGrainedPasswordPolicySubject pozwala połączyć strategię z grupą lub z użytkownikiem.
Add-ADFineGrainedPasswordPolicySubject AdminsDuDomaine -Subjects "Admins du domaine"