Active Directory: password policy – PSO (Português)
Introduction
neste tutorial, veremos como definir as Políticas de password num directório activo para as contas de utilizador.
Por padrão a Política de senha é definida na Política de domínio padrão GPO que é aplicada a todos os computadores no domínio, o que faz a política a mesma para todos os usuários.,
segundo os usuários, você pode querer aplicar uma mais complexa política de palavra-passe por razões de segurança, por exemplo, os membros do grupo Admins do Domínio.
para isso, vamos usar o objeto de configuração de senha (PSO) que é um objeto de diretório ativo que contém uma estratégia de senha que pode ser aplicada a um ou mais grupos de usuários.as Políticas de senha são configuradas usando a consola ADAC.,
Cada uma política de palavra-passe tem uma prioridade, se um usuário tiver várias diretivas de senha que se aplicam, a política com a prioridade mais baixa serão aplicadas.
Para ilustrar este tutorial, iremos criar duas estratégias, a primeira será aplicada para o grupo Usuários do Domínio, com prioridade de 99 e a segunda será aplicada a Grp_Users_IT grupo que terá uma prioridade de 98.,
As políticas (PSO) são armazenados no Contêiner de Configuração de Senha 1 (PSC), que é: DOMÍNIO / Sistema
diretivas de Senha também gerenciar o bloqueio de contas no caso de palavra-passe incorrecta.
criar uma política de senha
a partir do recipiente PSC, clique em Nova 1 e depois na configuração da senha 2.,
Configurar as configurações de diretiva de senha preenchendo os campos marcados com um *.
Champ | Commentaire |
---|---|
Nome | diretiva de Senha nome |
Prioridade | Peso para a aplicação da estratégia, o menor tem prioridade., |
Senha deve satisfazer a requisitos de complexidade | senha deve conter 3 tipos de caracteres dos 4 disponível Pequeno – carta Capital Número – caracteres Especiais |
Aplicar duração mínima da senha | senha Mínimo de vida útil, em dia(s) antes de ele pode ser alterado novamente |
Aplicar o máximo da palavra-passe | senha Máxima vida útil, em dia(s) antes da data de expiração e a mudança é forçada |
Aplicar diretiva de bloqueio de conta | Configuração do número de falhas em tentativas de conexão e o fecho do tempo., |
Agora configurar a quem o script será aplicado, clique em add (Adicionar) 1.
Escolha o grupo de usuário (s) 1 e clique em OK 2.
O grupo é adicionado 1, clique em OK 2 para criar a estratégia.
O 1 política é adicionada ao recipiente.,
Criar uma segunda estratégia
Esta parte é opcional, ilustra o uso de vários senha estratégias.
siga o mesmo processo que a primeira estratégia, a segunda estratégia terá uma prioridade menor (98), um comprimento de 10 e é aplicada ao grupo Grp_Users_IT.,
nesta configuração, se um usuário é parte de Grp_Users_IT grupo, a senha deve ser de 10 caracteres e para outros usuários, a senha deve ser de 7 caracteres.
identifique a estratégia de senha que se aplica
Existem várias maneiras de identificar qual política é aplicada a um usuário ou grupo.,
identifique a Política de senha do utilizador
ainda na consola ADAC, carregue com o botão direito no utilizador 1 e carregue em mostrar a configuração da senha resultante 2.
A diretiva de senha será aberta:
Identificar um grupo da política de senha
botão Direito do mouse no grupo 1 e clique em Propriedades 2.,
Se uma ou mais Políticas de senha se aplicarem ao grupo, é mostrado na secção de configuração da senha directamente associada.
Atribuir uma palavra-passe existente diretiva de grupo
a Partir de propriedades de um grupo, vá para os parâmetros de Senha diretamente associado 1 seção e clique em Atribuir botão 2.,
Seleccione o PSO 1 objeto atribuir e clique em OK 2.
A política é adicionado ao grupo, clique em OK 1 para salvar as configurações.
Testar a aplicação da política de palavra-passe
Para testar o aplicativo da política de palavra-passe, é possível criar um usuário no Active Directory que não respeite as condições do PSO.,
Como um lembrete, a Política padrão definida pelo GPO é de 7 caracteres e uma política de PSO que se aplica a todos os usuários (usuários do domínio) foi criada com um requisito de 8 caracteres.
Abaixo, um novo usuário com uma senha de 7 caracteres:
Ao validar a criação do usuário, uma mensagem de erro é exibida, indicando que a senha não correspondem aos critérios.,
PSO políticas de palavra-passe com o PowerShell
Les PSO peuvent être administrées avec des Cmdlets do PowerShell.
o comando New-ADFineGrainedPasswordPolicy
permite a criação de uma estratégia.
o comando Add-ADFineGrainedPasswordPolicySubject
permite ligar a estratégia a um grupo ou a um utilizador.
Add-ADFineGrainedPasswordPolicySubject AdminsDuDomaine -Subjects "Admins du domaine"