Active Directory: password policy-PSO (Română)
Introducere
În acest tutorial, vom vedea cum se definesc politicile de parole într-un Active Directory pentru conturile de utilizator.
în mod implicit, politica de parolă este definită în Politica de domeniu implicită GPO, care se aplică tuturor computerelor din domeniu, ceea ce face ca Politica să fie aceeași pentru toți utilizatorii.,
în Funcție de utilizatori, poate doriți să se aplice o parolă mai complexă politica din motive de securitate, de exemplu, membrii grupului de Administratori de Domeniu.pentru aceasta vom folosi Password Settings Object (PSO) care este un obiect Active Directory care conține o strategie de parolă care poate fi aplicată unuia sau mai multor grupuri de utilizatori.
politicile de parole sunt configurate folosind consola ADAC.,
Fiecare parola politica are o prioritate, dacă un utilizator are mai multe parola politicile care se aplică, politica cu cea mai mică prioritate va fi aplicat.
Pentru a ilustra acest tutorial, vom crea două strategii, primul va fi aplicat la Domeniul grup de Utilizatori cu o prioritate de 99 si al doilea va fi aplicat la Grp_Users_IT grup care va avea o prioritate de 98.,
politici publice (OSP) sunt stocate în baza de Setare a Parolei Container 1 (COPS), care este: DOMENIU / Sistem
Parola politici gestiona, de asemenea, de blocare de conturi, în caz de rău parola.
creați o politică de parolă
Din containerul PSC, faceți clic pe Nou 1 apoi Setări parolă 2.,
Configurați parola setările de politică prin completarea câmpurilor marcate cu *.
Champ | Commentaire |
---|---|
Nume | politica de Parole nume |
Prioritate | Greutate de aplicare a strategiei, cel mai mic are prioritate., |
Parola trebuie să îndeplinească cerințele de complexitate | parola trebuie să conțină 3 tipuri de personaje din cele 4 disponibile – Tiny – scrisoare de Capital – Numărul – caractere Speciale |
se Aplică vârsta minimă a parolei | Minimă a parolei de viață, în ziua(zilele) înainte de a putea fi schimbat din nou |
se Aplică maximum password age | Maxim parola viață în ziua(zilele) înainte de expirare și schimbare este obligat |
se Aplică cont lockout politica | Configurare a numărului de conexiune nu a reușit încercări și de blocare de timp., |
Acum configura pentru care script-ul va fi aplicat, faceți clic pe se Adaugă 1.
pentru a Alege grupul de utilizatori (s) 1 și faceți clic pe OK 2.
grupul este adăugat 1, faceți clic pe OK 2 pentru a crea o strategie.
1 politica este adăugat la container.,
de a Crea o a doua strategie
Această parte este opțională, se ilustrează utilizarea mai multor parola strategii.
Urmați același proces ca și prima strategie, cea de-a doua strategie va avea o prioritate mai mică (98), cu o lungime de 10 și este aplicată Grp_Users_IT grup.,
În această configurație, dacă un utilizator este parte a Grp_Users_IT grup, parola trebuie să fie de 10 caractere și pentru alți utilizatori, parola trebuie să fie de 7 caractere.
identificați strategia de parolă care se aplică
există mai multe modalități de a identifica ce politică este aplicată unui utilizator sau unui grup.,
identificați Politica de parolă a unui utilizator
încă din consola ADAC, faceți clic dreapta pe utilizator 1 și faceți clic pe Afișați setările de parolă rezultate 2.
parola politica deschide:
Identifica un grup parola politica
click Dreapta pe 1 grup și faceți clic pe Proprietăți 2.,
Dacă una sau mai multe politici de parola se aplică grupului, acesta este afișat în Parola de setări asociate în mod direct secțiune.
Atribui o parolă existentă politică de la un grup
Din proprietatile dintr-un grup, du-te la Parola parametri direct asociate 1 secțiunea și faceți clic pe Assign 2 buton.,
Selectați PSO 1 obiect pentru a atribui și faceți clic pe OK 2.
politica este adăugat la grup, faceți clic pe OK 1 pentru a salva setările.
Test de aplicare a politicii parola
Pentru a testa aplicarea politicii parola, este posibil pentru a crea un utilizator în Active Directory care nu respectă condițiile de OSP.,
ca un memento, politica implicită definită de GPO este de 7 caractere și o politică OSP care se aplică tuturor utilizatorilor (utilizatori de domeniu) a fost creată cu o cerință de 8 caractere.
mai Jos, un nou utilizator cu o parolă care are 7 caractere:
atunci Când validarea crearea de utilizator, apare un mesaj de eroare care indică faptul că parola nu se potrivesc criteriilor.,
OSP politicile parola cu PowerShell
Les OSP peuvent être administrées avec des Cmdlet PowerShell.
comanda New-ADFineGrainedPasswordPolicy
permite crearea unei strategii.
comanda Add-ADFineGrainedPasswordPolicySubject
permite conectarea strategiei la un grup sau la un utilizator.
Add-ADFineGrainedPasswordPolicySubject AdminsDuDomaine -Subjects "Admins du domaine"