Active Directory: password policy – pso
introduktion
i den här handledningen ser vi hur du definierar lösenordspolicyer i en aktiv katalog för användarkonton.
som standard definieras lösenordspolicyn i GPO: s Standarddomänpolicy som tillämpas på alla datorer i domänen, vilket gör policyn densamma för alla användare.,
beroende på användarna kanske du vill tillämpa en mer komplex lösenordspolicy av säkerhetsskäl, till exempel medlemmar i gruppen domänadministratörer.
För detta kommer vi att använda Password Settings Object (pso) som är ett Active Directory-objekt som innehåller en lösenordsstrategi som kan tillämpas på en eller flera användargrupper.
Lösenordspolicyer konfigureras med ADAC-konsolen.,
varje lösenordspolicy har en prioritet, om en användare har flera lösenordspolicyer som gäller kommer policyn med LÄGSTA prioritet att tillämpas.
för att illustrera denna handledning kommer vi att skapa två strategier, den första kommer att tillämpas på Domänanvändargruppen med en prioritet på 99 och den andra kommer att tillämpas på Grp_Users_IT-gruppen som kommer att ha en prioritet på 98.,
policyerna (PSO) lagras i Lösenordsinställningsbehållaren 1 (PSC) som är: domän / System
lösenord policies hanterar också låsning av konton vid dåligt lösenord.
skapa en lösenordspolicy
från PSC-behållaren klickar du på Ny 1 och sedan på lösenordsinställningar 2.,
konfigurera inställningarna för lösenordspolicyn genom att fylla i fälten markerade med en *.
| Champ | Commentaire | |||
|---|---|---|---|---|
| namn | lösenord principnamn | |||
| prioritet | vikt för tillämpningen av strategin har den lägsta prioritet., | |||
| Lösenordet måste uppfylla komplexitetskraven | lösenordet måste innehålla 3 typer av tecken av 4 tillgängliga – Tiny – stor bokstav – nummer – specialtecken |
|||
| tillämpa minsta lösenordsålder | minsta lösenord livstid i dag(ar) innan det kan ändras igen | |||
| tillämpa högsta lösenordsålder | maximal lösenord ålder | lösenord livstid i dag(ar) före utgången och förändring tvingas | ||
| tillämpa konto lockout policy | konfiguration av antalet misslyckade anslutningsförsök och låstiden., |
Konfigurera nu till vem skriptet ska tillämpas, klicka på Lägg till 1.
Välj användargrupp (er) 1 och klicka på OK 2.
gruppen läggs till 1, Klicka på OK 2 för att skapa strategin.
1-Principen läggs till i behållaren.,
skapa en andra strategi
denna del är valfri, den visar användningen av flera lösenordsstrategier.
följ samma process som den första strategin, den andra strategin kommer att ha en lägre prioritet (98), en längd på 10 och tillämpas på Grp_Users_IT-gruppen.,
om en användare ingår i grp_users_it-gruppen måste lösenordet vara 10 tecken långt och för andra användare måste lösenordet vara 7 tecken långt.
identifiera lösenordsstrategin som gäller
det finns flera sätt att identifiera vilken policy som tillämpas på en användare eller grupp.,
identifiera en användares lösenordspolicy
fortfarande från ADAC-konsolen, högerklicka på användaren 1 och klicka på Visa de resulterande lösenordsinställningarna 2.
lösenordspolicyn öppnas:
identifiera en grupplösenordspolicy
högerklicka på 1-gruppen och klicka på Egenskaper 2.,
om en eller flera lösenordspolicyer gäller för gruppen visas den i avsnittet lösenordsinställningar som är direkt associerade.
tilldela en befintlig lösenordspolicy till en grupp
från egenskaperna hos en grupp, gå till Lösenordsparametrarna direkt associerade 1-avsnittet och klicka på Tilldela 2-knappen.,
välj objektet PSO 1 att tilldela och klicka på OK 2.
policyn läggs till i gruppen, klicka på OK 1 för att spara inställningarna.
testa tillämpningen av lösenordspolicyn
för att testa tillämpningen av lösenordspolicyn är det möjligt att skapa en användare i den aktiva katalogen som inte respekterar villkoren för PSO.,
som en påminnelse är standardpolicyn som definieras av GPO 7 tecken och en PSO-policy som gäller för alla användare (domänanvändare) skapades med ett 8-teckenskrav.
nedan visas en ny användare med ett lösenord med 7 Tecken:
När du validerar användarens skapande visas ett felmeddelande som anger att lösenordet inte matchar kriterierna.,
pso lösenordspolicyer med PowerShell
Les pso peuvent être administrées avec des Cmdlets PowerShell.
kommandotNew-ADFineGrainedPasswordPolicy tillåter att en strategi skapas.
kommandotAdd-ADFineGrainedPasswordPolicySubject tillåter att länka strategin till en grupp eller till en användare.
Add-ADFineGrainedPasswordPolicySubject AdminsDuDomaine -Subjects "Admins du domaine"