Среда, 29 мая 2013 09:15

Политика паролей в Active Directory / PSO

Оцените материал
(11 голосов)

Ввод пароля при входе на компьютер, является неотъемлемой составляющей безопасности в домене. Контроль за политикой паролей пользователей (сложность пароля, минимальная длина и т.д.) является одной из важных задач для администраторов. В этой статье я подробно опишу изменение политики паролей с помощью GPO для всех пользователей домена, а так же опишу способ как сделать исключения политик паролей для некоторых пользователей или группы пользователей.

Политика паролей домена конфигурируется объектом GPO- Default Domain Policy, которая применяется для всех компьютеров домена. Для того что бы посмотреть или внести изменения в политику паролей, необходимо запустить оснастку "Управление групповой политикой", найти Default Domain Policy, нажать на ней правой кнопкой мыши и выбрать "Изменить".

Зайти "Конфигурация компьютера"- "Политики"- "Конфигурация Windows"- "Параметры безопасности"- "Политики учетных записей"- "Политика паролей", в правом окне вы увидите параметры пароля, которые применяются в вашем домене.

Политика Краткое пояснение Возможные значения
Вести журнал паролей/ Enforce password history Определяет число новых уникальных паролей  0-24
Максимальный срок действия пароля/ Maximum password age Определяет период времени (в днях), в течении которого можно использовать пароль, пока система не потребует сменить его. 1-999
Минимальная длина пароля / Minimum password lenght Параметр определяет минимальное количество знаков, которое должно содержаться в пароле

0- без пароля

1-14

Минимальный срок действия пароля/ Minimum password age  Параметр определяет период времени (в днях)?в течении которого пользователь должен использовать пароль, прежде чем его можно будет изменить. 0-998
Пароль должен отвечать требованиям сложности / Password must meet complexity requirements

Параметр определяет должен ли пароль отвечать сложности:

-не содержать имени учетной записи

- длина не менее 6 знаков

- содержать заглавные буквы (F, G,R)

- содержать строчные буквы (f,y,x)

- содержать цифры

- содержать спец знаки (#,@,$)

Включена/ Отключена
Хранить пароли, используя обратимое шифрование / Store passwords using reversible encryption Параметр указывает использовать ли операционной системой для хранения паролей обратимое шифрование. Включена/ Отключена

 Для того что бы изменить параметр достаточно нажать на нем и указать значение. Напомню указанные параметры будут применяться на все компьютеры домена.

Трудности возникают, если у вас в домене должны быть исключение, т.е. пользователь или группа пользователей для которых необходимы иные условия политики пароля. Для этих целей необходимо использовать гранулированную политику пароля. Эти политики представляют отдельный класс объектов AD, который поддерживает параметры гранулированной политики паролей: объект параметров политики PSO (Password Settings Object).  Гранулированные политики пароля не реализованы как часть групповой политики и не применяются объектами GPO их можно применить отдельно к пользователю или глобальной группе.

Для того, что бы настроить PSO необходимо запустить adsiedit.msc, для этого нажимаете кнопку "Пуск", в окне "Выполнить", введите "adsiedit.msc" и нажмите кнопку "Enter".

В оснастке "Редактор ADSI" щелкните правой кнопкой мыши Редактор ADSI и выберите команду Подключение к...

Нажмите на кнопку "OK", чтобы выбрать настройки по умолчанию в диалоговом окне "Параметры подключения" или в поле Имя введите полное доменное имя для того домена, в котором требуется создать объект параметров паролей, а затем нажмите кнопку "ОК".

Далее зайдите по пути "DC=<имя_домена>"- "CN=System"- "CN=Password Setings Container".

Щелкните правой кнопкой пункт "CN=Password Setings Container", выберите команду "Создать", а затем пункт "Объект".

 В диалоговом окне Создание объекта в разделе Выберите класс щелкните атрибут msDS-PasswordSettings (выбора как такого у вас не будет, поскольку атрибут будет один), затем нажмите кнопку "Далее".


После этого мастер поможет создать объект настроек для пароля Password Settings Object. Необходимо будет указать значение для каждого из следующих 10 атрибутов. Ниже представлена таблица с кратким описанием и возможными значениями атрибутов.

Имя атрибута Краткое описание Возможные значения
Cn <Имя PSO> Любое допустимое имя Windows
msDS-PasswordSettingsPrecedence Параметр, используемый в качестве стоимости или приоритета для различных политик на тот случай, если для одного пользователя настраивается несколько политик PSO. Чем выше приоритет у настройки пароля PSO, тем меньше значение этого параметра. Больше 0
msDS-PasswordReversibleEncryptionEnabled Статус обратимого шифрования пароля для учетных записей пользователей FALSE / TRUE (рекомендуемое значение – FALSE)
msDS-PasswordHistoryLength Длина журнала пароля для учетных записей пользователей От 0 до 1024
msDS-PasswordComplexityEnabled Состояние сложности паролей учетных записей пользователей FALSE / TRUE (рекомендуемое значение – TRUE)
msDS-MinimumPasswordLength Минимальная длина паролей учетных записей пользователей От 0 до 255
msDS-MinimumPasswordAge Минимальный срок действия паролей учетных записей пользователей От 00:00:00:00 до значения атрибута msDS-MaximumPasswordAge (Например 1:00:00:00 -1 день)
msDS-MaximumPasswordAge Максимальный срок действия паролей учетных записей пользователей
  • От значения атрибута msDS-MinimumPasswordAge до (Никогда)

  • Значение msDS-MaximumPasswordAge не может быть равным 0

(Например 90:00:00:00 - 90 дней)

msDS-LockoutThreshold Количество попыток ввода неверного пароля после которого учетная запись будет заблокирована От 0 до 65535
msDS-LockoutObservationWindow Через это время счетчик количества попыток ввода неверного пароля будет обнулен
  • (Не установлен)

  • (Никогда)

  • От значения атрибута msDS-LockoutObservationWindow до (Никогда)

(Например 0:00:30:00 -30 минут)

 После того как создана PSO, необходимо добавить в него пользователя или группу пользователей, к которым будет применяться указанные настройки пароля. Для этого нажимаем правой кнопкой мыши на PSO и выбираем "Свойства".

В редакторе атрибутов находим и выбираем атрибут msDS-PSOAppliesTo и нажимаем кнопку "Изменить".

В открывшемся окне "Редактор многозначных различаемых имен субъектов безопасности" добавляем пользователей или глобальную группу безопасности, к которым должен применяться объект параметров паролей и нажимаем "Ок".

Теперь можно проверить действительно ли примерилась политика паролей PSO, для этого запустите Active Directory Пользователи и компьютеры, если у вас не включены дополнительные компоненты - включите их (нажмите "Вид" и поставьте галочку напротив Дополнительные компоненты), откройте свойства интересующего вас пользователя или группы, выберите вкладку "Редактор атрибутов", нажмите кнопку "Фильтр" в области Показать атрибуты, доступные только для чтения  поставьте галочку Построенные. После этого найдите атрибут msDS-ResultantPSO в нем должен быть указан созданная вами или результирующая политика паролей Password Settings Object.

Если все указано верно настройку политик паролей PSO можно считать успешно завершенной.

Я очень надеюсь, моя статья помогла Вам! Просьба поделиться ссылкой с друзьями:


Комментарии  

+6 # Anonymos 15.01.2018 22:53
Не надо ковырять Default Domain Policy.
Всегда стоит оставлять её девственно чистой.. Создайте новый объект групповой политики и уже ковыряйте политику паролей там.
Ответить
0 # Dane 16.04.2017 21:09
Thanks for finally writing about >Политика паролей
в Active Directory / PSO
Ответить
-2 # max_isaev 24.01.2017 11:12
Если надо, что-бы политики применились сразу
gpupdate /force
Ответить
0 # Alexey 18.01.2017 12:25
Можно ли установить пароль на запуск AD? В организации есть несколько пользователей с админскими правами. Я как админ AD не хочу чтбы другие админы могли производить запуск AD без моего разрешения. Удаление их из списка админов DefPol не возможно, т.к. на эту политику завязаны несколько сегментов сети. Есть ли решение, чтобы только один админ мог выполнять вход в AD?на сервере блочить их логины не вариант, этот же сервер является сервером DNS для других сегментов.
Ответить
-1 # Evgeny 16.11.2016 15:26
Отличная статья, мне помогло сделать различные требования к паролям для пользователям. В сети находил другие описания где в параметрах msDS-LockoutObs ervationWindow указывалось число -45000000000, где сказано, что это равнялось задержке 15 минут, в итоге задержка получилась 1 час 15 минут.
И тут даны разъяснения как проверить работает ли это.

СПАСИБО!
Ответить
-1 # ДмитрийKRMK 21.04.2016 16:27
Как сделать следующее : Нужно что бы пароль истекал ровно в 00:00, а не через заданное время действия пароля(то есть если пользователь сменил его в 10 утра , то через 42 дня пароль пароль считается просроченным с 00:00 часов а не с 10:00)
Причина: Если пароль истекает в течении рабочего дня, то программы типа Outlook продолжают ломиться к серваку под старым паролей и учетная запись блокируется на 10 минут, доступ к сетевым ресурсам прекращается.
Ответить
+1 # Dino 22.05.2016 09:40
Решили проблему? Если а - расскажите каким образом :-?
Ответить
0 # Аркадий 12.01.2016 11:31
Я под админом запустил, у меня Default policy невозможно изменить. Кнопка серенькая. Я залогинен админом и запускал оснастку в качестве админа (правой кнопкой и выбрал меню соответствующее )
Ответить
0 # Илья 28.07.2020 09:10
Ты должен быть с ролью Domain Admin, а не просто запустить под админом.
Ответить
0 # tale 15.12.2015 12:47
Сделал все по статье - не применена. в чем ошибка?
Считаю, что в статье должен быть ход дальнейших рассуждений.
Ответить
0 # kda 18.08.2015 04:49
Спасибо огромное, очень помогло! :-) ;-)
Ответить
+2 # Deniz 08.06.2015 20:57
Спасибо, мне помогло :-)
Ответить

Добавить комментарий