Политика паролей в Active Directory / PSO

Среда, 29 мая 2013 09:15

Политика паролей в Active Directory / PSO

Автор Nick

Комментарии (1565)

Оцените материал

(11 голосов)

Ввод пароля при входе на компьютер, является неотъемлемой составляющей безопасности в домене. Контроль за политикой паролей пользователей (сложность пароля, минимальная длина и т.д.) является одной из важных задач для администраторов. В этой статье я подробно опишу изменение политики паролей с помощью GPO для всех пользователей домена, а так же опишу способ как сделать исключения политик паролей для некоторых пользователей или группы пользователей.

Политика паролей домена конфигурируется объектом GPO- Default Domain Policy, которая применяется для всех компьютеров домена. Для того что бы посмотреть или внести изменения в политику паролей, необходимо запустить оснастку "Управление групповой политикой", найти Default Domain Policy, нажать на ней правой кнопкой мыши и выбрать "Изменить".

Зайти "Конфигурация компьютера"- "Политики"- "Конфигурация Windows"- "Параметры безопасности"- "Политики учетных записей"- "Политика паролей", в правом окне вы увидите параметры пароля, которые применяются в вашем домене.

Политика	Краткое пояснение	Возможные значения
Вести журнал паролей/ Enforce password history	Определяет число новых уникальных паролей	0-24
Максимальный срок действия пароля/ Maximum password age	Определяет период времени (в днях), в течении которого можно использовать пароль, пока система не потребует сменить его.	1-999
Минимальная длина пароля / Minimum password lenght	Параметр определяет минимальное количество знаков, которое должно содержаться в пароле	0- без пароля 1-14
Минимальный срок действия пароля/ Minimum password age	Параметр определяет период времени (в днях)?в течении которого пользователь должен использовать пароль, прежде чем его можно будет изменить.	0-998
Пароль должен отвечать требованиям сложности / Password must meet complexity requirements	Параметр определяет должен ли пароль отвечать сложности: -не содержать имени учетной записи - длина не менее 6 знаков - содержать заглавные буквы (F, G,R) - содержать строчные буквы (f,y,x) - содержать цифры - содержать спец знаки (#,@,$)	Включена/ Отключена
Хранить пароли, используя обратимое шифрование / Store passwords using reversible encryption	Параметр указывает использовать ли операционной системой для хранения паролей обратимое шифрование.	Включена/ Отключена

Для того что бы изменить параметр достаточно нажать на нем и указать значение. Напомню указанные параметры будут применяться на все компьютеры домена.

Трудности возникают, если у вас в домене должны быть исключение, т.е. пользователь или группа пользователей для которых необходимы иные условия политики пароля. Для этих целей необходимо использовать гранулированную политику пароля. Эти политики представляют отдельный класс объектов AD, который поддерживает параметры гранулированной политики паролей: объект параметров политики PSO (Password Settings Object). Гранулированные политики пароля не реализованы как часть групповой политики и не применяются объектами GPO их можно применить отдельно к пользователю или глобальной группе.

Для того, что бы настроить PSO необходимо запустить adsiedit.msc, для этого нажимаете кнопку "Пуск", в окне "Выполнить", введите "adsiedit.msc" и нажмите кнопку "Enter".

В оснастке "Редактор ADSI" щелкните правой кнопкой мыши Редактор ADSI и выберите команду Подключение к...

Нажмите на кнопку "OK", чтобы выбрать настройки по умолчанию в диалоговом окне "Параметры подключения" или в поле Имя введите полное доменное имя для того домена, в котором требуется создать объект параметров паролей, а затем нажмите кнопку "ОК".

Далее зайдите по пути "DC=<имя_домена>"- "CN=System"- "CN=Password Setings Container".

Щелкните правой кнопкой пункт "CN=Password Setings Container", выберите команду "Создать", а затем пункт "Объект".

В диалоговом окне Создание объекта в разделе Выберите класс щелкните атрибут msDS-PasswordSettings (выбора как такого у вас не будет, поскольку атрибут будет один), затем нажмите кнопку "Далее".

После этого мастер поможет создать объект настроек для пароля Password Settings Object. Необходимо будет указать значение для каждого из следующих 10 атрибутов. Ниже представлена таблица с кратким описанием и возможными значениями атрибутов.

Имя атрибута	Краткое описание	Возможные значения
Cn	<Имя PSO>	Любое допустимое имя Windows
msDS-PasswordSettingsPrecedence	Параметр, используемый в качестве стоимости или приоритета для различных политик на тот случай, если для одного пользователя настраивается несколько политик PSO. Чем выше приоритет у настройки пароля PSO, тем меньше значение этого параметра.	Больше 0
msDS-PasswordReversibleEncryptionEnabled	Статус обратимого шифрования пароля для учетных записей пользователей	FALSE / TRUE (рекомендуемое значение – FALSE)
msDS-PasswordHistoryLength	Длина журнала пароля для учетных записей пользователей	От 0 до 1024
msDS-PasswordComplexityEnabled	Состояние сложности паролей учетных записей пользователей	FALSE / TRUE (рекомендуемое значение – TRUE)
msDS-MinimumPasswordLength	Минимальная длина паролей учетных записей пользователей	От 0 до 255
msDS-MinimumPasswordAge	Минимальный срок действия паролей учетных записей пользователей	От 00:00:00:00 до значения атрибута msDS-MaximumPasswordAge (Например 1:00:00:00 -1 день)
msDS-MaximumPasswordAge	Максимальный срок действия паролей учетных записей пользователей	От значения атрибута msDS-MinimumPasswordAge до (Никогда) Значение msDS-MaximumPasswordAge не может быть равным 0 (Например 90:00:00:00 - 90 дней)
msDS-LockoutThreshold	Количество попыток ввода неверного пароля после которого учетная запись будет заблокирована	От 0 до 65535
msDS-LockoutObservationWindow	Через это время счетчик количества попыток ввода неверного пароля будет обнулен	(Не установлен) (Никогда) От значения атрибута msDS-LockoutObservationWindow до (Никогда) (Например 0:00:30:00 -30 минут)

После того как создана PSO, необходимо добавить в него пользователя или группу пользователей, к которым будет применяться указанные настройки пароля. Для этого нажимаем правой кнопкой мыши на PSO и выбираем "Свойства".

В редакторе атрибутов находим и выбираем атрибут msDS-PSOAppliesTo и нажимаем кнопку "Изменить".

В открывшемся окне "Редактор многозначных различаемых имен субъектов безопасности" добавляем пользователей или глобальную группу безопасности, к которым должен применяться объект параметров паролей и нажимаем "Ок".

Теперь можно проверить действительно ли примерилась политика паролей PSO, для этого запустите Active Directory Пользователи и компьютеры, если у вас не включены дополнительные компоненты - включите их (нажмите "Вид" и поставьте галочку напротив Дополнительные компоненты), откройте свойства интересующего вас пользователя или группы, выберите вкладку "Редактор атрибутов", нажмите кнопку "Фильтр" в области Показать атрибуты, доступные только для чтения поставьте галочку Построенные. После этого найдите атрибут msDS-ResultantPSO в нем должен быть указан созданная вами или результирующая политика паролей Password Settings Object.

Если все указано верно настройку политик паролей PSO можно считать успешно завершенной.

Я очень надеюсь, моя статья помогла Вам! Просьба поделиться ссылкой с друзьями:

Похожие материалы (по тегу)

%%

my webpage; poker online, www.sentenze.Ti.ch: http://www.sentenze.ti.ch/cgi-bin/nph-omniscgi?OmnisPlatform=WINDOWS&WebServerUrl=wolverhamptonbsc.com&WebServerScript=/cgi-bin/nph-omniscgi&OmnisLibrary=JURISWEB&OmnisClass=rtFindinfoWebHtmlService&OmnisServer=JURISWEB,193.246.182.54:6000&Parametername=WWWTI&Schema=TI_WEB&Source=&Aufruf=loadTemplate&cTemplate=directory_unterrechtsgebiete.fiw&F50_KEY=2&F50_BEZEICHNUNG=Diritto%20internazionale&F50_CODE=02,