Политика паролей в Active Directory / PSO

Оцените материал
(8 голосов)

Ввод пароля при входе на компьютер, является неотъемлемой составляющей безопасности в домене. Контроль за политикой паролей пользователей (сложность пароля, минимальная длина и т.д.) является одной из важных задач для администраторов. В этой статье я подробно опишу изменение политики паролей с помощью GPO для всех пользователей домена, а так же опишу способ как сделать исключения политик паролей для некоторых пользователей или группы пользователей.

Политика паролей домена конфигурируется объектом GPO- Default Domain Policy, которая применяется для всех компьютеров домена. Для того что бы посмотреть или внести изменения в политику паролей, необходимо запустить оснастку "Управление групповой политикой", найти Default Domain Policy, нажать на ней правой кнопкой мыши и выбрать "Изменить".

Зайти "Конфигурация компьютера"- "Политики"- "Конфигурация Windows"- "Параметры безопасности"- "Политики учетных записей"- "Политика паролей", в правом окне вы увидите параметры пароля, которые применяются в вашем домене.

Политика Краткое пояснение Возможные значения
Вести журнал паролей/ Enforce password history Определяет число новых уникальных паролей  0-24
Максимальный срок действия пароля/ Maximum password age Определяет период времени (в днях), в течении которого можно использовать пароль, пока система не потребует сменить его. 1-999
Минимальная длина пароля / Minimum password lenght Параметр определяет минимальное количество знаков, которое должно содержаться в пароле

0- без пароля

1-14

Минимальный срок действия пароля/ Minimum password age  Параметр определяет период времени (в днях)?в течении которого пользователь должен использовать пароль, прежде чем его можно будет изменить. 0-998
Пароль должен отвечать требованиям сложности / Password must meet complexity requirements

Параметр определяет должен ли пароль отвечать сложности:

-не содержать имени учетной записи

- длина не менее 6 знаков

- содержать заглавные буквы (F, G,R)

- содержать строчные буквы (f,y,x)

- содержать цифры

- содержать спец знаки (#,@,$)

Включена/ Отключена
Хранить пароли, используя обратимое шифрование / Store passwords using reversible encryption Параметр указывает использовать ли операционной системой для хранения паролей обратимое шифрование. Включена/ Отключена

 Для того что бы изменить параметр достаточно нажать на нем и указать значение. Напомню указанные параметры будут применяться на все компьютеры домена.

Трудности возникают, если у вас в домене должны быть исключение, т.е. пользователь или группа пользователей для которых необходимы иные условия политики пароля. Для этих целей необходимо использовать гранулированную политику пароля. Эти политики представляют отдельный класс объектов AD, который поддерживает параметры гранулированной политики паролей: объект параметров политики PSO (Password Settings Object).  Гранулированные политики пароля не реализованы как часть групповой политики и не применяются объектами GPO их можно применить отдельно к пользователю или глобальной группе.

Для того, что бы настроить PSO необходимо запустить adsiedit.msc, для этого нажимаете кнопку "Пуск", в окне "Выполнить", введите "adsiedit.msc" и нажмите кнопку "Enter".

В оснастке "Редактор ADSI" щелкните правой кнопкой мыши Редактор ADSI и выберите команду Подключение к...

Нажмите на кнопку "OK", чтобы выбрать настройки по умолчанию в диалоговом окне "Параметры подключения" или в поле Имя введите полное доменное имя для того домена, в котором требуется создать объект параметров паролей, а затем нажмите кнопку "ОК".

Далее зайдите по пути "DC=<имя_домена>"- "CN=System"- "CN=Password Setings Container".

Щелкните правой кнопкой пункт "CN=Password Setings Container", выберите команду "Создать", а затем пункт "Объект".

 В диалоговом окне Создание объекта в разделе Выберите класс щелкните атрибут msDS-PasswordSettings (выбора как такого у вас не будет, поскольку атрибут будет один), затем нажмите кнопку "Далее".


После этого мастер поможет создать объект настроек для пароля Password Settings Object. Необходимо будет указать значение для каждого из следующих 10 атрибутов. Ниже представлена таблица с кратким описанием и возможными значениями атрибутов.

Имя атрибута Краткое описание Возможные значения
Cn <Имя PSO> Любое допустимое имя Windows
msDS-PasswordSettingsPrecedence Параметр, используемый в качестве стоимости или приоритета для различных политик на тот случай, если для одного пользователя настраивается несколько политик PSO. Чем выше приоритет у настройки пароля PSO, тем меньше значение этого параметра. Больше 0
msDS-PasswordReversibleEncryptionEnabled Статус обратимого шифрования пароля для учетных записей пользователей FALSE / TRUE (рекомендуемое значение – FALSE)
msDS-PasswordHistoryLength Длина журнала пароля для учетных записей пользователей От 0 до 1024
msDS-PasswordComplexityEnabled Состояние сложности паролей учетных записей пользователей FALSE / TRUE (рекомендуемое значение – TRUE)
msDS-MinimumPasswordLength Минимальная длина паролей учетных записей пользователей От 0 до 255
msDS-MinimumPasswordAge Минимальный срок действия паролей учетных записей пользователей От 00:00:00:00 до значения атрибута msDS-MaximumPasswordAge (Например 1:00:00:00 -1 день)
msDS-MaximumPasswordAge Максимальный срок действия паролей учетных записей пользователей
  • От значения атрибута msDS-MinimumPasswordAge до (Никогда)

  • Значение msDS-MaximumPasswordAge не может быть равным 0

(Например 90:00:00:00 - 90 дней)

msDS-LockoutThreshold Количество попыток ввода неверного пароля после которого учетная запись будет заблокирована От 0 до 65535
msDS-LockoutObservationWindow Через это время счетчик количества попыток ввода неверного пароля будет обнулен
  • (Не установлен)

  • (Никогда)

  • От значения атрибута msDS-LockoutObservationWindow до (Никогда)

(Например 0:00:30:00 -30 минут)

 После того как создана PSO, необходимо добавить в него пользователя или группу пользователей, к которым будет применяться указанные настройки пароля. Для этого нажимаем правой кнопкой мыши на PSO и выбираем "Свойства".

В редакторе атрибутов находим и выбираем атрибут msDS-PSOAppliesTo и нажимаем кнопку "Изменить".

В открывшемся окне "Редактор многозначных различаемых имен субъектов безопасности" добавляем пользователей или глобальную группу безопасности, к которым должен применяться объект параметров паролей и нажимаем "Ок".

Теперь можно проверить действительно ли примерилась политика паролей PSO, для этого запустите Active Directory Пользователи и компьютеры, если у вас не включены дополнительные компоненты - включите их (нажмите "Вид" и поставьте галочку напротив Дополнительные компоненты), откройте свойства интересующего вас пользователя или группы, выберите вкладку "Редактор атрибутов", нажмите кнопку "Фильтр" в области Показать атрибуты, доступные только для чтения  поставьте галочку Построенные. После этого найдите атрибут msDS-ResultantPSO в нем должен быть указан созданная вами или результирующая политика паролей Password Settings Object.

Если все указано верно настройку политик паролей PSO можно считать успешно завершенной.

Я очень надеюсь, моя статья помогла Вам! Просьба поделиться ссылкой с друзьями:


Комментарии   

 
0 # Luther 22.02.2017 14:14
Yeah bookmaking this wasn't a high risk conclusion great post!



Review my web page - foreclosure homes for sale in vancouver bc (Kai: http://www.cnjute.net/comment/html/index.php?page=1&id=5480)
Ответить | Ответить с цитатой | Цитировать
 
 
0 # Domenic 22.02.2017 11:27
Just visit any online music store and download songs for free.

com is music industry information source that connects its visitors to every music memorabilia and unlimited music posters
for your Musical Needs, dream or desire. But then, the advent of internet,
broadband, compressed audio formats and more portable media
players has led to the revolutionary changes in this industry.


Feel free to visit my blog :: rae sremmurd black
beatles sheet music: https://musicnotesworld.com/rae-sremmurd-black-beatles/
Ответить | Ответить с цитатой | Цитировать
 
 
0 # Otto 22.02.2017 08:18
There is definately a lot to find out about this
subject. I love all of the points youu have made.


Here is my blog post alpari ea builder help (bilena.ru: http://bilena.ru/?option=com_k2&view=itemlist&task=user&id=218652)
Ответить | Ответить с цитатой | Цитировать
 
 
0 # Randi 22.02.2017 04:30
I absolutely love your blog.. Great colors & theme.
Did you make this amazing site yourself? Please reply back as I'm wanting
to create my own personal website and would like to find out where you got this from or exactly what the theme is called.
Thank you!

my homepage; Google+: https://plus.google.com/102030726118991113965
Ответить | Ответить с цитатой | Цитировать
 
 
0 # Eloy 21.02.2017 19:41
I do not even know how I ended up here, but I thought this post was great.
I don't know who you are but definitely you are going to a famous blogger if you are
not already ;) Cheers!

Review my web blog :: Google+: https://plus.google.com/105899227375669682094
Ответить | Ответить с цитатой | Цитировать
 
 
0 # Abraham 21.02.2017 16:58
Hello! Do you use Twitter? I'd like to follow you iff that would be okay.
I'm absolutely enjoyijng your blog and look forward to new
updates.

Also visit mmy weblog - how to attract women without words (Francine: http://www.lekic.me/?option=com_k2&view=itemlist&task=user&id=1969148)
Ответить | Ответить с цитатой | Цитировать
 
 
0 # Chastity 21.02.2017 16:27
A lot more frequently than not, if a man trips up and loses his way while dieting, any weight obtain happens at a
significantly slower rate than it would for a lady.

This is due to the precise levels of a variety of diverse
hormones which girls carry around in their bodies.

Here is my web site :: 12 week workout routine for
mass: http://s3.amazonaws.com/loswgt/index/28.html
Ответить | Ответить с цитатой | Цитировать
 
 
0 # max_isaev 24.01.2017 11:12
Если надо, что-бы политики применились сразу
gpupdate /force
Ответить | Ответить с цитатой | Цитировать
 
 
0 # Alexey 18.01.2017 12:25
Можно ли установить пароль на запуск AD? В организации есть несколько пользователей с админскими правами. Я как админ AD не хочу чтбы другие админы могли производить запуск AD без моего разрешения. Удаление их из списка админов DefPol не возможно, т.к. на эту политику завязаны несколько сегментов сети. Есть ли решение, чтобы только один админ мог выполнять вход в AD?на сервере блочить их логины не вариант, этот же сервер является сервером DNS для других сегментов.
Ответить | Ответить с цитатой | Цитировать
 
 
0 # Evgeny 16.11.2016 15:26
Отличная статья, мне помогло сделать различные требования к паролям для пользователям. В сети находил другие описания где в параметрах msDS-LockoutObs ervationWindow указывалось число -45000000000, где сказано, что это равнялось задержке 15 минут, в итоге задержка получилась 1 час 15 минут.
И тут даны разъяснения как проверить работает ли это.

СПАСИБО!
Ответить | Ответить с цитатой | Цитировать
 
 
0 # ДмитрийKRMK 21.04.2016 16:27
Как сделать следующее : Нужно что бы пароль истекал ровно в 00:00, а не через заданное время действия пароля(то есть если пользователь сменил его в 10 утра , то через 42 дня пароль пароль считается просроченным с 00:00 часов а не с 10:00)
Причина: Если пароль истекает в течении рабочего дня, то программы типа Outlook продолжают ломиться к серваку под старым паролей и учетная запись блокируется на 10 минут, доступ к сетевым ресурсам прекращается.
Ответить | Ответить с цитатой | Цитировать
 
 
0 # Dino 22.05.2016 09:40
Решили проблему? Если а - расскажите каким образом :-?
Ответить | Ответить с цитатой | Цитировать
 
 
0 # Аркадий 12.01.2016 11:31
Я под админом запустил, у меня Default policy невозможно изменить. Кнопка серенькая. Я залогинен админом и запускал оснастку в качестве админа (правой кнопкой и выбрал меню соответствующее )
Ответить | Ответить с цитатой | Цитировать
 
 
0 # tale 15.12.2015 12:47
Сделал все по статье - не применена. в чем ошибка?
Считаю, что в статье должен быть ход дальнейших рассуждений.
Ответить | Ответить с цитатой | Цитировать
 
 
0 # kda 18.08.2015 04:49
Спасибо огромное, очень помогло! :-) ;-)
Ответить | Ответить с цитатой | Цитировать
 
 
+1 # Deniz 08.06.2015 20:57
Спасибо, мне помогло :-)
Ответить | Ответить с цитатой | Цитировать
 

Добавить комментарий


Защитный код
Обновить

Войти Регистрация

Войти

Как увеличить скорость Интернета 3g/4g


Copyright © 2012- 2014
Копирование и размещение материалов сайта pk-help.com возможно только с проставлением обязательной активной ссылки на источник.