Политика паролей домена конфигурируется объектом GPO- Default Domain Policy, которая применяется для всех компьютеров домена. Для того что бы посмотреть или внести изменения в политику паролей, необходимо запустить оснастку "Управление групповой политикой", найти Default Domain Policy, нажать на ней правой кнопкой мыши и выбрать "Изменить".
Зайти "Конфигурация компьютера"- "Политики"- "Конфигурация Windows"- "Параметры безопасности"- "Политики учетных записей"- "Политика паролей", в правом окне вы увидите параметры пароля, которые применяются в вашем домене.
Политика | Краткое пояснение | Возможные значения |
Вести журнал паролей/ Enforce password history | Определяет число новых уникальных паролей | 0-24 |
Максимальный срок действия пароля/ Maximum password age | Определяет период времени (в днях), в течении которого можно использовать пароль, пока система не потребует сменить его. | 1-999 |
Минимальная длина пароля / Minimum password lenght | Параметр определяет минимальное количество знаков, которое должно содержаться в пароле |
0- без пароля 1-14 |
Минимальный срок действия пароля/ Minimum password age | Параметр определяет период времени (в днях)?в течении которого пользователь должен использовать пароль, прежде чем его можно будет изменить. | 0-998 |
Пароль должен отвечать требованиям сложности / Password must meet complexity requirements |
Параметр определяет должен ли пароль отвечать сложности: -не содержать имени учетной записи - длина не менее 6 знаков - содержать заглавные буквы (F, G,R) - содержать строчные буквы (f,y,x) - содержать цифры - содержать спец знаки (#,@,$) |
Включена/ Отключена |
Хранить пароли, используя обратимое шифрование / Store passwords using reversible encryption | Параметр указывает использовать ли операционной системой для хранения паролей обратимое шифрование. | Включена/ Отключена |
Для того что бы изменить параметр достаточно нажать на нем и указать значение. Напомню указанные параметры будут применяться на все компьютеры домена.
Трудности возникают, если у вас в домене должны быть исключение, т.е. пользователь или группа пользователей для которых необходимы иные условия политики пароля. Для этих целей необходимо использовать гранулированную политику пароля. Эти политики представляют отдельный класс объектов AD, который поддерживает параметры гранулированной политики паролей: объект параметров политики PSO (Password Settings Object). Гранулированные политики пароля не реализованы как часть групповой политики и не применяются объектами GPO их можно применить отдельно к пользователю или глобальной группе.
Для того, что бы настроить PSO необходимо запустить adsiedit.msc, для этого нажимаете кнопку "Пуск", в окне "Выполнить", введите "adsiedit.msc" и нажмите кнопку "Enter".
В оснастке "Редактор ADSI" щелкните правой кнопкой мыши Редактор ADSI и выберите команду Подключение к...
Нажмите на кнопку "OK", чтобы выбрать настройки по умолчанию в диалоговом окне "Параметры подключения" или в поле Имя введите полное доменное имя для того домена, в котором требуется создать объект параметров паролей, а затем нажмите кнопку "ОК".
Далее зайдите по пути "DC=<имя_домена>"- "CN=System"- "CN=Password Setings Container".
Щелкните правой кнопкой пункт "CN=Password Setings Container", выберите команду "Создать", а затем пункт "Объект".
В диалоговом окне Создание объекта в разделе Выберите класс щелкните атрибут msDS-PasswordSettings (выбора как такого у вас не будет, поскольку атрибут будет один), затем нажмите кнопку "Далее".
После этого мастер поможет создать объект настроек для пароля Password Settings Object. Необходимо будет указать значение для каждого из следующих 10 атрибутов. Ниже представлена таблица с кратким описанием и возможными значениями атрибутов.
Имя атрибута | Краткое описание | Возможные значения |
Cn | <Имя PSO> | Любое допустимое имя Windows |
msDS-PasswordSettingsPrecedence | Параметр, используемый в качестве стоимости или приоритета для различных политик на тот случай, если для одного пользователя настраивается несколько политик PSO. Чем выше приоритет у настройки пароля PSO, тем меньше значение этого параметра. | Больше 0 |
msDS-PasswordReversibleEncryptionEnabled | Статус обратимого шифрования пароля для учетных записей пользователей | FALSE / TRUE (рекомендуемое значение – FALSE) |
msDS-PasswordHistoryLength | Длина журнала пароля для учетных записей пользователей | От 0 до 1024 |
msDS-PasswordComplexityEnabled | Состояние сложности паролей учетных записей пользователей | FALSE / TRUE (рекомендуемое значение – TRUE) |
msDS-MinimumPasswordLength | Минимальная длина паролей учетных записей пользователей | От 0 до 255 |
msDS-MinimumPasswordAge | Минимальный срок действия паролей учетных записей пользователей | От 00:00:00:00 до значения атрибута msDS-MaximumPasswordAge (Например 1:00:00:00 -1 день) |
msDS-MaximumPasswordAge | Максимальный срок действия паролей учетных записей пользователей |
(Например 90:00:00:00 - 90 дней) |
msDS-LockoutThreshold | Количество попыток ввода неверного пароля после которого учетная запись будет заблокирована | От 0 до 65535 |
msDS-LockoutObservationWindow | Через это время счетчик количества попыток ввода неверного пароля будет обнулен |
(Например 0:00:30:00 -30 минут) |
После того как создана PSO, необходимо добавить в него пользователя или группу пользователей, к которым будет применяться указанные настройки пароля. Для этого нажимаем правой кнопкой мыши на PSO и выбираем "Свойства".
В редакторе атрибутов находим и выбираем атрибут msDS-PSOAppliesTo и нажимаем кнопку "Изменить".
В открывшемся окне "Редактор многозначных различаемых имен субъектов безопасности" добавляем пользователей или глобальную группу безопасности, к которым должен применяться объект параметров паролей и нажимаем "Ок".
Теперь можно проверить действительно ли примерилась политика паролей PSO, для этого запустите Active Directory Пользователи и компьютеры, если у вас не включены дополнительные компоненты - включите их (нажмите "Вид" и поставьте галочку напротив Дополнительные компоненты), откройте свойства интересующего вас пользователя или группы, выберите вкладку "Редактор атрибутов", нажмите кнопку "Фильтр" в области Показать атрибуты, доступные только для чтения поставьте галочку Построенные. После этого найдите атрибут msDS-ResultantPSO в нем должен быть указан созданная вами или результирующая политика паролей Password Settings Object.
Если все указано верно настройку политик паролей PSO можно считать успешно завершенной.
Я очень надеюсь, моя статья помогла Вам! Просьба поделиться ссылкой с друзьями:
Комментарии
Всегда стоит оставлять её девственно чистой.. Создайте новый объект групповой политики и уже ковыряйте политику паролей там.
в Active Directory / PSO
gpupdate /force
И тут даны разъяснения как проверить работает ли это.
СПАСИБО!
Причина: Если пароль истекает в течении рабочего дня, то программы типа Outlook продолжают ломиться к серваку под старым паролей и учетная запись блокируется на 10 минут, доступ к сетевым ресурсам прекращается.
Считаю, что в статье должен быть ход дальнейших рассуждений.