KeyWeb

В самом начале хочу сказать, что данный функционал реализуем только в домене с уровнем не ниже 2008. Преимущества здесь очевидны, политика паролей как правило настраивается на уровне домена в Default Domain Policy, по умолчанию политика паролей может быть только одна в рамках домена. Создание объекта PSO (fine-grained password policy) позволяет сделать исключение для членов определенной группы на применение политики паролей с другими параметрами, к примеру длиной пароля или сроком жизни пароля, ниже опишу процесс создания такого объекта, процесс привязки к группе безопасности.

Этап 1 - Проверка уровня домена

Необходимо открыть ADUC - ПКМ на имени домена - Raise domain functional level, в открывшемся коне будет указан уровень функционирования домена, если уровень 2008 или выше, переходим к следующему этапу.

Этап 2 - Создание OU и группы безопасности

Как создавать организационную единицу надеюсь Вы знаете, расскажу лишь некоторые нюансы:

  • группу необходимо создавать и держать в OU в которой будут находится объекты, которые будут являться членом этой группы
  • группа безопасности должна быть глобальной

Этап 3 - Создание PSO

В своем окружении у меня используется проверка на сложный пароль, длину пароля, количество запоминаемых паролей, для некоторых учетных записей необходимо создать более мягкую политику - несложный пароль, не хранить пароли и т.п., ниже опишу щаги по созданию такой политики, в данном случае необходимо:

  • воспользоваться оснасткой ADSI Edit
  • подключиться к требуемому домену
  • перейти в OU = Ваш домен - System - Password Settings Container нажать ПКМ и выбрать - New - Object...

в открывшемся окне выбрать msDS-PasswordSettings и далее на всех шагах Next, описание шагов:

  • cn - указываем имя объекта
  • msDS-PasswordSettingsPrecedence - указываем приоритет параметров пароля - 10
  • msDS-PasswordReversibleEncryptionEnabled - статус обратимого шифрования, рекомендуемое - False
  • msDS-PasswordHistoryLength - длина журнала истории, не хранить - 0
  • msDS-PasswordComplexityEnabled - сложность пароля, выключить - False
  • msDS-MinimumPasswordLength - минимальная длина пароля, так как пароль будет использоваться простой, ставим - 10
  • msDS-MinimumPasswordAge - минимальный срок жизни пароля, не устанавливаем - (None)
  • msDS-MaximumPasswordAge - максимальный срок жизни пароля, не устанавливаем - (None)
  • msDS-LockoutThreshold - порог блокировки - 10
  • msDS-LockoutObservationWindow - период сброса счетчика блокировок, устанавливаем 30 минут - 0:00:30:00
  • msDS-LockoutDuration - длительность блокировки, устанавливаем в 30 минут - 0:00:30:00

Далее появляется финишное окно в котром необходимо нажать кнопку More Attributes и указать значение параметра - msDS-PSOAppliesTo, здесь указывается имя группы в формате DN, в моем случае это - CN=GentleUsers,CN=Users,DC=domain,DC=local:

create pso

Этап 4 - Тестирование

Итак, группа создана, обозначена в созданном объекте PSO, теперь создаем пользователя в той же OU, что и группа, пробуем задать простой пароль, на что получаем соответствующее уведомление о том, что пароль не соответствует политике паролей, добавляем пользователя в члены созданной группы, снова пробуем менять пароль и вуаля, пароль изменен.

Доп. ресурсы

Добавить комментарий


Обновить
Защитный код

KeyWeb

Сейчас один гость и ни одного зарегистрированного пользователя на сайте

Вверх
Вниз