Konfigurer flere adgangskodepolitikker på et enkelt domæne i Server 2012

Konfigurer flere adgangskodepolitikker på et enkelt domæne i Server 2012

07.11.2013

gæst

i tip & rådgivning,indlæsning…

konfiguration af adgangskodeindstillinger objekter til at oprette flere finkornede adgangskodepolitikker på et enkelt domæne

har du nogensinde haft problemer, når du prøver at anvende forskellige adgangskodepolitikker på brugere eller grupper på det samme domæne? Hvis så fortsæt med at læse.

Server 2012 har nu en GUI-baseret version af Active Directory (AD) såvel som den mere konventionelle version, vi alle er vant til. Du kan gøre alt i den nye version, som du kunne i den gamle, men på lidt forskellige måder. Selvom dette kan tage lidt tid at vænne sig til, skal du holde fast ved det, da jeg slet ikke ville blive overrasket, hvis den næste udgivelse af vinduer Server kun har GUI-versionen (selvom dette er min egen personlige mening, bliver vi nødt til at vente og se, om Microsoft annoncerer noget).

når du opretter en server og konfigurerer den til at fungere som din nye domænecontroller, vil du ofte oprette forskellige politikker såsom drevkort, printerallokeringer og ressourcebegrænsninger og tildele dem til en gruppe brugere eller computere. Dette er alle standard praksis og fungerer fint.

de af jer, der har forsøgt at indstille forskellige adgangskodepolitikker for forskellige brugere eller grupper, vil dog have fundet ud af, at det kræver en masse konfiguration i Active Directory at opnå. Problemet opstår, fordi der kun kan være en standard domænepolitik, og adgangskodeindstillinger skal konfigureres i denne politik. Dette gælder derefter for hele domænet, hvilket betyder, at du skal oprette en separat skov for hvert sæt brugere og konfigurere den nye standarddomænepolitik for hver skov.

alt dette gør dit job med at styre serveren meget mere kompliceret og kan i sidste ende være en enorm hovedpine.

I Server 2008R2 introducerede Microsoft en ny funktion kaldet ADGANGSKODEINDSTILLINGSOBJEKTER (PSO ‘ er), som kan tilsidesætte adgangskodepolitikken på domæneniveau. Dette skulle dog gøres ved hjælp af ADSIedit eller Strømshell og var ikke særlig brugervenlig.

ikke at bekymre dig, Jeg har nogle gode nyheder til dig. Ved hjælp af Server 2012 Active Directory Administrative center (ADAC) kan du nu konfigurere og administrere PSO ‘ er nemt i en meget brugervenlig GUI.

Jeg vil tale dig gennem konfiguration af flere PSO ‘ er og tildele dem til forskellige sikkerhedsgrupper. Jeg vil derefter forklare, hvordan man prioriterer, hvilken PSO der tildeles en brugerkonto, der er medlem af flere sikkerhedsgrupper med en PSO tildelt dem.

når du har konfigureret din 2012-Server og forfremmet den til en domænecontroller, vil du se, at der er et nyt ikon på din startskærm til ADAC.

ADAC Icon

Åbn dette og gå til følgende mappe:

yourdomain (local)\system\adgangskodeindstillinger Container

herfra kan du klikke på knappen “Ny” i øverste højre hjørne, og du vil blive præsenteret for det nye adgangskodeindstillingsobjekt (PSO) skærm.

ny adgangskodepolitik

Opret din krævede politik, navngiv den, og indstil forrang til 1. Gør dette for alle dine politikker, og tildel derefter hver politik til den krævede sikkerhedsgruppe. Jeg har oprettet tre sikkerhedsgrupper og en politik for hver af disse grupper. Her er min helpdesk-brugers politik:

Helpdesk-politik

jeg har oprettet en testbruger og tilføjet den til alle tre sikkerhedsgrupper: Helpdesk, Admin og Management.

testbruger

nu vil du teste hvilken politik min testbrugerkonto vil have tildelt den.

for at gøre dette skal du i ADAC gå til beholderen, hvor du oprettede testbrugeren, vælge denne bruger, og derefter på højre side kan du vælge “Vis resulterende adgangskodeindstillinger”.

når du klikker på dette, vises den adgangskodepolitik, der er tildelt brugeren.

*TIP-Hvis du har navngivet politikkerne noget meningsfuldt, vil du straks vide, hvilken politik du kigger på, og hvilken gruppe den er beregnet til. Jeg foreslår at navngive hver politik efter den sikkerhedsgruppe, du vil tildele den til, eller i det mindste sætte formålet med politikken i beskrivelsen.

Du kan nu finde ud af, at brugere, der er medlemmer af flere sikkerhedsgrupper med PSO ‘ er tildelt dem, henter den forkerte adgangskodepolitik. Dette skyldes, at alle politikker har samme forrang, og den politik, der anses for mere sikker, vil blive anvendt.

dette kan forårsage problemer, når du har en bruger, der er en del af en sikkerhedsgruppe, der har adgang til sikre data, og skal have en bestemt politik anvendt, men fordi denne bruger også er medlem af en anden sikkerhedsgruppe med en PSO anvendt på den, kan kontoen tildeles den forkerte adgangskodepolitik, hvilket kompromitterer din sikkerhed.

for at bekæmpe dette er vi nødt til at indstille forrang for adgangskodepolitikkerne, så uanset hvor mange grupper en bruger er medlem af, bruger kontoen altid den politik, der har den højeste forrang.

for eksempel er en bruger medlem af både helpdesk-og admin-sikkerhedsgrupperne, da brugeren arbejder i begge afdelinger. På grund af dette skal du sørge for, at den politik, der anvendes på denne bruger, er sikker for at opfylde dine virksomheds krav.

så vi sætter politikkerne i rækkefølge, så admin-politikken har en højere forrang end helpdesk-politikken, hvilket tvinger brugerkontoen til at hente admin-adgangskodepolitikken.

Præcedensniveauer

på denne måde kan vi være sikre på, at der ikke er nogen måde, en leders eller direktørs brugerkonto kan hente en usikker adgangskodepolitik og tvinger dem til at bruge en sikker adgangskode og måske ændre den ugentligt i henhold til de politikindstillinger, du oprettede tidligere.

som en grundlæggende tommelfingerregel, Hvis en brugerkonto har flere adgangskodepolitikker anvendt på den gennem sit medlemskab af sikkerhedsgrupper, vil den altid bruge politikken med den højeste forrang score (jo lavere den numeriske værdi, jo højere forrang!)

denne konfiguration er nyttig i alle mulige forskellige organisationer, hvad enten det er i en virksomhed eller for eksempel et skolemiljø. I dette tilfælde admin personale kan have adgang til fortrolige filer, og derfor har en meget strengere adgangskode politik end de studerende og andre medarbejdere.

Dette fungerer rigtig godt og forhåbentlig vil det være en fordel for dig i dit miljø.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.