Konfigurer flere passordpolicyer på et enkelt domene I Server 2012

Konfigurer flere passordpolicyer på et enkelt domene I Server 2012

07.11.2013

gjest

I Tips & råd,Lasting…

Konfigurere Objekter For Passordinnstillinger for å opprette flere finkornede passordpolicyer på ett enkelt domene

Har du noen gang hatt problemer når du prøver å bruke forskjellige passordpolicyer for brukere eller grupper på samme domene? Hvis så holde lesing.

Server 2012 har nå EN GUI-basert versjon Av Active Directory (AD), så vel som den mer konvensjonelle versjonen vi alle er vant til. Du kan gjøre alt i den nye versjonen som du kunne i den gamle, men på litt forskjellige måter. Selv om dette kan ta litt tid å bli vant til, hold deg til det, da jeg ikke ville bli overrasket over om neste utgivelse Av Windows Server bare har GUI-versjonen (selv om dette er min egen personlige mening, må Vi vente og se Om Microsoft kunngjør noe).

når du bygger en server og konfigurerer den til å fungere som den nye domenekontrolleren, vil du ofte opprette ulike policyer, for eksempel stasjonskart, skrivertildelinger og ressursbegrensninger, og tilordne dem til en gruppe brukere eller datamaskiner. Dette er all standard praksis og fungerer helt fint.

men de av dere som har forsøkt å angi ulike passordpolicyer for forskjellige brukere eller grupper, har funnet ut at Det tar mye konfigurasjon I Active Directory å oppnå. Problemet oppstår fordi det bare kan være en standard domenepolicy, og passordinnstillinger må konfigureres i denne policyen. Dette gjelder da for hele domenet, noe som betyr at du må opprette en egen skog for hvert sett med brukere og konfigurere den nye standarddomenepolicyen for hver skog.

alt dette gjør jobben din med å administrere serveren mye mer komplisert og kan til slutt være en stor hodepine.

I Server 2008r2 introduserte Microsoft En ny funksjon kalt Password Settings Objects (PSO) som kan overstyre passordpolicyen på domenenivå. Dette måtte imidlertid gjøres ved Hjelp Av ADSIedit Eller Powershell og var ikke veldig brukervennlig.

Ikke bekymre deg, jeg har noen gode nyheter for deg. Bruke Server 2012 Active Directory Administrative Centre (ADAC) kan du nå konfigurere og administrere PSO er lett i en svært brukervennlig GUI.

jeg skal snakke deg gjennom å konfigurere flere PSO-er og tildele dem til forskjellige sikkerhetsgrupper. Jeg vil da forklare hvordan jeg prioriterer HVILKEN PSO som vil bli tildelt en brukerkonto som er medlem av flere sikkerhetsgrupper med EN PSO tildelt dem.

når du har konfigurert 2012-Serveren din, og forfremmet Den til en domenekontroller, vil DU se at DET er et nytt ikon på startskjermen FOR ADAC.

Adac Ikon

åpne dette opp og bla til følgende mappe:

Yourdomain (local)\System\Password Settings Container

Herfra kan du klikke på «ny» – knappen øverst til høyre, og du vil bli presentert med skjermbildet new password settings object (PSO).

Ny Passordpolicy

Opprett den nødvendige policyen, gi den navnet og sett forrang til 1. Gjør dette for alle policyene, og tilordne hver policy til den nødvendige sikkerhetsgruppen. Jeg har opprettet tre sikkerhetsgrupper, og en policy for hver av disse gruppene. Her er min Helpdesk-brukers policy:

Helpdesk-Policy

jeg har opprettet en testbruker, og lagt den til alle tre sikkerhetsgruppene: Helpdesk, Admin og Management.

Testbruker

Nå vil du teste hvilken policy min testbrukerkonto vil ha tildelt den.

FOR Å gjøre DETTE, I ADAC, gå til beholderen der du opprettet testbrukeren, velg denne brukeren, og deretter på høyre side vil du kunne velge «vis resulterende passordinnstillinger».

når du klikker på dette, vises passordpolicyen som er tilordnet brukeren.

*TIPS – hvis du har kalt retningslinjene noe meningsfylt, vil du umiddelbart vite hvilken policy du ser på, og hvilken gruppe den er ment for. Jeg foreslår at du navngir hver policy etter sikkerhetsgruppen du vil tilordne den til, eller i det minste sette formålet med policyen i beskrivelsen.

du kan nå oppdage at brukere som er medlemmer av flere sikkerhetsgrupper MED PSO er tildelt dem, plukker opp feil passordpolicy. Dette er fordi alle policyer har samme forrang nivå, og politikken anses sikrere vil bli brukt.

dette kan føre til problemer når du har en bruker som er en del av en sikkerhetsgruppe som har tilgang til sikre data, og bør ha en bestemt policy brukt, men fordi denne brukeren også er medlem av en annen sikkerhetsgruppe med EN PSO brukt på den, kan kontoen tilordnes feil passordpolicy derfor kompromittere sikkerheten.

for å bekjempe dette må vi angi prioriteten til passordpolicyene slik at uansett hvor mange grupper en bruker er medlem av, vil brukerkontoen alltid bruke policyen med høyest prioritet.

for eksempel er en bruker medlem av både helpdesk og admin sikkerhetsgrupper som brukeren arbeider i begge avdelinger. På grunn av dette må du sørge for at policyen som brukes på denne brukeren, er sikker for å oppfylle bedriftens krav.

så vi setter policyene i rekkefølge slik at administratorpolicyen har høyere prioritet enn helpdesk-policyen, og tvinger dermed brukerkontoen til å hente administratorpassordpolicyen.

Prioritetsnivåer

På Denne måten kan vi være sikre på at det ikke er noen måte en leders eller regissørens brukerkonto kan hente en usikker passordpolitikk, og tvinger dem til å bruke et sikkert passord og kanskje endre det på ukentlig basis, i henhold til policyinnstillingene du opprettet tidligere.

som en grunnleggende tommelfingerregel, hvis en brukerkonto har flere passordpolicyer brukt på den gjennom sitt medlemskap i sikkerhetsgrupper, vil den alltid bruke policyen med høyest prioritet score(jo lavere tallverdi, jo høyere prioritet!)

denne konfigurasjonen er nyttig i alle slags forskjellige organisasjoner, enten i en bedrift eller for eksempel et skolemiljø. I dette tilfellet kan administratorpersonalet ha tilgang til konfidensielle filer, og har derfor en mye strengere passordpolicy enn studentene og andre ansatte.

dette fungerer veldig bra, og forhåpentligvis vil være en fordel for deg i ditt miljø.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.