configurați mai multe politici parola pe un singur domeniu în Server 2012

configurați mai multe politici parola pe un singur domeniu în Server 2012

07.11.2013

guest

în sfaturi & sfat,Încărcare…

Configurarea obiectelor de setări a parolei pentru a crea mai multe politici de parolă cu granulație fină pe un singur domeniu

ați avut vreodată probleme atunci când încercați să aplicați Politici de parolă diferite utilizatorilor sau grupurilor din același domeniu? Dacă da, continuați să citiți.

Server 2012 are acum o versiune bazată pe GUI a Active Directory (AD), precum și versiunea mai convențională cu care suntem obișnuiți. Puteți face totul în noua versiune pe care ați putea-o în vechea, dar în moduri ușor diferite. Deși acest lucru poate dura un pic de timp pentru a vă obișnui, rămâneți cu el, deoarece nu aș fi deloc surprins dacă următoarea versiune de Windows Server are doar versiunea GUI (deși aceasta este opinia mea personală, va trebui să așteptăm și să vedem dacă Microsoft anunță ceva).

când construiți un server și îl configurați pentru a acționa ca noul dvs. controler de domeniu, doriți adesea să creați diverse politici, cum ar fi hărți de unități, alocări de imprimante și restricții de resurse și să le atribuiți unui grup de utilizatori sau computere. Aceasta este o practică standard și funcționează foarte bine.

cu toate acestea, cei dintre voi care au încercat să stabilească diverse politici de parolă pentru diferiți utilizatori sau grupuri vor fi constatat că este nevoie de multă configurație în Active Directory pentru a realiza. Problema apare deoarece nu poate fi decât o politică de domeniu implicit, și setările de parolă trebuie să fie configurate în cadrul acestei Politici. Acest lucru se aplică apoi întregului domeniu, ceea ce înseamnă că trebuie să creați o pădure separată pentru fiecare set de utilizatori și să configurați noua Politică de domeniu implicită pentru fiecare pădure.

toate acestea fac ca munca dvs. de gestionare a serverului să fie mult mai complicată și, în cele din urmă, ar putea fi o durere de cap uriașă.

În Server 2008r2, Microsoft a introdus o nouă caracteristică numită Password Settings Objects (PSO), care poate suprascrie politica de parolă la nivel de domeniu. Cu toate acestea, acest lucru trebuia făcut folosind ADSIedit sau Powershell și nu era foarte ușor de utilizat.

nu-ți face griji, am niște vești minunate pentru tine. Folosind Server 2012 Active Directory administrativ Center (ADAC) puteți configura și gestiona acum PSO cu ușurință într-un GUI foarte user-friendly.

vă voi vorbi prin configurarea mai multor PSO-uri și atribuirea lor diferitelor grupuri de securitate. Voi explica apoi cum să prioritizeze care PSO va fi atribuit unui cont de utilizator care este membru al mai multor grupuri de securitate cu un PSO atribuit acestora.

după ce ați configurat serverul 2012 și l-ați promovat la un controler de domeniu, veți vedea că există o nouă pictogramă pe ecranul de pornire pentru ADAC.

pictograma ADAC

deschideți acest dosar și navigați la următorul folder:

yourdomain (local)\System\Password Settings Container

de aici puteți face clic pe butonul „Nou” din colțul din dreapta sus și vi se va prezenta ecranul new password settings object (PSO).

noua Politică de parolă

creați Politica necesară, denumiți-o și setați precedența la 1. Faceți acest lucru pentru toate politicile dvs., apoi atribuiți fiecare politică grupului de securitate necesar. Am creat trei grupuri de securitate și o politică pentru fiecare dintre aceste grupuri. Aici este politica mea de utilizatori Helpdesk:

Politica Helpdesk

am creat un utilizator de testare și l-am adăugat la toate cele trei grupuri de securitate: Helpdesk, Admin și Management.

utilizator de testare

acum doriți să testați ce politică va fi atribuită contului meu de utilizator de testare.

pentru a face acest lucru, în ADAC, accesați containerul în care ați creat utilizatorul de testare, selectați acest utilizator și apoi în partea dreaptă veți putea selecta „Vizualizați setările parolei rezultate”.

când faceți clic pe aceasta, va apărea Politica de parolă care a fost atribuită utilizatorului.

*Sfat – Dacă ați numit politicile ceva semnificativ, veți ști instantaneu la ce politică vă uitați și pentru ce grup este destinat. Vă sugerez să denumiți fiecare politică după grupul de securitate căruia îi veți atribui sau cel puțin să puneți scopul politicii în descriere.

s-ar putea găsi acum că utilizatorii care sunt membri ai mai multor grupuri de securitate cu PSO alocate pentru a le sunt iau Politica de parolă greșită. Acest lucru se datorează faptului că toate politicile au același nivel de prioritate, iar politica considerată mai sigură va fi aplicată.

Acest lucru poate cauza probleme atunci când aveți un utilizator care face parte dintr-un grup de securitate care are acces la date securizate și ar trebui să aibă o anumită politică aplicată, dar deoarece acest utilizator este, de asemenea, membru al unui alt grup de securitate cu un PSO aplicat acestuia, contului i se poate atribui o politică de parolă greșită, compromițând astfel securitatea.

pentru a combate acest lucru, trebuie să setăm prioritatea politicilor de parolă, astfel încât, indiferent de câte grupuri este membru Un utilizator, contul de utilizator va folosi întotdeauna Politica cu cea mai mare prioritate.

de exemplu, un utilizator este membru al grupurilor de securitate helpdesk și admin, deoarece utilizatorul lucrează în ambele departamente. Din acest motiv, trebuie să vă asigurați că politica aplicată acestui utilizator este sigură pentru a satisface cerințele companiei dvs.

așadar, setăm politicile în ordinea priorității, astfel încât Politica de administrare să aibă o prioritate mai mare decât Politica de asistență, forțând astfel contul de utilizator să preia Politica de parolă de administrator.

niveluri de prioritate

În acest fel putem fi siguri că nu există nicio modalitate prin care contul de utilizator al unui manager sau director poate prelua o politică de parolă nesigură și îi obligă să folosească o parolă sigură și poate să o schimbe săptămânal, conform setărilor de politică pe care le-ați creat anterior.

ca regulă de bază, dacă un cont de utilizator are mai multe politici de parolă aplicate prin apartenența la grupuri de securitate, va folosi întotdeauna Politica cu cel mai mare scor de prioritate (cu cât valoarea numerică este mai mică, cu atât este mai mare precedența!)

această configurație este utilă în tot felul de organizații diferite, fie într-o afacere sau, de exemplu, într-un mediu școlar. În acest caz, personalul de administrare ar putea avea acces la fișiere confidențiale și, prin urmare, are o politică de parolă mult mai strictă decât cea a studenților și a altor angajați.

Acest lucru funcționează foarte bine și sperăm că va fi un beneficiu pentru dvs. în mediul dvs.

Lasă un răspuns

Adresa ta de email nu va fi publicată.