Роздільна політика паролів в Windows Server 2008.
Як відомо, домен в Active Directory (AD) є кордоном загальної області безпеки. У зв'язку з цим в домені Windows Server 2003 AD може існувати тільки одна політика паролів. Насправді, обмежена не тільки політика паролів, але і більш широкий набір параметрів, що відносяться до політиків облікових записів:
• Політики паролів (Password Policy)
• Політики блокування облікових записів (Account Lockout Policy)
• Політики Kerberos (Kerberos Policy)
Параметри в цьому об'єкті групової політики керують політиками облікових записів для всіх користувачів і для всіх комп'ютерів домену.Раніше, при необхідності використання різних політик облікових записів для різних груп користувачів доводилося створювати кілька доменів, проте в Windows Server 2008 з'явилася можливість вказувати різні політики для різних користувачів і груп. Ця нова функціональність називається роздільної політикою паролів (Fine-Grained Password Policy) і заснована на введенні двох нових класів об'єктів в схему AD: контейнер налаштувань пароля (Password Settings Container) і настройки пароля (Password Setting).Ці об'єкти надають нам можливість введення декількох політик паролів в одному домені AD.
Налаштування роздільної політики паролів
Насамперед відкриваємо оснащення Active Directory Users and Computers (ADUC) і перевіряємо функціональний рівень домену Active Directory
Він повинен бути не нижче Windows Server 2008
в цій же оснащенні ADUC створюємо глобальну групу безпеки, для якої в подальшому будуть застосовуватися нові політики паролів.(Так, як це не дивно, політика паролів застосовується не до організаційних одиниць, а до груп безпеки).
Потім запускаємо редактор ADSI Edit
Клацаємо правою кнопкою в корені ADSI Edit і вибираємо Connect to (Підключитися до)
Тут у нас з'явиться можливість розгорнути домен
Потім розгортаємо контейнер System і натиснувши правою кнопкою миші Password Settings Container вибираємо New - Object (Новий - Об'єкт)
Тепер ми повинні вибрати клас для нового об'єкта (правда, для вибору є лише один елемент).Вибираємо msDS-PasswordSettings і натискаємо Next (Далі):
Після цього запускається майстер, який допоможе нам створити об'єкт налаштувань для пароля (Password Settings Object, PSO). Нам необхідно буде вказати значення для кожного з наступних 11 атрибутів. Набираємо значення, як показано в прикладі, не забуваючи ввести знак мінуса для тих значень, де це потрібно.
CN - назва політики. Варто привласнити політиці зрозуміле ім'я, якщо у вас їх буде кілька.
msDS-PasswordSettingsPrecedence - параметр , який використовується в якості пріоритету для різних політик. Використовується в тому випадку, якщо для одного користувача налаштовується кілька політик PSO.Чим вище пріоритет, тим менше значення цього параметра.
msDS-PasswordReversibleEncriptionEnabled - логічне значення. Вірно, якщо пароль зберігається з використанням зворотного шифрування (може бути корисно для підвищення безпеки).
msDS-PasswordHistoryLength - кількість раніше використаних паролів, яке повинна пам'ятати система.
msDS-PasswordComplexityEnabled - логічне значення. Вірно, якщо ви хочете, щоб користувач використовував складний пароль.
msDS-MinimumPasswordLength - мінімальна кількість символів для пароля для облікового запису користувача.
msDS-MinimumPasswordAge - мінімальний час життя пароля (в прикладі 1 день).
msDS-MaximumPasswordAge - максимальний час життя пароля (в прикладі 42 дня).
msDS-LockoutThreshold - кількість спроб введення невірного пароля, після якого обліковий запис буде заблокована.
msDS-LockoutObservationWindow - час, через яке лічильник кількості спроб введення невірного пароля буде обнулений (в прикладі 15 хвилин) .
msDS-LockoutDuration - час, протягом якого буде заблокована обліковий запис користувача при введенні великої кількості невірних паролів (в прикладі 15 хвилин).
Після завершення введення цієї інформації в наступному діалоговому вікно натискаємо в на кнопку Finish (Завершити).
Нова політика паролів створена, залишається тільки призначити її певному користувачеві або глобальної групі безпеки. Для цього клацаємо правою кнопкою на створеному об'єкті і вибираємо пункт Properties (Властивості).
Тепер вибираємо пункт msDS-PSOAppliesTo тиснемо на кнопку Edit (Редагувати).
Тут можна додати до потрібного імені користувача або глобальної групи безпеки.
У прикладі я додав раніше створену глобальну групу безпеки Simple Password. Тепер кожна обліковий запис користувача, яка входить до складу цієї групи, буде підкорятися новій політиці пароля Simple Password (щоб не плутатися, я назвав однаково політику і групу) замість доменної політики за замовчуванням.
Якщо до користувача застосовується кілька політик PSO, то результуюча політика буде визначатися таким чином:
- PSO, яка пов'язана безпосередньо з користувачем, буде використовуватися до тих пір, поки безпосередньо користувачеві не призначено кілька PSO. Якщо призначено більше одного PSO, то результуючої буде PSO з найменшим значенням msDS-PasswordSettingsPrecedence.Якщо система виявить, що з користувачем пов'язані дві або більше PSO з однаковим значенням msDS-PasswordSettingsPrecedence, то буде застосована PSO з меншим значенням глобального унікального ідентифікатора Global Unique Identifier (GUID).
- Якщо жоден PSO не пов'язаний з користувачем, то входить в розгляд членство користувача в глобальній групі безпеки (global security group).Якщо користувач є членом кількох груп безпеки з різними PSO, то результуючим буде PSO з найменшим значенням. Якщо система виявляє два або більше PSO, призначених для груп, до складу яких входить цей користувач, з однаковим значенням msDS-PasswordSettingsPrecedence, то застосовується PSO з найменшим значенням GUID.
- Якщо не вдається отримати жодного PSO виходячи з попередніх умов, використовуватимуться для пароля і блокування з доменної політики за замовчуванням, так само як і в попередніх версіях Active Directory.
Також варто мати на увазі, що скільки б політик паролів не було в домені, при створенні нового облікового запису буде діяти політика домену за замовчуванням, тому діємо таким чином: спочатку заводимо обліковий запис з паролем, відповідним доменної політиці за замовчуванням, потім додаємо користувача в потрібну групу безпеки і тільки потім, коли до нього застосується нова політика паролів, задаємо новий пароль.П>.