Dalam versi Active Directory yang diperkenalkan di Windows Server 2000, Anda hanya bisa membuat satu kebijakan kata sandi per domain. Kebijakan ini dikonfigurasi sebagai bagian dari Kebijakan Domain Default default. Jika administrator menetapkan GPO baru dengan pengaturan kata sandi yang berbeda pada OU, CSE Klien (Ekstensi Sisi Klien) mengabaikan kebijakan tersebut. Tentu saja, pendekatan ini tidak selalu nyaman, dan untuk menghindari batasan seperti itu, administrator harus mengambil berbagai trik (domain anak dan hutan, filter, dll.), Yang menciptakan kesulitan tambahan.
Pada artikel ini, kami akan menunjukkan cara mengkonfigurasi dan mengelola kebijakan manajemen kata sandi granular berdasarkan Windows Server 2012 R2..
Konten:
- Kebijakan Kata Sandi Baik
- Konfigurasikan Kebijakan Sandi Butir Halus pada Windows Server 2012 R2
- Konfigurasikan Kebijakan Sandi Butir Halus dengan PowerShell
Kebijakan Kata Sandi Baik
Pada Windows Server 2008, pengembang menambahkan opsi GPO terpisah baru untuk mengelola pengaturan kata sandi Baiklah-Berbutir Kata sandi Kebijakan (FGPP - kebijakan perlindungan kata sandi granular / terpisah). Kebijakan Kata Sandi Halus memungkinkan administrator untuk membuat banyak kebijakan manajemen kata sandi khusus dalam satu domain (Kata sandi Pengaturan Kebijakan - PSO) yang menetapkan persyaratan kata sandi (panjang, kompleksitas, riwayat) dan penguncian akun. Kebijakan PSO dapat ditetapkan untuk pengguna atau grup tertentu, tetapi tidak untuk wadah Direktori Aktif (OU). Selain itu, jika kebijakan PSO dilampirkan pada pengguna, pengaturan kebijakan kata sandi dari Kebijakan Domain Default GPO tidak lagi diterapkan.
Misalnya, menggunakan FGPP, Anda dapat menerapkan persyaratan yang lebih tinggi pada panjang dan kompleksitas kata sandi untuk akun administrator, akun layanan, atau pengguna yang memiliki akses eksternal ke sumber daya domain (melalui VPN atau DirectAccess).
Persyaratan dasar untuk menggunakan beberapa kebijakan kata sandi FGPP dalam domain:
- Windows Server 2008 atau tingkat fungsional domain yang lebih tinggi
- kebijakan kata sandi dapat diberikan kepada pengguna atau grup keamanan global
- Kebijakan FGPP diterapkan secara keseluruhan (tidak mungkin untuk menggambarkan bagian dari pengaturan di GPO, dan bagian dalam FGPP)
Kelemahan utama dari inovasi di Windows Server 2008 adalah kurangnya alat manajemen kebijakan kata sandi yang nyaman yang dapat dikonfigurasi hanya dari utilitas tingkat rendah untuk bekerja dengan AD, misalnya ADSIEdit, ldp.exe, LDIFDE.exe.
Konfigurasikan Kebijakan Sandi Butir Halus pada Windows Server 2012 R2
Di Windows Server 2012 di konsol ADAC (Pusat Administrasi Direktori Aktif) antarmuka grafis baru untuk mengelola kebijakan kata sandi Kebijakan Kata Sandi Halus. Dalam contoh ini, kami menunjukkan cara menetapkan kebijakan kata sandi terpisah untuk grup domain Domain Admin.
Jadi, pada pengontrol domain dengan hak administrator, mulai konsol Active Directory Administrative Center (ADAC), beralih ke tampilan hierarki dan rentangkan wadah Sistem. Temukan sebuah wadah Kata sandi Pengaturan Wadah, klik kanan padanya dan pilih Baru -> Kata sandi Pengaturan
Di jendela yang terbuka, tentukan nama kebijakan kata sandi (dalam contoh kami, Kebijakan Kata Sandi untuk Domain Admin) dan atur pengaturannya. Semua bidang standar: panjang minimum dan kompleksitas kata sandi, jumlah kata sandi yang disimpan dalam riwayat, opsi pemblokiran ketika kata sandi dimasukkan secara salah, dll. Perhatikan atributnya Diutamakan. Atribut ini menentukan prioritas kebijakan kata sandi ini. Jika beberapa kebijakan FGPP diterapkan ke objek, kebijakan dengan nilai yang lebih rendah di bidang Precedence akan diterapkan ke objek.
Catatan.
- Jika pengguna memiliki dua kebijakan dengan nilai Precedence yang sama, kebijakan dengan GUID yang lebih rendah akan diterapkan..
- Jika beberapa kebijakan ditetapkan untuk pengguna, salah satunya bertindak melalui grup keamanan AD, dan yang kedua langsung ke akun, maka kebijakan yang ditetapkan untuk akun tersebut akan diterapkan.
Kemudian di bagian ini Langsung berlaku untuk Anda perlu menambahkan grup / pengguna yang harus bertindak kebijakan (dalam contoh ini, Domain Admin). Simpan kebijakan.
Mulai sekarang, kebijakan kata sandi ini akan berlaku untuk semua anggota grup Admin Domain. Luncurkan konsol Pengguna dan Komputer Direktori Aktif (dengan opsi Fitur Lanjutan diinstal) dan buka properti setiap pengguna dari grup Admin Domain. Buka tab Editor Atribut dan di lapangan Saring pilih opsi Dibangun.
Temukan atribut pengguna msDS-ResultantPSO. Atribut ini menunjukkan kebijakan kata sandi pengguna FGPP (CN = Kebijakan Kata Sandi untuk Admin Domain, CN = Wadah Pengaturan Kata Sandi, CN = Sistem, DC = winitpro, DC = ru).
Anda juga bisa mendapatkan kebijakan PSO yang valid untuk pengguna yang menggunakan dsget:
dsget pengguna "CN = Dmitriy, OU = Admin, DC = winitpro, DC = en" -effectivepso
Konfigurasikan Kebijakan Sandi Butir Halus dengan PowerShell
Secara alami, di Windows Server 2012 R2, kebijakan PSO dapat dibuat dan ditetapkan untuk pengguna menggunakan PowerShell:
Buat kebijakan:
New-ADFineGrainedPasswordPolicy -Nama "Kebijakan Admin PSO" -Precedence 10 -ComplexityEnabled $ true -Keterangan "Kebijakan kata sandi domain untuk admin" -DisplayName "Kebijakan Admin PSO" -LockoutDuration "0.10: 00: 00" -LockoutObservation: 00: 00: 00: 00: 00 "-LockoutThreshold 5 -MaxPasswordAge" 12.00: 00: 00 "-MinPasswordAge" 1.00: 00: 00 "-MinPasswordPanjang 10 -PasswordHistoryCount 4 -ReversibleEncryptionEnabled $ false
Tetapkan kebijakan ke grup pengguna:
Add-ADFineGrainedPasswordPolicySubject “Kebijakan PSO Admin” - Subjek “Domain Admin”