Passord politikk er utformet for å kontrollere hva slags passord en bruker kan ha og hvor ofte brukeren trenger å endre det. Sterke passordrutiner er viktig å bidra til å beskytte systemet og data fra ondsinnede angrep. Beste praksis for å konfigurere passordrutiner på Windows Server-plattformen og i Active Directory-miljøer har utviklet seg gjennom årene. For eksempel, se Passord Best Practices på http://technet.microsoft.com/en-us/library/cc784090(v=WS.10).aspx som gjelder for Windows Server 2003 og deretter sammenligne dette med anbefalingene i den nyeste versjon av Microsoft Security Compliance Manager som kan lastes ned fra http://www.microsoft.com/en-us/download/details.aspx?id=16776.
I Windows Server 2003 og tidligere, du kunne ha kun ett passord policy og konto lockout policy som regulerer alle brukerkontoer i et domene. Dette passordet politikk kan konfigureres ved å redigere Standard domenepolicy gruppepolicyobjekt (GPO) – spesielt, de seks policyinnstillinger finner du under Datamaskinkonfigurasjon \\ Policies \\ Windows Settings \\ Security Settings \\ Konto Policies \\ Password Policy. Hvert domene hadde også tre konto lockout policyinnstillinger finner under Computer Configuration \\ Policies \\ Windows-innstillinger \\ Security Settings \\ Konto Policies \\ Account Lockout for personvern.
Med utgivelsen av Windows Server 2008 men du kan konfigurere passordrutiner på per bruker og per gruppenivå i miljøet. Denne nye funksjonen ble kalt finkornede passordrutiner og tilgjengelig Active Directory administratorer med større fleksibilitet for styring passord i deres miljø. Problemet på Windows Server 2008 var imidlertid at du trengte å bruke ADSI Edit og LDIFDE å opprette og konfigurere finkornet passord politikk. For en god illustrasjon av kompleksiteten involvert i gjennomføringen av finkornet passordrutiner på Windows Server 2008 kan du se denne gamle innlegg av elleve tids Directory Services MVP UlfBSimon-Weidner på hans MSMVPs blogg på http://blogs.msmvps.com/ulfbsimonweidner/2007/03/12/windows-server-quot-longhorn-quot-granular-password-settings/.
Beginning med Windows Server 2012 er imidlertid oppgaven med å opprette og konfigurere finkornet passordrutiner har nå blitt betydelig forenklet ved at du kan bruke GUI-baserte Active Directory Administrative Center (ADAC) til disse formålene. Du kan også bruke ADAC for å vise de resulterende passordinnstillingene for bestemte brukere i miljøet for å sikre finkornede passordrutiner har blitt konfigurert som du opprinnelig hadde tenkt.
forklarer Denne artikkelen hvordan fungerer de finkornede passordrutiner og hvordan du kan konfigurere og bruke denne funksjonen i Active Directory-miljøer som har domenekontrollere som kjører Windows Server 2012 og /eller Windows Server 2012 R2. Forklaringen og prosedyrer i de neste avsnittene er tilpasset fra boken min Training Guide: Installere og konfigurere Windows Server 2012 R2 finkornet passordrutiner kan tildeles til brukere eller grupper. Hvis en bruker tilhører mer enn én gruppe som har en finkornet passord policy tildelt det blir forrang verdien av hver policy brukes til å bestemme hvilke retningslinjer gjelder for medlemmer av gruppen. Presedens verdien av en politikk må være et heltall verdi på 1 eller høyere. Hvis flere retningslinjene gjelder for samme bruker, den politikken som har de laveste prioritet verdi vinner. For eksempel vurdere et scenario der en bruker som heter Karen Berg i corp.contoso.com domenet er medlem av to grupper : markedsføringsgruppe og salgsgruppe. Finkornede passordrutiner har blitt konfigurert som følger: Fordi Karen tilhører begge gruppene, både politikk gjelder for henne, men den ene med lavest prioritet verdi (politikken tilordnet Marketing gruppen) er den som trer i kraft. Merk at dersom to finkornede passordrutiner har samme preferanse verdi og begge retningslinjene gjelder for den samme brukeren, politikken med den minste globalt unik identifikator (GUID) vinner. Når du planlegger å implementere finkornede passordrutiner innen Active Directory-miljø, bør du følge disse beste praksis : For eksempel, la oss se på hvordan du kan implementere en fallback policy for domenet. Tenk et scenario der corp.contoso.com har tre grupper: Markedsføring, salg og menneskelige ressurser. Finkornede passordrutiner har blitt konfigurert som følger: For å sikre at passordet og kontoen lockout begrensninger gjelder når medlemmer av Human Resources gruppen prøver å logge seg på nettverket, kan du gjøre ett av følgende: Merk at den anbefalte metode er å bruke det andre alternativet nevnt fordi Standard domenepolicy er en arv funksjon som dateres tilbake til Windows NT æra mens finkornede passordrutiner er fremtiden. Før du kan opprette finkornede passordreglene for et domene, må du sørge for at domenet funksjonelt nivå er Windows Server 2008 eller nyere. Dette kan gjøres enten ved hjelp av ADAC eller Windows Powershell som beskrevet i forrige tema i denne leksjonen. Merk at Domain Admin legitimasjon eller mer er nødvendig for å heve domenet funksjonelt nivå for et domene. finkornet passordrutiner for et domene, er lagret i passordinnstillinger Container, som finnes under System, som vist i Figur 1. finkornet passordrutiner kan ikke direkte brukes til organisatoriske enheter (OUS), men det er en vei rundt dette ved hjelp av noe som kalles skygge grupper. Se følgende TechNet Forum tråden for mer informasjon: https://social.technet.microsoft.com/Forums/en-US/8a72ed92-633d-4139-afcc-6ff72f4685a8/how-to-implement-the-different-password-policy-on-a-particular-ou?forum=winserverDS. If du redigere Passfilt.dll på domenekontrollere for å tilpasse den til å filtrere domenekontoer, bør du være klar over at finkornede passord politiske regler vil da bli brukt i tillegg til egendefinerte passord filtre. I visse tilfeller kan dette føre til ytelsesproblemer ved skifte passord, så sørg for å teste dine tilpasninger grundig før du implementerer dem i produksjonsmiljøet fordi en SAM lås opprettholdes på brukerkontoen mens passordrutiner blir behandlet for det. Merk også at hvis du vil ha ditt eget passord filter som skal kun brukes til noen brukere eller grupper, vil du ha å kode slik funksjonalitet inn i filteret. Endelig kan paramters ikke overføres fra finkornede passordrutiner til tilpasset passordfilter, så du kan ikke bruke en finkornet passord politisk regel fortelle filter som sub-utelukke det bør gjelde. For mer informasjon om hvordan du bruker passordfilter, se http://msdn.microsoft.com/en-us/library/windows/desktop/ms721882(v=vs.85).aspx. Se også linker og anbefalinger i denne tråden på Windows Server forum på TechNet: https://social.technet.microsoft.com/Forums/windowsserver/en-US/9f555364-3046-4205-9e68-c36f9e7147ee/edit-passfiltdll?forum=winserverDS. Finally, mens finkornede passordrutiner kan konfigureres for Active Directory Domain Services (AD DS) miljøer, kan de ikke bli konfigurert i Active Directory Lightweight Directory Services (AD LDS) miljøer siden AD LDS inkluderer ikke slik funksjonalitet. Anmeldelser
(Microsoft Press, 2014) som er tilgjengelig fra http://www.amazon.com/exec /Obidos /ASIN /0735684332 /. Den siste delen av denne artikkelen inneholder noen flere tips og feller om finkornede passordrutiner som jeg har sanket fra større IT pro samfunnet, inkludert de nesten 100.000 tilhengere av våre WServerNews ukentlig nyhetsbrev som du kan abonnere på http: //www .wservernews.com /subscribe.htm.
Forstå finkornede passordrutiner
En finkornet passord policy å ha en forrang verdi på 1 har blitt opprettet og tilordnet Marketing gruppen
En fin. -grained passord policy å ha en forrang verdi på 2 har blitt opprettet og tilordnet Sales gruppen.
Beste praksis for implementering finkornet passordrutiner
Angi politikk til grupper i stedet for individuelle brukere enklere administrasjon
Angi en unik preferanse verdi til hver finkornet passord policy du oppretter i et domene
<.. li> Lag en fallback policy for domenet, slik at brukere som don ’ t hører til noen grupper som spesifikt har finjusterte passordrutiner tildelt dem vil fortsatt ha passord og konto lockout begrensninger gjelder når de prøver å logge seg på nettverket. Dette reserve politikken kan være ett av følgende:
passord og konto lockout regler som er definert i Standard domenepolicy GPO
En finkornet passord politikk som har en høyere prioritet verdi enn noen annen politikk
En finkornet passord policy å ha en forrang verdi på 1 har blitt opprettet og tilordnet Marketing gruppen
En fin. -grained passord policy å ha en forrang verdi på 2 har blitt opprettet og tilordnet Sales gruppen.
Ingen finkornet passord politikken har blitt tildelt til Human Resources gruppe.
Konfigurer passord og konto lockout policyinnstillinger i Standard domenepolicy GPO for domenet.
Lag en finkornet passord politikk som har forrang verdi av 100, og tildele denne politikken til Domain brukergruppen.
Opprette finkornede passord politikk Anmeldelser