za posledních 14 let jsem po celém světě pomáhal administrátorům, auditorům a bezpečnostním profesionálům pochopit, jak politika hesla domény funguje v Active Directory. Výchozí chování se za těch 14 let nezměnilo, takže si dokážete představit, kolik lidí jsem pomohl, nemluvě o tom, kolikrát jsem o tom mluvil.
tak proč to zmínit zde?, No, stále najdu administrátory a auditory, kteří nechápou, jak politika hesla domény funguje, tak mi to vysvětlím níže.
výchozí politika domény ve výchozím nastavení při každé instalaci služby Active Directory stanoví politiku hesla domény (pro všechny uživatele nakonfigurované a uložené v Active Directory). Obrázek 1 ilustruje, jak tyto konfigurace vypadají a kde je najdete ve výchozí politice domény.
Obrázek 1. Výchozí politika domény heslo policy.,
způsob, jakým heslo politika funguje, je, že tento OBJEKT zásad skupiny a nastavení obsažené v tomto objektu zásad skupiny konfigurovat řadiče domény (Dc) a Active Directory databází umístěných na nich. Je odpovědností řídicího systému a databází umístěných na nich filtrovat každé heslo, které se pokusil být zapsány do databáze, aby bylo zajištěno, že heslo nesplňuje zásady hesla nastavení.
poznámka: pomocí zásad skupiny může být pro uživatele domény pouze jedna politika hesla., Propojení a konfigurace GPO na OU nebude konfigurovat politiku hesla jinak pro uživatele v tomto OU. Nastavení zásad hesla ovlivňují počítače (viz Obrázek 1) ne uživatelské účty!
Co můžete udělat, je vytvořit nový GPO, propojit jej s úrovní domény a dát mu vyšší prioritu než výchozí politika domény. Nastavení v tomto novém GPO (například nastavíte minimální délku hesla) přepíše nastavení ve výchozí politice domény kvůli vyšší precedenci. Nastavíte přednost v nástroji pro správu zásad skupiny, který můžete vidět na obrázku 2.
Obrázek 2., Každý GPO spojený s doménou má přednost ve srovnání s ostatními GPO.
Pokud chcete mít ve stejné doméně více zásad hesla, musíte si buď koupit produkt třetí strany, nebo můžete použít zásady jemnozrnného hesla. Fine-grained password policies jsou technologie společnosti Microsoft pro řízení zásad hesel, ale nepoužívají Zásady skupiny jako mechanismus nasazení.,
Chcete-li auditovat efektivní politiku hesla domény, samozřejmě se nemůžete podívat pouze na výchozí politiku domény, protože jiný GPO spojený s doménou může mít různá nastavení zásad hesel, která budou přepsat výchozí politiku domény. Jak tedy správně ověřujete efektivní Zásady hesla pro uživatele domény uložené na řadičích domén?
odpověď je jednoduchá a vestavěný nástroj! Nástrojem je secpol.msc a můžete to spustit na libovolném řadiči domény z příkazového řádku nebo tlačítka Start | hledat programy a soubory., Obrázek 3 ilustruje, jak by výsledek vypadal.
obrázek 3. Secpol.msc zobrazuje aktuální nastavení počítače.
pomocí secpol.msc tool, můžete s 100% jistotou ověřit, jaké jsou aktuální nastavení zásad hesla pro uživatele domény.
Správa a získávání zpráv o objektech zásad skupiny Active Directory.
zdarma ke stažení
vynutit granulární, skupina/ou založené heslo politiky pro uživatele reklamy.
zdarma ke stažení
sledovat změny provedené v objektech zásad AD group v reálném čase.,
ke stažení zdarma