i løbet af de sidste 14 år har jeg været rundt om i verden for at hjælpe administratorer, revisorer og sikkerhedsfolk med at forstå, hvordan domæneadgangskodepolitikken fungerer i Active Directory. Standardadfærden er ikke ændret i de 14 år, så du kan forestille dig, hvor mange mennesker jeg har hjulpet, for ikke at nævne, hvor mange gange jeg har talt om det.
så hvorfor nævne det her?, Nå, jeg finder stadig administratorer og revisorer, der ikke forstår, hvordan domæneadgangskodepolitikken fungerer, så lad mig forklare det nedenfor.
Som standard i hver installation af Active Directory fastlægger Standarddomænepolitikken domæneadgangspolitikken (for alle brugere konfigureret og gemt i Active Directory, det vil sige). Figur 1 illustrerer, hvordan disse konfigurationer ser ud, og hvor du kan finde dem i Standarddomænepolitikken.
Figur 1. Standard domæne politik pass .ord politik.,
den måde, hvorpå adgangskodepolitikken fungerer, er, at denne GPO og indstillingerne indeholdt i denne GPO konfigurerer domain controllers (DCs) og Active Directory-databaserne, der findes på dem. Det ER DCs ‘ s og databasernes ansvar at filtrere hver eneste adgangskode, der forsøges at blive skrevet til databasen, for at sikre, at adgangskoden opfylder indstillingerne for adgangskodepolitikken.bemærk: ved at bruge Gruppepolitik kan der kun være onen adgangskodepolitik for domænebrugerne., Sammenkædning og konfiguration af en GPO til en OU vil ikke konfigurere adgangskodepolitikken forskelligt for brugerne i den OU. Indstillinger for adgangskodepolitik påvirker computere (Se figur 1) ikke brugerkonti!
hvad du kan gøre er at oprette en ny GPO, linke den til domæneniveauet og give den højere prioritet end Standarddomænepolitikken. Indstillingerne i denne nye GPO (for eksempel, du indstiller den mindste adgangskodelængde) tilsidesætter indstillingerne i Standarddomænepolitikken på grund af den højere prioritet. Du sætter forrang i Group Policy Management tool, som du kan se i figur 2.
figur 2., Hver GPO knyttet til domænet har en forrang, sammenlignet med de andre Gpo ‘ er.
Hvis du vil have flere adgangskodepolitikker i det samme domæne, skal du enten købe et tredjepartsprodukt, eller du kan bruge de finkornede adgangskodepolitikker. Finkornede adgangskodepolitikker er en Microsoft-teknologi til at kontrollere adgangskodepolitikker, men brug ikke Gruppepolitik som implementeringsmekanisme.,for at revidere den effektive domæneadgangskodepolitik kan du naturligvis ikke bare se på Standarddomænepolitikken, fordi en anden GPO, der er knyttet til domænet, muligvis har forskellige indstillinger for adgangskodepolitik indeholdt i den, der tilsidesætter Standarddomænepolitikken. Så hvordan verificerer du korrekt den effektive adgangskodepolitik for dine domænebrugere, der er gemt på domænecontrollere?
svaret er enkelt og et indbygget værktøj! Værktøjet er secpol.msc og du kan køre dette på enhver domænecontroller fra kommandoprompten eller startknappen | søgeprogrammer og filer., Figur 3 illustrerer, hvordan resultatet ville se ud.
figur 3. Secpol.msc viser de faktiske indstillinger for computeren.
Ved at bruge secpol.msc-værktøj, kan du med 100% sikkerhed verificere, hvad de aktuelle indstillinger for adgangskodepolitikker er for dine domænebrugere.
Administrer og få rapporter om Active Directory group policy objekter.
Gratis do .nload
håndhæve granulære, gruppe / OU-baserede pass .ord politikker for AD brugere.
Gratis do .nload
Spor ændringer foretaget i ad group policy objects i realtid.,
Gratis do Downloadnload