viime 14 vuotta, olen ollut ympäri maailmaa auttaa ylläpitäjät, tilintarkastajat, ja tietoturva-ammattilaisia ymmärtämään, miten toimialueen salasana politiikka toimii Active Directory. Oletuskäyttäytyminen ei ole muuttunut noiden 14 vuoden aikana, joten voit kuvitella, kuinka monta ihmistä olen auttanut, puhumattakaan siitä, kuinka monta kertaa olen puhunut siitä.
joten miksi mainita se täällä?, No, löydän edelleen järjestelmänvalvojat ja tilintarkastajat eivät ymmärrä, miten verkkotunnuksen salasanakäytäntö toimii, joten selitän sen alla.
oletuksena, että jokainen asennus Active Directory, Toimialueen oletuskäytäntöön vahvistetaan toimialueen salasana politiikka (kaikille käyttäjille määritetty ja tallennettu Active directoryyn, että on). Kuva 1 havainnollistaa, miltä nämä kokoonpanot näyttävät ja mistä ne löytyvät Oletusalikäytännöstä.
kuva 1. Oletuskoodikäytännön salasanakäytäntö.,
tapa, salasana politiikka toimii on, että tämä GPO ja asetukset sisältyvät tämän GPO määrittää toimialueen ohjauskoneet (DCs) ja Active Directory-tietokantojen sijaitsee niitä. Se on vastuussa DCs ja tietokannat sijaitsevat ne suodattaa jokainen salasana, joka on yrittänyt olla kirjoitettu tietokantaan, varmistaa, että salasana täyttää salasana policy-asetukset.
huomautus: ryhmäkäytännön avulla verkkotunnuksen käyttäjille voi olla vain yksi salasanakäytäntö., GPO: n linkittäminen ja määrittäminen OU: hun ei määritä salasanakäytäntöä eri tavalla kyseisen OU: n käyttäjille. Salasanakäytännön asetukset vaikuttavat tietokoneisiin (KS. Kuva 1) eivät käyttäjätileihin!
Mitä voit tehdä, on luoda uusi GPO, linkittää sen toimialueen tasolla, ja antaa sille korkeampi etusija kuin Default Domain Policy. Asetukset tämä uusi GPO (esimerkiksi, voit asettaa salasanan vähimmäispituus) ohittaa asetukset Default Domain Policy korkeampien edelle. Asetit etusijalle ryhmäpolitiikan hallintatyökalun, jonka näet kuvasta 2.
Kuva 2., Jokaisella verkkotunnukseen liitetyllä GPO: lla on ennakkotapaus verrattuna muihin gpoihin.
Jos haluat olla useita salasana politiikkojen saman toimialueen, joko sinun täytyy ostaa kolmannen osapuolen tuotteen tai voit käyttää hienorakeista salasanakäytäntöjä. Hienorakeiset salasanakäytännöt ovat Microsoftin teknologiaa salasanakäytäntöjen hallitsemiseksi, mutta eivät käytä ryhmäkäytäntöä käyttöönottomekanismina.,
tarkastaa tehokas toimialueen salasana politiikkaa, et ilmeisesti ei voi vain katsoa Default Domain Policy, koska toinen GPO on linkitetty verkkotunnus saattaa olla eri salasana policy-asetukset sisältyvät se, että ohittaa Default Domain Policy. Joten miten oikein tarkistaa tehokas salasanakäytäntö verkkotunnuksen käyttäjille tallennettu verkkotunnuksen ohjaimet?
vastaus on yksinkertainen ja sisäänrakennettu työkalu! Työkalu on secpol.msc ja voit suorittaa tämän tahansa verkkotunnuksen ohjain komentorivi tai Käynnistä-painiketta / haku ohjelmia ja tiedostoja-ruutuun., Kuva 3 valaisee, miltä tulos näyttäisi.
kuva 3. Secpol.msc näyttää tietokoneen todelliset asetukset.
käyttämällä secpol-järjestelmää.msc työkalu, voit tarkistaa 100% luottamusta mitä nykyiset salasanakäytännön asetukset ovat verkkotunnuksen käyttäjille.
Hallitse ja hanki raportteja Active Directory-ryhmän policy objekteista.
Lataa
Valvoa rakeinen, ryhmä/OU-pohjainen salasanojen AD-käyttäjille.
Lataa
Jäljitä muutokset AD group policy objects reaaliajassa.,
vapaa lataus