az elmúlt 14 évben világszerte segítettem az adminisztrátoroknak, az auditoroknak és a biztonsági szakembereknek megérteni, hogyan működik a domain password policy az Active Directory-ban. Az alapértelmezett viselkedés nem változott azokban a 14 években, így el tudod képzelni, hány embert segítettem, nem is beszélve arról, hogy hányszor beszéltem róla.
akkor miért említi itt?, Nos, még mindig úgy találom, hogy az adminisztrátorok és az auditorok nem értik, hogyan működik a domain jelszó-politika, ezért hadd magyarázzam el alább.
alapértelmezés szerint az Active Directory minden telepítésekor az alapértelmezett Domain házirend létrehozza a domain jelszó házirendet (az Active Directory-ban konfigurált és tárolt összes felhasználó számára). Az 1. ábra szemlélteti, hogy ezek a konfigurációk hogyan néznek ki, és hol találhatók meg az alapértelmezett Tartománypolitikában.
1.ábra. Alapértelmezett tartomány házirend jelszó házirend.,
a jelszóházirend működésének módja az, hogy ez a GPO és a GPO beállításai konfigurálják a tartományvezérlőket (DCS) és a rajtuk található Active Directory adatbázisokat. A rajtuk található DCs-k és adatbázisok feladata, hogy kiszűrjék az adatbázisba írandó összes jelszót, hogy a jelszó megfeleljen a jelszóházirend-beállításoknak.
megjegyzés: a csoportházirend használatával csak egy jelszóházirend lehet A domain felhasználók számára., A GPO-nak egy OU-hoz történő összekapcsolása és konfigurálása nem konfigurálja másként a jelszó-házirendet az adott OU-ban lévő felhasználók számára. A jelszóházirend-beállítások a számítógépeket érintik (lásd az 1. ábrát), nem a felhasználói fiókokat!
amit tehetünk, hogy létrehozunk egy új GPO-t, összekapcsoljuk a tartomány szintjével, és nagyobb elsőbbséget adunk neki, mint az alapértelmezett tartomány házirend. Az új GPO beállításai (például a minimális jelszó hosszát állítja be) felülbírálják az alapértelmezett tartomány házirend beállításait a nagyobb elsőbbség miatt. A csoportházirend-kezelő eszköz elsőbbséget biztosít, amelyet a 2. ábrán láthat.
2.ábra., Minden GPO kapcsolódik a domain elsőbbséget élvez, mint a többi GPO.
Ha több jelszópolitikát szeretne ugyanabban a tartományban, vagy harmadik féltől származó terméket kell vásárolnia, vagy használhatja a finomszemcsés jelszópolitikákat. A finomszemcsés jelszópolitikák egy Microsoft technológia a jelszópolitikák vezérlésére, de nem használják a csoportházirendet telepítési mechanizmusként.,
A könyvvizsgáló a hatékony domain jelszó-politika, nyilván nem csak nézd meg az Alapértelmezett Tartományi Házirend, mert egy másik GPO kapcsolódik a domain eltérő lehet a jelszó házirend-beállításokat tartalmazza, hogy felülírja az Alapértelmezett Tartományi Házirend. Tehát hogyan tudja helyesen ellenőrizni a tartományvezérlőkön tárolt domain-felhasználók hatékony jelszóházirendjét?
a válasz egyszerű, beépített eszköz! Az eszköz secpol.a parancssorból vagy a Start gomb | keresés programok és fájlok dobozból bármelyik tartományvezérlőn futtatható., A 3. ábra szemlélteti, hogy néz ki az eredmény.
3. ábra. Secpol.az MSC megjeleníti a számítógép tényleges beállításait.
a secpol használatával.msc eszköz, 100% – os bizalommal ellenőrizheti, hogy mi a jelenlegi jelszóházirend-beállítások a domain felhasználók számára.
jelentések kezelése az Active Directory csoportházirend-objektumokról.
ingyenes letöltés
a granuláris, Csoportos/OU-alapú jelszó-házirendek érvényesítése a hirdetési felhasználók számára.
Ingyenes letöltés
Kövesse nyomon a hirdetéscsoport-házirend-objektumokban végrehajtott módosításokat valós időben.,
Ingyenes letöltés