Negli ultimi 14 anni, sono stato in tutto il mondo aiutando amministratori, revisori e professionisti della sicurezza a capire come funziona la politica delle password di dominio in Active Directory. Il comportamento predefinito non è cambiato in quei 14 anni, quindi puoi immaginare quante persone ho aiutato, per non parlare di quante volte ne ho parlato.
Quindi perché menzionarlo qui?, Bene, trovo ancora amministratori e revisori che non capiscono come funziona la politica della password del dominio, quindi lasciami spiegare di seguito.
Per impostazione predefinita in ogni installazione di Active Directory, il Criterio di dominio predefinito stabilisce il criterio della password del dominio (per tutti gli utenti configurati e memorizzati in Active Directory, cioè). La figura 1 illustra l’aspetto di tali configurazioni e dove è possibile trovarle nel criterio di dominio predefinito.
Figura 1. Politica di dominio predefinita Politica della password.,
Il modo in cui funziona la politica della password è che questo GPO e le impostazioni contenute in questo GPO configurano i controller di dominio (DCS) e i database di Active Directory situati su di essi. È responsabilità del DCS e dei database che si trovano su di essi filtrare ogni password che si tenta di scrivere nel database, per garantire che la password soddisfi le impostazioni dei criteri della password.
NOTA: utilizzando Criteri di gruppo, ci può essere un solo criterio di password per gli utenti del dominio., Il collegamento e la configurazione di un GPO a un OU NON configurerà la politica della password in modo diverso per gli utenti in tale OU. Le impostazioni dei criteri della password riguardano i computer (vedere Figura 1) non gli account utente!
Quello che puoi fare è creare un nuovo GPO, collegarlo al livello di dominio e dargli una precedenza maggiore rispetto alla politica di dominio predefinita. Le impostazioni in questo nuovo GPO (ad esempio, si imposta la lunghezza minima della password) sovrascriveranno le impostazioni nel criterio di dominio predefinito a causa della precedenza maggiore. Si imposta la precedenza nello strumento di gestione criteri di gruppo, che si può vedere in Figura 2.
Figura 2., Ogni GPO collegato al dominio ha una precedenza rispetto agli altri GPO.
Se si desidera avere più criteri di password nello stesso dominio, è necessario acquistare un prodotto di terze parti oppure è possibile utilizzare i criteri di password a grana fine. I criteri delle password a grana fine sono una tecnologia Microsoft per controllare i criteri delle password ma non utilizzano i criteri di gruppo come meccanismo di distribuzione.,
Per verificare la politica della password del dominio efficace, ovviamente non puoi semplicemente guardare la politica del dominio predefinito perché un altro GPO collegato al dominio potrebbe avere diverse impostazioni della politica della password in esso contenute che sovrascriveranno la politica del dominio predefinito. Quindi, come si verifica correttamente la politica di password efficace per gli utenti del dominio memorizzati sui controller di dominio?
La risposta è semplice e uno strumento integrato! Lo strumento è secpol.msc e puoi eseguirlo su qualsiasi controller di dominio dal prompt dei comandi o dal pulsante Start | Cerca programmi e file., La figura 3 illustra l’aspetto del risultato.
Figura 3. Secpol.msc visualizza le impostazioni effettive per il computer.
Utilizzando il secpol.strumento msc, è possibile verificare con fiducia al 100% quali sono le impostazioni dei criteri di password correnti per gli utenti del dominio.
Gestisci e ottieni report sugli oggetti criteri di gruppo di Active Directory.
Download gratuito
Applica criteri granulari basati su password di gruppo / OU per gli utenti di annunci.
Download gratuito
Tenere traccia delle modifiche apportate agli oggetti criteri di gruppo AD in tempo reale.,
Scaricare gratis