過去14年間にわたり、管理者、監査人、およびセキュリティ専門家がActive Directoryでドメインパスワードポリシーがどのように機能するかを理解するのを助け デフォルトの動作は14年間で変わっていないので、私が何回話したかは言うまでもありませんが、私が助けた人の数を想像することができます。
なぜここでそれを言及するのですか?, まあ、私はまだ管理者と監査人がドメインパスワードポリシーの仕組みを理解していないので、以下で説明しましょう。
既定では、Active Directoryのすべてのインストールで、既定のドメインポリシーによってドメインパスワードポリシーが確立されます(Active Directoryに構成および格納されているす 図1に、これらの構成の外観と、デフォルトのドメインポリシーでそれらを確認できる場所を示します。
図1. デフォルトのドメインポリシーのパスワード。,
パスワードポリシーの動作方法は、このGPOとこのGPO内に含まれる設定がドメインコントローラー(Dc)とそれらにあるActive Directoryデータベースを構成することです。 データベースに書き込まれようとするすべてのパスワードをフィルタリングして、パスワードがパスワードポリシー設定を満たしていることを確認するのは、Dc
注:グループポリシーを使用すると、ドメインユーザーに対してパスワードポリシーを一つだけ使用できます。, リンク設定は、GPOは、OUない設定のパスワード政策の異なるためのユーザーがOU. パスワ
できることは、新しいGPOを作成し、それをドメインレベルにリンクし、既定のドメインポリシーよりも高い優先順位を付けることです。 この新しいGPOの設定(たとえば、パスワードの最小長を設定する)は、優先順位が高いため、既定のドメインポリシーの設定よりも優先されます。 図2に示すように、グループポリシー管理ツールで優先順位を設定します。
図2., ドメインにリンクされている各GPOには、他のGpoと比較して優先順位があります。
同じドメインに複数のパスワードポリシーを設定する場合は、サードパーティ製品を購入するか、きめ細かいパスワードポリシーを使用する必要があります。 細粒度パスワードポリシーはマイクロソフトを制御する技術についてパスワードポリシーが使われないグループの方針として展開。,
有効なドメインパスワードポリシーを監査するには、ドメインにリンクされている別のGPOに、既定のドメインポリシーを上書きする別のパスワードポリシー だからどうやって正しく検証する効果的なパスワード政策のためのドメインのユーザーの保存ドメインコントローラ?
答えはシンプルで組み込みツールです! ツールはsecpolです。mscときこのドメインコントローラーからのコマンドプロンプトまたはスタートボタン/検索プログラムやファイルボックス。, 図3は、結果がどのように見えるかを示しています。
図3. セクポールmscは、コンピュータの実際の設定を表示します。
secpolを使用することにより。mscツールを確認することができ100%の信頼の現在のパスワードポリシー設定のためのドメインのユーザー
Active Directoryグループポリシーオブジェクトのレポートを管理および取得します。
無料ダウンロード
ADユーザーに対して、グループ/OUベースのパスワードポリシーをきめ細かく適用します。
無料ダウンロード
ADグループポリシーオブジェクトに加えられた変更をリアルタイムで追跡します。,
無料ダウンロード