ドメインパスワードポリシー:正しく設定し、監査!

過去14年間にわたり、管理者、監査人、およびセキュリティ専門家がActive Directoryでドメインパスワードポリシーがどのように機能するかを理解するのを助け デフォルトの動作は14年間で変わっていないので、私が何回話したかは言うまでもありませんが、私が助けた人の数を想像することができます。

なぜここでそれを言及するのですか?, まあ、私はまだ管理者と監査人がドメインパスワードポリシーの仕組みを理解していないので、以下で説明しましょう。

既定では、Active Directoryのすべてのインストールで、既定のドメインポリシーによってドメインパスワードポリシーが確立されます(Active Directoryに構成および格納されているす 図1に、これらの構成の外観と、デフォルトのドメインポリシーでそれらを確認できる場所を示します。

図1. デフォルトのドメインポリシーのパスワード。,

パスワードポリシーの動作方法は、このGPOとこのGPO内に含まれる設定がドメインコントローラー(Dc)とそれらにあるActive Directoryデータベースを構成することです。 データベースに書き込まれようとするすべてのパスワードをフィルタリングして、パスワードがパスワードポリシー設定を満たしていることを確認するのは、Dc

注:グループポリシーを使用すると、ドメインユーザーに対してパスワードポリシーを一つだけ使用できます。, リンク設定は、GPOは、OUない設定のパスワード政策の異なるためのユーザーがOU. パスワ

できることは、新しいGPOを作成し、それをドメインレベルにリンクし、既定のドメインポリシーよりも高い優先順位を付けることです。 この新しいGPOの設定(たとえば、パスワードの最小長を設定する)は、優先順位が高いため、既定のドメインポリシーの設定よりも優先されます。 図2に示すように、グループポリシー管理ツールで優先順位を設定します。

図2., ドメインにリンクされている各GPOには、他のGpoと比較して優先順位があります。

同じドメインに複数のパスワードポリシーを設定する場合は、サードパーティ製品を購入するか、きめ細かいパスワードポリシーを使用する必要があります。 細粒度パスワードポリシーはマイクロソフトを制御する技術についてパスワードポリシーが使われないグループの方針として展開。,

有効なドメインパスワードポリシーを監査するには、ドメインにリンクされている別のGPOに、既定のドメインポリシーを上書きする別のパスワードポリシー だからどうやって正しく検証する効果的なパスワード政策のためのドメインのユーザーの保存ドメインコントローラ?

答えはシンプルで組み込みツールです! ツールはsecpolです。mscときこのドメインコントローラーからのコマンドプロンプトまたはスタートボタン/検索プログラムやファイルボックス。, 図3は、結果がどのように見えるかを示しています。

図3. セクポールmscは、コンピュータの実際の設定を表示します。

secpolを使用することにより。mscツールを確認することができ100%の信頼の現在のパスワードポリシー設定のためのドメインのユーザー

Active Directoryグループポリシーオブジェクトのレポートを管理および取得します。

無料ダウンロード

ADユーザーに対して、グループ/OUベースのパスワードポリシーをきめ細かく適用します。

無料ダウンロード

ADグループポリシーオブジェクトに加えられた変更をリアルタイムで追跡します。,

無料ダウンロード

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です